Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch tấn công tinh vi mang tên EncryptHub, kết hợp cùng lúc hai “vũ khí” nguy hiểm: Social engineering và khai thác lỗ hổng nghiêm trọng trong Microsoft Management Console.
Điều đáng lo ngại là nhóm đứng sau đã nâng cấp phương thức tấn công, lợi dụng cả nền tảng hợp pháp Brave Support để phát tán mã độc, khiến việc phát hiện gần như bất khả thi với người dùng thông thường.
Các chuyên gia an ninh mạng đưa ra nhận định, nhóm tin tặc LARVA-208 đứng sau loạt vụ tấn công dựa trên nhiều dấu vết kỹ thuật thu thập được. Mẫu mã độc, hạ tầng máy chủ điều khiển (C2) và công cụ CrossC2 được sử dụng trong chiến dịch mới có nhiều điểm trùng khớp với những vụ tấn công trước đây do nhóm này thực hiện. Ngoài ra, phương thức triển khai, cách ẩn mình trong hệ thống và lựa chọn mục tiêu đều mang “dấu ấn” quen thuộc của LARVA-208, cho thấy chiến dịch này gần như chắc chắn là một phần trong chuỗi hoạt động tấn công có tổ chức của nhóm.
Nhóm tin tặc có tên LARVA-208, còn được biết đến với biệt danh Water Gamayun, vốn “khét tiếng” trong giới an ninh mạng. Trước đây, chúng từng tấn công các nhà phát triển Web3 và cộng đồng game thủ trên nền tảng Steam. Hiện tại, mục tiêu của nhóm đã mở rộng ra các tổ chức và doanh nghiệp trên toàn cầu. Theo thống kê đến tháng 2/2025, đã có ít nhất 618 tổ chức bị chúng xâm nhập thành công. Đây là con số đủ để gióng lên hồi chuông cảnh báo cho mọi lĩnh vực, từ công nghệ đến tài chính và giải trí.
Điều đáng lo ngại là phạm vi mục tiêu không dừng lại ở các công ty công nghệ hay lĩnh vực blockchain mà mở rộng sang cả các doanh nghiệp truyền thống, miễn là có hạ tầng CNTT để khai thác.
Các chuyên gia cũng lưu ý, lỗ hổng MSC EvilTwin từng được công bố vào tháng 3/2025, nhưng dấu vết tấn công cho thấy nhóm tin tặc đã lợi dụng điểm yếu này sớm hơn một tháng. Thủ đoạn càng khó nhận diện khi kẻ tấn công giả mạo nhân viên IT nội bộ, tiếp cận nạn nhân qua kênh chính thống như Microsoft Teams. Ngoài ra, kỹ thuật tạo thư mục với khoảng trắng ở cuối tên giúp chúng ẩn dấu vết trong hệ thống hiệu quả hơn.
Các chuyên gia khuyến cáo chung các doanh nghiệp cần:
Điều đáng lo ngại là nhóm đứng sau đã nâng cấp phương thức tấn công, lợi dụng cả nền tảng hợp pháp Brave Support để phát tán mã độc, khiến việc phát hiện gần như bất khả thi với người dùng thông thường.
Các chuyên gia an ninh mạng đưa ra nhận định, nhóm tin tặc LARVA-208 đứng sau loạt vụ tấn công dựa trên nhiều dấu vết kỹ thuật thu thập được. Mẫu mã độc, hạ tầng máy chủ điều khiển (C2) và công cụ CrossC2 được sử dụng trong chiến dịch mới có nhiều điểm trùng khớp với những vụ tấn công trước đây do nhóm này thực hiện. Ngoài ra, phương thức triển khai, cách ẩn mình trong hệ thống và lựa chọn mục tiêu đều mang “dấu ấn” quen thuộc của LARVA-208, cho thấy chiến dịch này gần như chắc chắn là một phần trong chuỗi hoạt động tấn công có tổ chức của nhóm.
Nhóm tin tặc có tên LARVA-208, còn được biết đến với biệt danh Water Gamayun, vốn “khét tiếng” trong giới an ninh mạng. Trước đây, chúng từng tấn công các nhà phát triển Web3 và cộng đồng game thủ trên nền tảng Steam. Hiện tại, mục tiêu của nhóm đã mở rộng ra các tổ chức và doanh nghiệp trên toàn cầu. Theo thống kê đến tháng 2/2025, đã có ít nhất 618 tổ chức bị chúng xâm nhập thành công. Đây là con số đủ để gióng lên hồi chuông cảnh báo cho mọi lĩnh vực, từ công nghệ đến tài chính và giải trí.
Cách chiến dịch vận hành - “Kịch bản” tấn công từ A đến Z của chiến dịch
- Bước 1: Dụ vào bẫy qua Microsoft Teams
Tin tặc giả dạng nhân viên IT nội bộ, gửi yêu cầu hỗ trợ qua Microsoft Teams để chiếm lòng tin và thiết lập kết nối từ xa. - Bước 2: Cài mã độc qua PowerShell
Sau khi có quyền truy cập, chúng chạy lệnh PowerShell tải và thực thi mã độc từ máy chủ bị chiếm quyền. - Bước 3: Khai thác lỗ hổng CVE-2025-26633 (MSC EvilTwin)
- Lỗ hổng cho phép chạy file .msc độc hại thông qua Microsoft Management Console.
- Cách làm: Đặt hai file .msc trùng tên, một file sạch, một file độc. Trong đó file độc được đưa vào thư mục MUIPath. Khi chạy, hệ thống bị “đánh lừa” và thực thi file độc.
- Bước 4: Công cụ tấn công và hạ tầng
- SilentCrystal: Công cụ loader viết bằng Golang, giả mạo chức năng PowerShell nhưng lợi dụng Brave Support làm nơi chứa payload.
- Tạo thư mục giả trong C:\Windows \System32 (có dấu cách cuối tên) để qua mặt phần mềm bảo mật.
- Sử dụng SOCKS5 proxy làm kênh điều khiển (C2) và ẩn lưu lượng.
- Gửi báo cáo tình trạng máy qua Telegram (gồm thông tin hệ thống, mạng, vị trí).
- Bước 5: Kỹ thuật chống phân tích
- Vận hành trang rivatalk.net giả dạng nền tảng họp trực tuyến.
- Yêu cầu “mã truy cập” để tải ứng dụng độc hại, tránh bị chuyên gia bảo mật tải về phân tích.
- File cài đặt setup.msi lợi dụng cơ chế DLL sideloading thông qua file hợp pháp của Symantec.
Điều đáng lo ngại là phạm vi mục tiêu không dừng lại ở các công ty công nghệ hay lĩnh vực blockchain mà mở rộng sang cả các doanh nghiệp truyền thống, miễn là có hạ tầng CNTT để khai thác.
Các chuyên gia cũng lưu ý, lỗ hổng MSC EvilTwin từng được công bố vào tháng 3/2025, nhưng dấu vết tấn công cho thấy nhóm tin tặc đã lợi dụng điểm yếu này sớm hơn một tháng. Thủ đoạn càng khó nhận diện khi kẻ tấn công giả mạo nhân viên IT nội bộ, tiếp cận nạn nhân qua kênh chính thống như Microsoft Teams. Ngoài ra, kỹ thuật tạo thư mục với khoảng trắng ở cuối tên giúp chúng ẩn dấu vết trong hệ thống hiệu quả hơn.
Các chuyên gia khuyến cáo chung các doanh nghiệp cần:
- Cập nhật bản vá bảo mật cho CVE-2025-26633 và các phần mềm liên quan.
- Đào tạo nhân viên nhận diện các cuộc gọi/video/chat hỗ trợ IT giả mạo.
- Triển khai giám sát nhiều lớp (layered defense), bao gồm EDR, firewall, lọc lưu lượng proxy.
- Kiểm tra định kỳ hệ thống, đặc biệt các thư mục hệ thống và cấu hình MMC.
- Theo dõi threat intelligence để phát hiện sớm hoạt động hạ tầng C2 mới.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview