Mối đe dọa mạng: Tomiris APT với chiến thuật cực kỳ tinh vi

Hoạt động của Tomiris hacker group đã tái xuất hiện, tập trung vào các chiến dịch phức tạp nhắm mục tiêu vào các bộ ngoại giao và thực thể chính phủ trên toàn thế giới. Đây là một mối đe dọa mạng tiên tiến, đã chuyển đổi chiến lược hoạt động từ đầu năm 2025 để tập trung vào cơ sở hạ tầng ngoại giao có giá trị cao.

Chiến lược Tấn công Mạng Nâng cao của Tomiris

Tomiris hacker group, một nhóm tấn công dai dẳng nâng cao (APT), đã tăng cường khả năng vượt qua các biện pháp bảo mật truyền thống. Điều này được thực hiện thông qua việc tận dụng một loạt các ngôn ngữ lập trình đa dạng như Go, Rust, C/C++ và Python. Sự đa dạng trong ngôn ngữ lập trình cho phép nhóm này tạo ra các payload khó bị phát hiện hơn, đồng thời duy trì hồ sơ thấp trong các mạng bị xâm nhập và môi trường dai dẳng.

Kỹ thuật Spear-Phishing và Vector Lây nhiễm Đầu tiên

Các cuộc tấn công mạng của Tomiris hacker group thường khởi đầu bằng các email spear-phishing được nhắm mục tiêu chính xác. Những email này chứa các tệp lưu trữ được bảo vệ bằng mật khẩu. Kẻ tấn công thường ngụy trang các tệp thực thi độc hại bằng cách sử dụng các tiện ích mở rộng kép (ví dụ: document.pdf.exe) hoặc đánh lừa nạn nhân bằng các biểu tượng tài liệu văn phòng quen thuộc.

Mục đích chính là để che giấu vector lây nhiễm ban đầu và tăng tỷ lệ thành công của cuộc tấn công. Mật khẩu cho các tệp lưu trữ này thường tuân theo một mẫu dễ đoán, ví dụ như “min@2025”. Sự che giấu đơn giản này, mặc dù có vẻ sơ đẳng, lại hiệu quả trong việc vượt qua các trình quét email tự động và các hệ thống bảo mật cổng thông tin.

Kiểm soát & Ra Lệnh (C2) và Khai thác Sau Tấn công Tiên tiến

Sau khi được thực thi, các payload này sẽ khởi tạo một chuỗi sự kiện được thiết kế để thiết lập tính dai dẳng và triển khai các công cụ độc hại cũng như backdoor khác. Các nhà phân tích bảo mật của Securelist đã ghi nhận rằng Tomiris hacker group ngày càng sử dụng các dịch vụ công cộng như Telegram và Discord cho các giao tiếp C2. Tham khảo chi tiết tại Securelist: Tomiris new tools.

Sự tiến hóa về mặt chiến thuật này cho phép lưu lượng truy cập độc hại hòa trộn một cách liền mạch với hoạt động mạng hợp pháp, gây khó khăn đáng kể cho các nỗ lực phát hiện và các chiến lược được sử dụng bởi các đội ngũ an ninh mạng. Đây là một thách thức lớn trong việc nhận diện và đối phó với các mối đe dọa mạng hiện đại.

Tận dụng Framework Nguồn mở cho Khai thác Sau Tấn công

Ngoài ra, nhóm đã bắt đầu triển khai các framework khai thác sau tấn công mã nguồn mở như Havoc và AdaptixC2. Điều này cho thấy một sự chuyển dịch sang các chuỗi tấn công có tính mô-đun và khả năng phục hồi cao hơn. Việc sử dụng các công cụ nguồn mở giúp giảm chi phí phát triển và tăng khả năng ẩn mình. Thông tin thêm về việc lạm dụng công cụ nguồn mở có thể tìm thấy tại Cyber Security News: Hackers Abuse Open-Source Tools.

Sự kết hợp giữa các implant tùy chỉnh do Tomiris hacker group phát triển và các công cụ mã nguồn mở này làm cho việc gán ghép tác nhân và giảm thiểu các rủi ro trở nên khó khăn hơn đáng kể đối với các đội ngũ phòng thủ.

Tomiris Rust Downloader: Công cụ Do Thám và Rò Rỉ Dữ liệu Mục tiêu

Một thành phần nổi bật của chiến dịch này là Tomiris Rust Downloader, một công cụ chưa từng được ghi nhận trước đây. Không giống như các công cụ đánh cắp dữ liệu điển hình, implant này thực hiện do thám mục tiêu bằng cách quét các ổ đĩa cụ thể để tìm các loại tệp nhạy cảm.

Các loại tệp nhạy cảm mà nó nhắm đến bao gồm .pdf, .docx, và .xlsx. Điều này cho thấy sự tập trung cao độ vào việc thu thập thông tin tình báo. Điều thú vị là nó không đánh cắp ngay lập tức các tệp này. Thay vào đó, nó biên dịch một danh sách các đường dẫn tệp và truyền dữ liệu này đến một webhook của Discord sử dụng một yêu cầu POST multipart.

Cơ chế Truyền Dữ liệu có Cấu trúc và Né tránh Phát hiện

Phần mềm độc hại sử dụng trường “payload_json” cho thông tin hệ thống và trường “file” cho danh sách đường dẫn. Điều này đảm bảo việc rò rỉ dữ liệu có cấu trúc và hiệu quả, giảm thiểu khả năng bị phát hiện. Phần mềm độc hại được lập trình một cách thông minh để tránh bị phát hiện bằng cách bỏ qua các thư mục hệ thống cụ thể như “Program Files”, “Windows” và “AppData”. Việc này giúp nó duy trì hoạt động lâu dài trên hệ thống bị xâm nhập.

Thiết lập Tính Bền bỉ và Triển khai Payload Phụ

Sau khi gửi thành công danh sách tệp, downloader sẽ tạo một script Visual Basic (script.vbs) để thực thi một script PowerShell (script.ps1). Script PowerShell này chứa một vòng lặp cố gắng truy xuất một payload phụ—thường là một tệp lưu trữ ZIP chứa các tệp thực thi khác—mỗi phút. Cơ chế này cho phép Tomiris hacker group duy trì quyền truy cập và liên tục cập nhật các công cụ độc hại.

Cách tiếp cận tỉ mỉ này đối với việc do thám và phân phối theo từng giai đoạn làm nổi bật ý định của Tomiris hacker group. Nhóm này muốn duy trì trạng thái không bị phát hiện trong khi xác định một cách có hệ thống dữ liệu có giá trị cao cho việc đánh cắp và khai thác trong tương lai. Đây là một chiến thuật đặc trưng của các chiến dịch tấn công mạng phức tạp.

Chỉ Số Thỏa Hiệp (IOCs) Tiềm năng

Mặc dù nội dung hiện tại mô tả các phương pháp kỹ thuật tinh vi, các chỉ số thỏa hiệp cụ thể (như hash file, địa chỉ IP C2, tên miền độc hại) không được cung cấp trong thông tin gốc. Tuy nhiên, dựa trên mô tả chi tiết về hoạt động của Tomiris hacker group, các loại IOC tiềm năng mà các tổ chức nên chú ý có thể bao gồm:

• Mật khẩu tệp lưu trữ: Các chuỗi như “min@2025” hoặc các biến thể tương tự, thường được sử dụng trong email spear-phishing.
• Tên tệp độc hại: Các tệp thực thi với tiện ích mở rộng kép (ví dụ: document.pdf.exe) hoặc các tệp có biểu tượng giả mạo các ứng dụng văn phòng.
• C2 qua Telegram/Discord: Các ID kênh Telegram hoặc Discord webhook URL không được ủy quyền được sử dụng bởi nhóm Tomiris để liên lạc.
• Hash của Tomiris Rust Downloader: Hash (SHA256, MD5) của các tệp thực thi Rust Downloader và các biến thể của nó.
• Hash của script Visual Basic/PowerShell: Hash (SHA256) của script.vbs và script.ps1, cùng với các chuỗi độc hại hoặc lệnh được sử dụng trong các script này.
• Dấu vết của framework khai thác sau tấn công: Sự hiện diện của các thành phần hoặc dấu hiệu hoạt động liên quan đến Havoc hoặc AdaptixC2 trên các hệ thống bị xâm nhập.

Các tổ chức nên triển khai giám sát chặt chẽ các dấu hiệu hoạt động bất thường liên quan đến các dịch vụ như Telegram và Discord, đặc biệt là lưu lượng POST multipart đến các webhook không được ủy quyền. Việc giám sát các quy trình PowerShell và VBScript đáng ngờ, cùng với việc kiểm tra các thư mục hệ thống để tìm các tệp lạ, là rất quan trọng để phát hiện sớm và ứng phó hiệu quả với các cuộc tấn công của nhóm Tomiris.