Phát hiện chiến dịch tấn công mạng SalmonSlalom nhắm vào các tổ chức công nghiệp

Theo các chuyên gia, kẻ tấn công đã lợi dụng các dịch vụ điện toán đám mây hợp pháp để quản lý phần mềm độc hại và triển khai quy trình xâm nhập nhiều giai đoạn nhằm vượt qua các hệ thống phát hiện xâm nhập. Chiến thuật này cho phép kẻ xấu phát tán mã độc trên hệ thống mạng của nạn nhân, cài đặt công cụ điều khiển từ xa, chiếm quyền kiểm soát thiết bị, đánh cắp và xóa dữ liệu quan trọng.

Chiến dịch này chủ yếu nhắm vào các cơ quan chính phủ và tổ chức công nghiệp nặng tại nhiều quốc gia và vùng lãnh thổ trong khu vực APAC, bao gồm Malaysia, Trung Quốc, Nhật Bản, Thái Lan Hàn Quốc, Singapore, Philippines, Việt Nam… Tin tặc sử dụng các tệp nén chứa mã độc, được ngụy trang thành tài liệu liên quan đến thuế, để phát tán thông qua các chiến dịch lừa đảo trên email và các ứng dụng nhắn tin như WeChat và Telegram. Sau khi mã độc xâm nhập thành công vào hệ thống, chúng sẽ cài cắm một backdoor có tên FatalRAT nhằm duy trì quyền kiểm soát.

Mặc dù có một số điểm tương đồng với các cuộc tấn công trước đây sử dụng mã độc truy cập từ xa (RAT) mã nguồn mở như Gh0st RAT, SimayRAT, Zegost và FatalRAT, chiến dịch lần này cho thấy sự thay đổi đáng kể trong chiến thuật, kỹ thuật và phương thức hoạt động. Những điều chỉnh này dường như nhắm đến các tổ chức và cơ quan sử dụng tiếng Trung Quốc.

Cuộc tấn công được thực hiện thông qua mạng phân phối nội dung (CDN) myqcloud và dịch vụ lưu trữ Youdao Cloud Notes, hai nền tảng điện toán đám mây hợp pháp của Trung Quốc. Để tránh bị phát hiện, tin tặc áp dụng nhiều kỹ thuật tinh vi như: liên tục thay đổi máy chủ điều khiển và tải trọng mã độc để giảm khả năng bị truy vết, lưu trữ mã độc trên các trang web hợp pháp nhằm “qua mặt” hệ thống bảo mật, khai thác lỗ hổng trong phần mềm hợp pháp để triển khai tấn công, tận dụng chính các chức năng hợp pháp của phần mềm để kích hoạt mã độc, đồng thời mã hóa tệp tin và lưu lượng mạng nhằm che giấu hoạt động bất thường.

Kaspersky đặt tên cho chiến dịch này là SalmonSlalom nhằm mô tả cách thức tội phạm mạng khéo léo lẩn tránh các hệ thống phòng thủ bằng chiến thuật tinh vi và liên tục thay đổi phương thức, tương tự như hành trình vượt thác đầy gian nan của loài cá hồi, đòi hỏi sức bền và sự khéo léo để vượt qua chướng ngại vật.

Ông Evgeny Goncharov, Trưởng nhóm Kaspersky ICS CERT, nhận định “Tội phạm mạng dù chỉ sử dụng những kỹ thuật tương đối đơn giản vẫn có thể xâm nhập vào hệ thống, ngay cả trong môi trường công nghệ vận hành (OT). Chiến dịch này là lời cảnh báo đối với các tổ chức công nghiệp nặng tại khu vực APAC về mối đe dọa từ các tác nhân độc hại có khả năng kiểm soát hệ thống OT từ xa. Các tổ chức cần nâng cao nhận thức, củng cố các biện pháp bảo vệ và chủ động ứng phó để bảo vệ tài sản, dữ liệu trước nguy cơ tấn công mạng”.