Nguyễn Tiến Đạt
Intern Writer
Nhóm tin tặc Iran có tên APT42 vừa bị phát hiện tiến hành chiến dịch gián điệp mới nhắm vào các cá nhân và tổ chức mà Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC) quan tâm. Chiến dịch xuất hiện từ đầu tháng 9/2025 và được Cơ quan Kỹ thuật số Quốc gia Israel (INDA) đặt tên là SpearSpecter. (Nói để bạn biết giữa Israel và Iran có mối quan hệ thù nghịch, nên thông tin để tham khảo, chưa vội kết luận gì).
Theo nhóm nghiên cứu INDA gồm Shimi Cohen, Adi Pick, Idan Beit-Yosef, Hila David và Yaniv Goldman, hoạt động này tập trung tấn công có hệ thống vào các quan chức quốc phòng và chính phủ cấp cao bằng chiến thuật kỹ thuật xã hội được cá nhân hóa sâu. Tin tặc thường gửi lời mời tham dự hội nghị uy tín hoặc đề nghị sắp xếp cuộc họp quan trọng để tạo sự tin tưởng. Đáng chú ý, phạm vi tấn công còn mở rộng đến người thân của mục tiêu nhằm tăng sức ép và mở rộng bề mặt khai thác.
APT42 được Google Mandiant công bố lần đầu vào cuối năm 2022, cho thấy sự trùng lặp với nhiều nhóm liên quan IRGC như APT35, CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, Educated Manticore, GreenCharlie, ITG18, Magic Hound, Mint Sandstorm, TA453 và Yellow Garuda.
Điểm nổi bật của nhóm là khả năng duy trì các cuộc tấn công kéo dài nhiều ngày đến nhiều tuần, tạo lòng tin bằng cách đóng giả người quen hoặc chuyên gia trong ngành trước khi gửi phần mềm độc hại hoặc đường link cài bẫy. Tháng 6/2025, Check Point cũng ghi nhận chiến dịch giả mạo giám đốc điều hành và nhà nghiên cứu công nghệ để tiếp cận các chuyên gia Israel qua email và WhatsApp. INDA xác nhận SpearSpecter và chiến dịch tháng 6 là hai hoạt động khác nhau, được thực hiện bởi hai nhóm nhỏ riêng trong APT42.
SpearSpecter cho phép kẻ tấn công tùy biến chiến thuật theo giá trị và mục tiêu của nạn nhân. Một số nạn nhân bị chuyển hướng đến trang họp giả mạo để đánh cắp thông tin đăng nhập. Trong những trường hợp cần duy trì truy cập lâu dài, tin tặc triển khai backdoor PowerShell có tên TAMECAT, vốn đã từng được sử dụng nhiều năm qua.
TAMECAT hoạt động với cấu trúc mô-đun, hỗ trợ đánh cắp dữ liệu và điều khiển từ xa. Nó sử dụng ba kênh liên lạc gồm HTTPS, Discord và Telegram để duy trì chỉ huy & kiểm soát (C2), giúp nhóm tấn công giữ quyền truy cập ngay cả khi một kênh bị chặn. Đối với Telegram, backdoor nhận lệnh từ bot do kẻ tấn công điều khiển và tải thêm mã PowerShell từ các miền phụ Cloudflare Workers khác. Với Discord, tin tặc dùng webhook để gửi thông tin hệ thống và nhận lệnh từ kênh mã hóa cứng.
Theo INDA, dữ liệu lấy từ máy chủ Discord bị khôi phục cho thấy cơ chế tra cứu lệnh dựa trên tin nhắn của một tài khoản cụ thể, cho phép gửi lệnh tùy chỉnh đến nhiều máy bị nhiễm thông qua cùng một hạ tầng. Điều này giúp tin tặc phối hợp tấn công theo cách linh hoạt và thống nhất.
TAMECAT còn có khả năng do thám, thu thập tệp theo định dạng nhất định, đánh cắp dữ liệu từ Chrome và Edge, lấy hộp thư Outlook, chụp màn hình mỗi 15 giây và gửi dữ liệu qua HTTPS hoặc FTP. Backdoor này sử dụng nhiều kỹ thuật ẩn mình như mã hóa dữ liệu, làm rối mã, tận dụng LOLBins, hoạt động trong bộ nhớ để giảm dấu vết trên ổ đĩa.
INDA đánh giá SpearSpecter là hạ tầng kết hợp giữa tính linh hoạt, khả năng che giấu và bảo mật hoạt động, kết hợp dịch vụ đám mây hợp pháp với hệ thống do tin tặc kiểm soát. Mục tiêu cuối cùng là duy trì truy cập ban đầu, vận hành C2 và đánh cắp dữ liệu bí mật một cách bền vững và khó bị phát hiện. (thehackernews)
Theo nhóm nghiên cứu INDA gồm Shimi Cohen, Adi Pick, Idan Beit-Yosef, Hila David và Yaniv Goldman, hoạt động này tập trung tấn công có hệ thống vào các quan chức quốc phòng và chính phủ cấp cao bằng chiến thuật kỹ thuật xã hội được cá nhân hóa sâu. Tin tặc thường gửi lời mời tham dự hội nghị uy tín hoặc đề nghị sắp xếp cuộc họp quan trọng để tạo sự tin tưởng. Đáng chú ý, phạm vi tấn công còn mở rộng đến người thân của mục tiêu nhằm tăng sức ép và mở rộng bề mặt khai thác.
APT42 được Google Mandiant công bố lần đầu vào cuối năm 2022, cho thấy sự trùng lặp với nhiều nhóm liên quan IRGC như APT35, CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, Educated Manticore, GreenCharlie, ITG18, Magic Hound, Mint Sandstorm, TA453 và Yellow Garuda.
Điểm nổi bật của nhóm là khả năng duy trì các cuộc tấn công kéo dài nhiều ngày đến nhiều tuần, tạo lòng tin bằng cách đóng giả người quen hoặc chuyên gia trong ngành trước khi gửi phần mềm độc hại hoặc đường link cài bẫy. Tháng 6/2025, Check Point cũng ghi nhận chiến dịch giả mạo giám đốc điều hành và nhà nghiên cứu công nghệ để tiếp cận các chuyên gia Israel qua email và WhatsApp. INDA xác nhận SpearSpecter và chiến dịch tháng 6 là hai hoạt động khác nhau, được thực hiện bởi hai nhóm nhỏ riêng trong APT42.
SpearSpecter cho phép kẻ tấn công tùy biến chiến thuật theo giá trị và mục tiêu của nạn nhân. Một số nạn nhân bị chuyển hướng đến trang họp giả mạo để đánh cắp thông tin đăng nhập. Trong những trường hợp cần duy trì truy cập lâu dài, tin tặc triển khai backdoor PowerShell có tên TAMECAT, vốn đã từng được sử dụng nhiều năm qua.
Quy trình tấn công và khả năng ẩn mình của TAMECAT
Chuỗi tấn công bắt đầu từ việc mạo danh liên hệ WhatsApp đáng tin cậy và gửi đường dẫn độc hại tới tài liệu được giới thiệu là bắt buộc cho một cuộc họp hoặc hội nghị. Khi nạn nhân nhấp vào, hệ thống dẫn họ tới một tệp LNK được lưu trên WebDAV, ngụy trang dưới dạng PDF thông qua giao thức “search-ms:”. Tệp LNK này kết nối tới miền phụ Cloudflare Workers để tải xuống tập lệnh cài đặt TAMECAT.TAMECAT hoạt động với cấu trúc mô-đun, hỗ trợ đánh cắp dữ liệu và điều khiển từ xa. Nó sử dụng ba kênh liên lạc gồm HTTPS, Discord và Telegram để duy trì chỉ huy & kiểm soát (C2), giúp nhóm tấn công giữ quyền truy cập ngay cả khi một kênh bị chặn. Đối với Telegram, backdoor nhận lệnh từ bot do kẻ tấn công điều khiển và tải thêm mã PowerShell từ các miền phụ Cloudflare Workers khác. Với Discord, tin tặc dùng webhook để gửi thông tin hệ thống và nhận lệnh từ kênh mã hóa cứng.
Theo INDA, dữ liệu lấy từ máy chủ Discord bị khôi phục cho thấy cơ chế tra cứu lệnh dựa trên tin nhắn của một tài khoản cụ thể, cho phép gửi lệnh tùy chỉnh đến nhiều máy bị nhiễm thông qua cùng một hạ tầng. Điều này giúp tin tặc phối hợp tấn công theo cách linh hoạt và thống nhất.
TAMECAT còn có khả năng do thám, thu thập tệp theo định dạng nhất định, đánh cắp dữ liệu từ Chrome và Edge, lấy hộp thư Outlook, chụp màn hình mỗi 15 giây và gửi dữ liệu qua HTTPS hoặc FTP. Backdoor này sử dụng nhiều kỹ thuật ẩn mình như mã hóa dữ liệu, làm rối mã, tận dụng LOLBins, hoạt động trong bộ nhớ để giảm dấu vết trên ổ đĩa.
INDA đánh giá SpearSpecter là hạ tầng kết hợp giữa tính linh hoạt, khả năng che giấu và bảo mật hoạt động, kết hợp dịch vụ đám mây hợp pháp với hệ thống do tin tặc kiểm soát. Mục tiêu cuối cùng là duy trì truy cập ban đầu, vận hành C2 và đánh cắp dữ liệu bí mật một cách bền vững và khó bị phát hiện. (thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
