Cụ thể, theo Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), công ty an ninh mạng Cyble Research and Intelligence Labs (CRIL) vừa phát hiện một chiến dịch tấn công mạng tinh vi bằng mã độc, do một nhóm tin tặc có nguồn gốc từ Việt Nam thực hiện. Trong đó, mục tiêu tấn công của nhóm này là những chuyên gia, người làm việc trong lĩnh vực kinh tế số, đặc biệt là tiếp thị số và các nền tảng quảng cáo như Meta Ads (Facebook và Instagram).
Về phương thức, nhóm tin tặc sử dụng mã độc nhiều giai đoạn để chiếm quyền kiểm soát hệ thống và triển khai Quasar RAT – một phần mềm trojan điều khiển từ xa, giúp kẻ tấn công có thể thực hiện các hành vi độc hại như đánh cắp dữ liệu và giám sát hệ thống từ xa.
Theo Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam, kỹ thuật tấn công này đã được nhận diện từ một chiến dịch tương tự đã bị phát hiện hồi tháng 7/2022, khi một nhóm tin tặc có nguồn gốc từ Việt Nam phát tán mã độc Ducktail nhằm đánh cắp thông tin từ các tài khoản quảng cáo của Meta.
Chiến dịch tấn công mới bắt đầu với việc phát tán các email lừa đảo chứa tệp LNK giả mạo thành tệp PDF liên quan đến công việc. Khi nạn nhân mở tệp, một chuỗi lệnh PowerShell sẽ được kích hoạt để tải xuống và thực thi các tệp mã độc từ các nguồn lưu trữ bên ngoài như Dropbox. Mã độc được mã hóa nhiều lớp và sử dụng các kỹ thuật tránh phát hiện tiên tiến để có thể qua mặt các hệ thống bảo mật.
Đặc biệt nguy hiểm, cuộc tấn công này sử dụng rất nhiều kỹ thuật nhằm lẩn tránh các hệ thống giám sát và leo thang quyền hạn để kiểm soát hệ thống. Mã độc sẽ cố gắng leo thang đặc quyền lên cấp độ quản trị viên thông qua các lệnh hệ thống và chèn các tệp độc hại vào các thư mục hệ thống, giúp nó có thể tồn tại qua các lần khởi động lại hệ thống và duy trì hoạt động mà không bị phát hiện. Cuối cùng, mã độc sẽ cho phép kẻ tấn công chiếm quyền điều khiển hoàn toàn thiết bị bị nhiễm, giúp hacker trộm cắp dữ liệu, giám sát hệ thống, cài đặt thêm phần mềm độc hại hoặc khai thác thêm các lỗ hổng trên hệ thống bị nhiễm.
Một số dấu hiệu nhận biết thiết bị bị tấn công bao gồm: Giảm hiệu suất (CPU và băng thông mạng có thể tăng đột ngột do các họt động độc hại ngầm của mã độc), lưu lượng mạng bất thường, xuất hiện các tệp lạ trong hệ thống…
Nhằm đảm bảo an toàn thông tin cho cá nhân, tổ chức và doanh nghiệp, VNCERT/CC khuyến nghị các đơn vị cần tăng cường giám sát hệ thống, thường xuyên kiểm tra và phát hiện các tệp tin, quy trình hoặc hành vi đáng ngờ; kiểm tra lưu lượng mạng, phân tích những bất thường không rõ nguồn gốc liên quan đến máy chủ điều khiển từ xa; đồng thời nâng cao nhận thức cho người dùng, đặc biệt là những người làm việc trong lĩnh vực tiếp thị số…