Tấn công mạng TOXICSNAKE: Mối đe dọa giáo dục nghiêm trọng

Các nhà nghiên cứu bảo mật đã phát hiện một mạng lưới phân phối lưu lượng truy cập (Traffic Distribution Network – TDS) phức tạp, sử dụng các tên miền giả mạo chủ đề giáo dục để phân phối mã độc và thực hiện các cuộc tấn công mạng lừa đảo (phishing). Chiến dịch này đại diện cho một mối đe dọa mạng đáng kể đối với người dùng và các tổ chức.

Phân tích chiến dịch TOXICSNAKE và tấn công mạng lừa đảo

Chiến dịch này được theo dõi thông qua các chỉ số hạ tầng và được đặt tên là TOXICSNAKE. Kẻ tấn công sử dụng thương hiệu của các trường đại học và tổ chức giáo dục hợp pháp để lừa người dùng truy cập vào các trang web độc hại.

Chiến thuật này khai thác sự tin tưởng cố hữu mà người dùng đặt vào các nền tảng giáo dục. Điều này biến nó thành một vector kỹ thuật xã hội cực kỳ hiệu quả cho các tội phạm mạng vận hành các dịch vụ mã độc thuê (malware-as-a-service) trên quy mô lớn. Các tấn công mạng như vậy thường có khả năng lây lan nhanh và gây thiệt hại lớn.

Mục tiêu cuối cùng là phân phối mã độc hoặc thực hiện các cuộc lừa đảo, tận dụng sự sơ hở và thiếu cảnh giác của người dùng trước một giao diện quen thuộc và đáng tin cậy. Đây là một hình thức tấn công mạng tinh vi đòi hỏi sự cảnh giác cao.

Cơ chế phân phối mã độc đa tầng

Chiến dịch tấn công này được xây dựng trên một cơ chế phân phối nhiều giai đoạn, được thiết kế kỹ lưỡng nhằm phát tán mã độc, nội dung lừa đảo và các trang đích lừa đảo (scam landing pages) đến các nạn nhân mục tiêu.

Giai đoạn truy cập ban đầu và khởi đầu lây nhiễm

Việc truy cập ban đầu bắt đầu khi người dùng không chủ ý gặp phải các trang đích được ngụy trang giống hệt các tổ chức giáo dục thực tế. Các trang này được thiết kế để gây nhầm lẫn và thuyết phục người dùng rằng họ đang truy cập một tài nguyên hợp pháp.

Ngay khi khách truy cập đến các cổng thông tin giáo dục giả mạo này, một đoạn mã JavaScript được làm xáo trộn sẽ tự động thực thi trong trình duyệt của họ, khởi đầu chuỗi lây nhiễm mà không cần tương tác thêm từ người dùng.

Hoạt động của Loader giai đoạn một

Trình tải (loader) giai đoạn một đóng vai trò then chốt trong quá trình lây nhiễm. Nó chứa một bộ giải mã ẩn, được lập trình để tạo ra một URL từ xa một cách linh hoạt và tiêm mã độc vào trang hiện tại.

Một điểm đáng chú ý là loader này đồng thời lưu trữ một cờ thực thi một lần (one-time execution flag) trong bộ nhớ trình duyệt. Điều này nhằm mục đích tránh bị phát hiện lặp lại bởi các công cụ bảo mật dựa trên hành vi hoặc người dùng khi họ quay lại trang.

Các nhà phân tích tại Macs-Hit đã xác định cơ sở hạ tầng mã độc sau khi thu hồi một JavaScript loader từ tên miền toxicsnake-wifes[.]com. Tên miền này không chỉ là một điểm lây nhiễm mà còn hoạt động như một nút trung tâm của hệ thống phân phối lưu lượng (TDS).

TDS này được thiết kế tinh vi để định tuyến nạn nhân đến các payload khác nhau, tối ưu hóa hiệu quả tấn công dựa trên các yếu tố như vị trí địa lý của người dùng, loại thiết bị (máy tính để bàn, di động) và thông tin trình duyệt. Đây là một chiến lược phổ biến trong các cuộc tấn công mạng quy mô lớn.

Trạng thái của các payload thượng nguồn

Giai đoạn thứ hai của chuỗi tấn công cố gắng tải các payload từ máy chủ thượng nguồn (upstream servers). Tuy nhiên, trong quá trình điều tra, các nhà nghiên cứu đã ghi nhận lỗi HTTP 504 Gateway Timeout.

Lỗi này thường chỉ ra rằng cơ sở hạ tầng thượng nguồn có thể không hoạt động, đã bị gỡ bỏ, hoặc bị chặn bởi các cơ quan thực thi pháp luật hoặc nhà cung cấp dịch vụ bảo mật tại thời điểm phân tích. Điều này đôi khi là dấu hiệu cho thấy các nỗ lực phòng thủ an ninh mạng đã có hiệu quả ban đầu.

Phân tích cơ sở hạ tầng và kỹ thuật né tránh nâng cao

Cuộc điều tra sâu rộng đã tiết lộ rằng chiến dịch này không phải là một sự cố đơn lẻ. Thay vào đó, nó là một phần của một cụm tên miền được phối hợp chặt chẽ, tất cả đều chia sẻ các mô hình bảo mật hoạt động (operational security – OpSec) giống hệt nhau.

Các tên miền độc hại liên quan

Dưới đây là danh sách các tên miền đã được xác định có liên quan và hoạt động như một phần của cụm này:

• pasangiklan[.]top
• asangiklan[.]top
• ourasolid[.]com
• refanprediction[.]shop
• xelesex[.]top

Tất cả các tên miền này đều mang thương hiệu chủ đề giáo dục giống nhau và hoạt động từ cơ sở hạ tầng tương tự, cho thấy một chiến dịch được tổ chức tốt và có khả năng mở rộng. Sự phối hợp này làm tăng cường mối đe dọa mạng tổng thể.

Sử dụng Bulletproof Hosting để duy trì hoạt động

Toàn bộ hoạt động của chiến dịch TOXICSNAKE được duy trì thông qua các nhà cung cấp dịch vụ bulletproof hosting. Đặc biệt, HZ Hosting Ltd (ASN AS202015) đã được xác định là một trong những nhà cung cấp chính.

Các nhà cung cấp bulletproof hosting nổi tiếng với chính sách lạm dụng (abuse policy) linh hoạt và thường ít khi phản ứng với các khiếu nại về nội dung độc hại. Điều này cho phép các hoạt động độc hại tồn tại lâu hơn, làm phức tạp các nỗ lực gỡ bỏ.

Việc sử dụng loại hình hosting này là một chiến thuật then chốt của tội phạm mạng để đảm bảo tính bền bỉ và khả năng chống chịu của cơ sở hạ tầng trước các hành động pháp lý và bảo mật. Nó là một yếu tố quan trọng trong việc duy trì các cuộc tấn công mạng dai dẳng.

Kỹ thuật đăng ký tên miền và né tránh phát hiện

Các tên miền độc hại trong chiến dịch này được đăng ký bằng thông tin WHOIS dùng một lần (disposable WHOIS information), làm cho việc truy tìm chủ sở hữu thực sự trở nên vô cùng khó khăn. Ngoài ra, chúng dựa vào máy chủ định danh Regway nameservers, một mô hình thường thấy trong giới tội phạm mạng.

Tất cả các tên miền này đều phân giải đến các địa chỉ IP trong khối mạng 185.33.84.0/23. Một chiến thuật đáng chú ý là mỗi tên miền được gán một địa chỉ IP chuyên dụng. Mục đích chính của chiến thuật này là để né tránh việc chặn IP trên diện rộng.

Nếu một địa chỉ IP bị phát hiện và chặn, các tên miền khác trên cùng khối mạng nhưng với IP khác vẫn có thể tiếp tục hoạt động, làm giảm hiệu quả của các biện pháp phòng thủ dựa trên IP. Đây là một thách thức lớn đối với an ninh mạng.

Tối ưu hóa việc sử dụng chứng chỉ TLS để tăng độ tin cậy

Kẻ tấn công tận dụng việc tạo chứng chỉ tự động thông qua dịch vụ Let’s Encrypt. Bằng cách này, chúng thu được các chứng chỉ TLS miễn phí có giá trị trong chín mươi ngày.

Cách tiếp cận này mang lại hai lợi ích chính: cho phép thay thế tên miền nhanh chóng và khả năng xoay vòng cơ sở hạ tầng hiệu quả. Điều này giúp các trang web lừa đảo duy trì tính hợp pháp bề ngoài, sử dụng HTTPS để đánh lừa người dùng và hệ thống bảo mật rằng chúng an toàn.

Việc tự động hóa và sử dụng chứng chỉ miễn phí cũng giúp kẻ tấn công giảm thiểu đáng kể chi phí và thời gian triển khai, đẩy nhanh tốc độ triển khai các cuộc tấn công mạng mới.

Cơ chế né tránh Sandbox tinh vi

Một trong những kỹ thuật né tránh tiên tiến nhất được JavaScript loader làm xáo trộn triển khai là tokenization. Kỹ thuật này tạo ra các mã định danh phiên duy nhất cho mỗi khách truy cập. Điều này có tác dụng ngăn chặn các môi trường sandbox bảo mật và các công cụ phân tích tự động phân tích chính xác mối đe dọa.

Cụ thể, loader sẽ định tuyến các môi trường phân tích sang nội dung lành tính (benign content) hoặc một luồng hoạt động vô hại. Trong khi đó, nó vẫn phân phối payload thực tế đến các nạn nhân thực sự khi chúng không bị phát hiện là sandbox.

Kỹ thuật này đặt ra một thách thức lớn trong việc phát hiện xâm nhập và phân tích mã độc tự động, vì nó làm sai lệch kết quả của các môi trường kiểm tra bảo mật, cho phép mã độc tránh bị phân tích đầy đủ.

Chỉ số thỏa hiệp (IOCs) cho phòng thủ chủ động

Để hỗ trợ các nhà phân tích và chuyên gia an ninh mạng trong việc phát hiện và ngăn chặn chiến dịch TOXICSNAKE, dưới đây là các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) quan trọng cần được theo dõi và triển khai vào hệ thống bảo mật:

Tên miền độc hại

• toxicsnake-wifes[.]com
• pasangiklan[.]top
• asangiklan[.]top
• ourasolid[.]com
• refanprediction[.]shop
• xelesex[.]top

Khối địa chỉ IP

• 185.33.84.0/23

ASN liên quan đến Bulletproof Hosting

• AS202015 (HZ Hosting Ltd)

Mô hình đăng ký tên miền

• Thông tin WHOIS dùng một lần (disposable WHOIS).
• Máy chủ định danh Regway nameservers.

Các tổ chức nên cấu hình hệ thống tường lửa (firewall), hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS) và các giải pháp bảo mật khác để chặn lưu lượng truy cập từ các chỉ số này. Đồng thời, cần thiết lập cảnh báo về mọi hoạt động liên quan để có thể phản ứng kịp thời và ngăn chặn các tấn công mạng tiềm tàng.

Việc theo dõi liên tục các chỉ số mới và cập nhật các IOCs là rất quan trọng để duy trì một tư thế phòng thủ mạnh mẽ chống lại những mối đe dọa mạng như TOXICSNAKE. Đặc biệt, cần chú ý đến việc kiểm tra lưu lượng truy cập liên quan đến các tên miền có chủ đề giáo dục, đặc biệt là những tên miền không chính thức hoặc có dấu hiệu đáng ngờ.

Triển khai các giải pháp an ninh mạng toàn diện, bao gồm cả đào tạo nhận thức cho người dùng, sẽ giúp giảm thiểu rủi ro từ các chiến dịch TDS phức tạp và các cuộc tấn công mạng lừa đảo.