Nguy hiểm: Tấn công mạng Silver Fox nhắm Nhật Bản mùa thuế

Trong bối cảnh mùa khai thuế và điều chỉnh nhân sự diễn ra sôi động, các doanh nghiệp đang đối mặt với một chiến dịch tấn công mạng có chủ đích cao. Nhóm tác nhân đe dọa được biết đến với tên gọi Silver Fox đang tích cực khai thác giai đoạn này để thực hiện các cuộc tấn công spearphishing tinh vi, nhắm vào các công ty tại Nhật Bản.

Nội dung

Tổng quan về Chiến dịch Silver Fox

Mục tiêu và Thời điểm Tấn công

Chiến thuật Spearphishing tinh vi của Silver Fox

Kỹ thuật Trinh sát tiền tấn công

Chủ đề Lừa đảo và Ngụy trang

Phương thức phân phối mã độc

Phân tích Mã độc ValleyRAT

Chuỗi lây nhiễm và khả năng của ValleyRAT

Cơ chế duy trì quyền truy cập

Chỉ số Nhận diện (IOCs)

Biện pháp Phòng ngừa và Ứng phó

Đối với Người dùng

Đối với Tổ chức

Tổng quan về Chiến dịch Silver Fox

Silver Fox là một nhóm tác nhân đe dọa có tổ chức, đã hoạt động ít nhất từ năm 2023. Ban đầu, nhóm này tập trung vào các mục tiêu nói tiếng Trung, sau đó mở rộng hoạt động sang khu vực Đông Nam Á, Nhật Bản và tiềm năng cả Bắc Mỹ. Mỗi chiến dịch được thực hiện bằng ngôn ngữ bản địa, cho thấy khả năng thích nghi cao của nhóm.

Trong nhiều năm, Silver Fox đã nhắm mục tiêu vào nhiều ngành công nghiệp khác nhau, bao gồm tài chính, y tế, giáo dục, trò chơi điện tử, chính phủ và thậm chí cả an ninh mạng. Phạm vi hoạt động rộng lớn này chứng tỏ Silver Fox không chỉ là một nhóm tác nhân đơn lẻ mà có khả năng điều chỉnh chiến thuật để phù hợp với môi trường và thời điểm cụ thể.

Mục tiêu và Thời điểm Tấn công

Chiến dịch mới nhất nhắm vào Nhật Bản là sự tiếp nối của một mô hình đã được quan sát trong cùng kỳ năm trước. Điều này khẳng định rằng nhóm chủ động lên lịch các cuộc tấn công mạng của mình trùng với các chu kỳ kinh doanh có thể dự đoán được.

Hiện tại, chiến dịch này đang nhắm vào các nhà sản xuất và nhiều doanh nghiệp khác trên khắp Nhật Bản. Đây là thời điểm mà nhân viên thường xuyên mong đợi các email liên quan đến tài chính và nhân sự, tạo ra một môi trường lý tưởng để các email lừa đảo dễ dàng qua mặt.

Chiến thuật Spearphishing tinh vi của Silver Fox

Các nhà phân tích từ WeLiveSecurity đã xác định chiến dịch đang diễn ra này và lưu ý rằng các email của Silver Fox không phải là những tin nhắn phát tán đại trà. Thay vào đó, chúng là các cuộc tấn công spearphishing được chuẩn bị kỹ lưỡng với mức độ cá nhân hóa cao.

Kỹ thuật Trinh sát tiền tấn công

Trước khi thực hiện tấn công, các tác nhân đe dọa tiến hành trinh sát kỹ lưỡng từng mục tiêu. Họ thu thập tên nhân viên thật, thậm chí cả danh tính CEO, để sử dụng làm người gửi giả mạo trong email. Mức độ nghiên cứu trước khi tấn công này là yếu tố phân biệt Silver Fox với các nhóm tác nhân cấp thấp hơn, khiến các chiến dịch của chúng khó bị phát hiện hơn đáng kể.

Mỗi email đều chèn tên công ty mục tiêu trực tiếp vào dòng chủ đề, khiến thông điệp trông giống như một thông báo nội bộ hợp pháp. Điều này làm tăng độ tin cậy và khả năng người nhận mở email.

Chủ đề Lừa đảo và Ngụy trang

Các dòng chủ đề email thường đề cập đến các vấn đề như vi phạm tuân thủ thuế, điều chỉnh lương, thay đổi kế hoạch sở hữu cổ phiếu của nhân viên và cập nhật nhân sự. Đây chính xác là loại thông điệp mà nhân viên mong đợi và tin tưởng trong mùa cao điểm này.

Văn phong trong email đôi khi có thể cảm thấy bất thường hoặc quá trang trọng, do các tác nhân Silver Fox không phải là người nói tiếng Nhật bản địa, và đôi khi xuất hiện những lỗi diễn đạt tinh tế trong tin nhắn. Người nhận nên cẩn trọng với những dấu hiệu này.

Phương thức phân phối mã độc

Các email lừa đảo chứa tệp đính kèm độc hại hoặc liên kết dẫn đến các trang web nơi nạn nhân được hướng dẫn tải xuống tệp. Các nhà phân tích đã ghi nhận các ví dụ về email spearphishing được phân phối vào tháng 3 năm 2026, sử dụng trang web lừa đảo liên quan đến thuế để thúc đẩy việc tải xuống mã độc.

Các tệp độc hại thường được phân phối thông qua các dịch vụ lưu trữ tệp công cộng như gofile[.]io hoặc WeTransfer. Điều này tạo thêm một lớp lừa dối vì đây là các nền tảng quen thuộc và đáng tin cậy. Payload thường được đóng gói trong các tệp lưu trữ định dạng RAR hoặc ZIP, làm cho chúng ít hiển nhiên hơn đối với người nhận.

Phân tích Mã độc ValleyRAT

Việc mở bất kỳ tệp độc hại nào sẽ cài đặt ValleyRAT vào máy của nạn nhân. ValleyRAT là một Remote Access Trojan (RAT) mà các sản phẩm của ESET phát hiện là Win64/Valley. Khi được cài đặt, ValleyRAT cung cấp cho kẻ tấn công toàn quyền kiểm soát từ xa hệ thống bị xâm nhập.

Chuỗi lây nhiễm và khả năng của ValleyRAT

Chuỗi lây nhiễm trong chiến dịch cụ thể này khá đơn giản nhưng hiệu quả. Sau khi nạn nhân mở tệp độc hại, thường được ngụy trang thành thông báo lương hoặc tài liệu HR, ValleyRAT sẽ âm thầm chiếm quyền kiểm soát hệ thống.

Với quyền kiểm soát này, kẻ tấn công có thể thực hiện nhiều hành vi độc hại, bao gồm:

Đánh cắp dữ liệu nhạy cảm từ hệ thống bị xâm nhập.
Giám sát hoạt động của người dùng để thu thập thông tin tình báo.
Di chuyển sâu hơn vào mạng để thiết lập các giai đoạn tấn công tiếp theo, có thể dẫn đến xâm nhập mạng toàn diện.

Cơ chế duy trì quyền truy cập

Sau khi lây nhiễm, ValleyRAT duy trì khả năng tồn tại trong môi trường, nghĩa là nó tiếp tục chạy ngay cả sau khi hệ thống khởi động lại. Điều này giúp kẻ tấn công duy trì quyền truy cập liên tục vào hệ thống mục tiêu theo thời gian, đảm bảo một mối đe dọa mạng dai dẳng.

Chỉ số Nhận diện (IOCs)

Để hỗ trợ phát hiện và phòng ngừa, dưới đây là các chỉ số nhận diện liên quan đến chiến dịch của Silver Fox:

Chủ đề email lừa đảo (Lure Themes):
- Vi phạm tuân thủ thuế
- Điều chỉnh lương
- Thay đổi kế hoạch sở hữu cổ phiếu của nhân viên
- Cập nhật nhân sự
Nền tảng phân phối tệp độc hại:
- gofile[.]io
- WeTransfer
Định dạng tệp độc hại: Tệp lưu trữ RAR hoặc ZIP chứa payload.
Tên mã độc: ValleyRAT (được ESET phát hiện là Win64/Valley).

Biện pháp Phòng ngừa và Ứng phó

Giảm thiểu rủi ro trở thành nạn nhân của chiến dịch tấn công mạng này đòi hỏi sự cảnh giác ở cả cấp độ cá nhân và tổ chức. Đây là những khuyến nghị quan trọng:

Đối với Người dùng

Xác minh email: Luôn xác minh bất kỳ email nào về thay đổi lương, phạt thuế hoặc cập nhật nhân sự thông qua một kênh riêng biệt, chẳng hạn như cuộc gọi điện thoại hoặc tin nhắn trực tiếp, trước khi thực hiện bất kỳ hành động nào.
Kiểm tra địa chỉ người gửi: Kiểm tra xem địa chỉ email của người gửi có thực sự khớp với tên hiển thị hay không. Sự không khớp là dấu hiệu phổ biến của hành vi giả mạo (spoofing).
Cảnh giác với văn phong: Cẩn trọng nếu ngôn ngữ trong email có vẻ cứng nhắc hoặc quá trang trọng bất thường, vì đây có thể là dấu hiệu của người không phải bản xứ.

Đối với Tổ chức

Cập nhật phần mềm bảo mật: Đảm bảo rằng tất cả phần mềm bảo mật, bao gồm phần mềm chống vi-rút và hệ thống phát hiện xâm nhập (IDS), được cập nhật thường xuyên.
Đào tạo nâng cao nhận thức: Thường xuyên đào tạo nhân viên về các mối đe dọa spearphishing và các dấu hiệu của email độc hại.
Báo cáo email đáng ngờ: Khuyến khích nhân viên báo cáo ngay lập tức bất kỳ email đáng ngờ nào cho đội ngũ IT hoặc an ninh mạng, ngay cả khi email ban đầu có vẻ là thông báo thường lệ.
Tham khảo thêm: Để biết thêm chi tiết về chiến dịch này, bạn có thể tham khảo báo cáo của ESET tại WeLiveSecurity.