Operation Hanoi Thief: Chiến dịch gián điệp tinh vi nhắm IT Việt
Chiến dịch gián điệp mạng tinh vi có tên “Operation Hanoi Thief” đã được phát hiện, nhắm mục tiêu cụ thể vào các chuyên gia công nghệ thông tin và đội ngũ tuyển dụng tại Việt Nam. Hoạt động xâm nhập mạng này, được nhận diện vào ngày 3 tháng 11 năm 2025, sử dụng một chuỗi lây nhiễm nhiều giai đoạn phức tạp được thiết kế để thu thập thông tin xác thực trình duyệt và lịch sử duyệt web nhạy cảm.
Phương Thức Tấn Công Ban Đầu
Những kẻ tấn công triển khai chiến lược tấn công lừa đảo có chủ đích (spear-phishing) tinh vi. Chúng phát tán một tệp lưu trữ ZIP có tên Le-Xuan-Son_CV.zip. Tệp này ngụy trang thành một hồ sơ xin việc hợp pháp từ một nhà phát triển phần mềm có trụ sở tại Hà Nội.
Quá trình lây nhiễm bắt đầu khi nạn nhân tương tác với một tệp shortcut, CV.pdf.lnk, có trong tệp lưu trữ. Tệp này kích hoạt một chuỗi các sự kiện sử dụng các kỹ thuật “Living off the Land” (LOLBin), khai thác các công cụ hợp pháp của hệ thống.
Kỹ Thuật Khai Thác LOLBin và Tệp Polyglot
Cụ thể, tệp .lnk lợi dụng tiện ích ftp.exe của Windows với cờ -s để thực thi một script batch ẩn bên trong một tệp pseudo-polyglot có tên offsec-certified-professional.png.
Tệp này có chức năng kép: vừa là một hình ảnh mồi nhử vô hại, vừa là một container độc hại. Điều này giúp nó né tránh hiệu quả các cơ chế phát hiện truyền thống bằng cách chôn giấu payload bên trong các header hình ảnh hợp pháp. Đối số dòng lệnh này là một chỉ số quan trọng về tính chất tàng hình của cuộc tấn công, cho phép kẻ tấn công chiếm quyền điều khiển tài nguyên hệ thống một cách kín đáo.
ftp.exe -s:offsec-certified-professional.pngChuỗi Lây Nhiễm và Implant LOTUSHARVEST
Hành động tấn công chủ yếu tập trung vào việc thu thập thông tin tình báo, đặc biệt là đánh cắp dữ liệu đăng nhập và thói quen duyệt web từ các nạn nhân trong lĩnh vực công nghệ và nhân sự. Bằng cách khai thác sự tin tưởng vốn có trong các quy trình tuyển dụng, các tác nhân đe dọa đã vượt qua thành công các lớp bảo mật ban đầu.
Che Giấu Hoạt Động và DLL Side-Loading
Cốt lõi của cuộc tấn công là việc thực thi implant LOTUSHARVEST. Sau khi script ban đầu chạy, nó lạm dụng DeviceCredentialDeployment.exe để che giấu các hoạt động dòng lệnh của mình. Đồng thời, nó đổi tên các tiện ích hệ thống như certutil.exe thành lala.exe để né tránh việc giám sát và giúp kẻ tấn công chiếm quyền điều khiển các quy trình hệ thống.
Trong chuỗi lây nhiễm, script sau đó trích xuất một blob được mã hóa Base64 từ tệp polyglot và giải mã nó thành một DLL độc hại có tên MsCtfMonitor.dll.
DLL này được side-loaded bằng cách sử dụng một binary ctfmon.exe hợp pháp được sao chép vào thư mục C:\ProgramData. Kỹ thuật này cho phép mã độc thực thi với quyền hạn cao, tiếp tục mục tiêu chiếm quyền điều khiển môi trường nạn nhân.
Tính Năng của LOTUSHARVEST Information Stealer
LOTUSHARVEST hoạt động như một công cụ đánh cắp thông tin (information stealer) mạnh mẽ. Nó sử dụng các kiểm tra chống phân tích như IsDebuggerPresent và IsProcessorFeaturePresent để tự hủy nếu bị phát hiện phân tích.
Mục tiêu của nó là các trình duyệt Google Chrome và Microsoft Edge. Implant này truy vấn các cơ sở dữ liệu SQLite để trích xuất 20 URL được truy cập nhiều nhất và giải mã tối đa năm thông tin xác thực đã lưu bằng cách sử dụng hàm CryptUnprotectData. Sự tinh vi trong việc thu thập thông tin này nhấn mạnh khả năng chiếm quyền điều khiển dữ liệu nhạy cảm của implant.
Để biết thêm chi tiết kỹ thuật về phát hiện chiến dịch này, có thể tham khảo báo cáo từ Seqrite tại Seqrite Security Blog.
Cơ Chế Exfiltration Dữ Liệu và IOC
Cuối cùng, dữ liệu bị đánh cắp được định dạng thành JSON và được truyền ra ngoài thông qua một yêu cầu HTTPS POST đến máy chủ do kẻ tấn công kiểm soát.
Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)
Chỉ số thỏa hiệp chính được xác định liên quan đến máy chủ exfiltration dữ liệu:
- Miền Exfiltration:
eol4hkm8mfoeevs.m.pipedream.net
Việc giám sát và chặn truy cập đến miền này là cần thiết để ngăn chặn hoạt động xâm nhập mạng và đánh cắp dữ liệu thành công.
