Chào mọi người,
Hôm nay mình đọc được một bài rất đáng chú ý về chiến dịch tấn công mạng tinh vi do nhóm hacker có liên hệ với nhà nước Trung Quốc thực hiện, mang tên mã UNC6384 hay còn gọi là Mustang Panda. Điều đặc biệt khiến chiến dịch này nguy hiểm đến mức báo động là việc họ lợi dụng chứng chỉ số hợp pháp để ký phần mềm độc hại, nhằm đánh lừa người dùng và hệ thống bảo mật.

Chi tiết chiến dịch

Kẻ tấn công đã xâm nhập thành công một thiết bị biên trong mạng mục tiêu, sau đó lợi dụng kỹ thuật Adversary-in-the-Middle (AitM) để chiếm quyền điều hướng trình duyệt của nạn nhân khi họ truy cập mạng công cộng với captive portal (trang đăng nhập mạng). Qua đó, victim bị chuyển hướng đến trang web giả mạo với giao diện cập nhật Adobe Plugin khá thuyết phục.
Họ yêu cầu người dùng tải file AdobePlugins.exe được ký số hợp pháp bởi công ty Chengdu Nuoxin Times Technology Co., Ltd. Điều này khiến Windows và trình duyệt gần như không cảnh báo, làm giảm cảnh giác người dùng.



​Phần mềm độc hại bên trong gồm gì?

Không phải là plugin Adobe như quảng cáo, file cài thực tế chạy trình cài đặt Microsoft Visual C++ bình thường nhằm tránh nghi vấn, đồng thời âm thầm tải về một gói MSI chứa:

• Phần mềm máy in Canon hợp pháp đi kèm, để đánh lạc hướng
• Một tệp DLL tên CANONSTAGER
• Backdoor SOGU.SEC được mã hóa RC4, với khả năng thu thập thông tin hệ thống, tải lên, tải xuống tập tin, và mở cửa hậu để kẻ tấn công điều khiển từ xa bằng command shell.

​​Mức độ nguy hiểm và dấu hiệu cảnh báo

• Việc sử dụng chứng chỉ số hợp pháp để ký file độc hại là thủ thuật tinh vi nhất, cho phép bypass nhiều hệ thống kiểm tra bảo mật truyền thống.
• Google đã khẩn trương chặn các tên miền và hash độc hại trên các dịch vụ Safe Browsing, đồng thời phát hành YARA rules và IoC để cộng đồng bảo mật có thể phát hiện sớm các mẫu tương tự.
• Mục tiêu tấn công chủ yếu là giới ngoại giao và các nhân vật có giá trị cao, tuy nhiên kỹ thuật này hoàn toàn có thể mở rộng sang các người dùng phổ thông.

​Kinh nghiệm phòng thủ từ bài học này

• Luôn cần thận trọng với các thông báo cập nhật phần mềm, đặc biệt trên mạng công cộng.
• Kiểm tra kỹ nguồn tải xuống, chỉ cài đặt phần mềm từ trang web, nhà cung cấp chính thức.
• Tạm dừng tin cậy các chứng chỉ số từ các công ty có dấu hiệu bị lợi dụng cho tới khi có thông tin rõ ràng.
• Cập nhật thường xuyên các bản vá, nâng cao nhận thức người dùng và đội ngũ bảo mật.
• Áp dụng thêm các lớp bảo vệ như MFA, sandboxing, kiểm tra hành vi phần mềm nghi ngờ.

Kết

Chiến dịch UNC6384 nhắc nhở chúng ta rằng đối thủ trên không chỉ ngày một “chuyên nghiệp” mà còn cực kỳ tinh vi trong việc lợi dụng chính các cơ chế bảo vệ vốn dĩ đáng tin cậy – như chứng chỉ số hợp pháp. Đây là lời cảnh tỉnh cho tất cả tổ chức cần gia tăng cảnh giác, đa tầng bảo vệ và không ngừng cập nhật phương pháp phòng thủ.
Mọi người có thể xem chi tiết cũng như các IoC mới từ Google để cập nhật và sẵn sàng ứng phó. Cộng đồng bảo mật hãy chia sẻ bài viết này để nâng cao nhận thức chống lại những mối đe dọa ngày càng tinh vi này nhé!
—
Thông tin tham khảo từ bài viết trên WhiteHat và Bleeping Computer.

1. https://whitehat.vn/threads/tin-tac-...uy-hiem.18708/

​