-
09/04/2020
-
122
-
1.385 bài viết
Chiến dịch Hanoi Thief: CV giả trở thành “mũi khoan” tấn công doanh nghiệp Việt Nam
Một chiến dịch nguy hiểm có tên Operation Hanoi Thief được ghi nhận từ ngày 3 tháng 11 năm 2025, đang nhắm trực tiếp vào các bộ phận IT và tuyển dụng tại Việt Nam. Chiến dịch lợi dụng hồ sơ xin việc giả mạo để xâm nhập mạng nội bộ. Chỉ một lần mở file, tin tặc có thể chiếm quyền truy cập hệ thống, đánh cắp bí mật doanh nghiệp và dữ liệu khách hàng. Từ đó, doanh nghiệp có thể trở thành mục tiêu tống tiền hoặc bị mở rộng tấn công nếu không phát hiện kịp thời.
Chiến dịch khởi đầu bằng một email lừa đảo gửi tới bộ phận IT hoặc tuyển dụng, đính kèm tệp ZIP có tên Le-Xuan-Son_CV.zip. Bên trong là một tệp shortcut giả dạng hồ sơ xin việc (CV.pdf.lnk) và một tệp PNG ngụy trang. Tệp PNG này không chỉ là hình ảnh mồi nhử mà còn chứa các dòng mã được nhúng kín đáo.
Khi nạn nhân mở shortcut, Windows vô tình bị lợi dụng để chạy các lệnh ẩn thông qua ftp.exe, một công cụ hợp pháp có sẵn trong hệ thống. Đây là chiêu Living-Off-the-Land Binary giúp mã độc hoạt động mà không cần cài thêm phần mềm, khiến hệ thống bảo mật khó phát hiện.
Ngay lúc người dùng đang xem CV giả, tập lệnh âm thầm giải mã payload ẩn trong PNG. Nó tạo ra một thư viện độc hại MsCtfMonitor.dll trong thư mục C:\ProgramData, đồng thời sao chép ctfmon.exe – tệp hợp pháp của Windows vào cùng vị trí. Nhờ kỹ thuật DLL sideloading, Windows sẽ nạp DLL độc hại thay vì thư viện đúng chuẩn, chuyển quyền điều khiển hoàn toàn cho mã độc.
Payload cuối cùng có tên LOTUSHARVEST, được viết bằng C++ 64-bit. Công cụ này tập trung đánh cắp thông tin từ trình duyệt như mật khẩu đã lưu, tài khoản đăng nhập và lịch sử truy cập từ Chrome và Edge. Nó sử dụng API CryptUnprotectData để giải mã mật khẩu rồi đóng gói toàn bộ dữ liệu thành JSON, đi kèm thông tin máy và tên người dùng trước khi chuẩn bị gửi ra ngoài.
Để hoàn tất mục tiêu, mã độc thiết lập kết nối tới hạ tầng do tin tặc kiểm soát, chẳng hạn như eol4hkm8mfoeevs.m.pipedream.net và uuhlswlx.requestrepo.com. Dữ liệu bị đánh cắp được gửi ra ngoài thông qua HTTPS POST nhằm khó bị chặn lọc. Đồng thời, nó áp dụng kỹ thuật chống phân tích như IsDebuggerPresent và cả các quy trình crash giả, nhằm né tránh sandbox và gây nhiễu cho các nhà nghiên cứu bảo mật.
Các chuyên gia SEQRITE nhận thấy hoạt động này có tương đồng với các chiến dịch trước đây liên quan Trung Quốc. Tuy nhiên, đặc điểm tập trung đánh cắp thông tin của LOTUSHARVEST khiến mức độ xác định nguồn gốc chỉ tạm tin cậy, chưa thể kết luận hoàn toàn. Các phát hiện được phân loại trong hệ thống bảo vệ của SEQRITE là Trojan 50086-SL và Trojan A18678918.
Với mức độ nguy hiểm cao, doanh nghiệp cần cảnh giác tối đa với mọi email tuyển dụng và tập tin đính kèm. Nhân viên nên được đào tạo nhận thức về an ninh mạng. Hệ thống giám sát nội bộ phải tăng cường để phát hiện thư viện bất thường và tập tin nghi vấn. Phần mềm diệt virus cần được cập nhật đầy đủ. Mật khẩu không nên lưu trên trình duyệt và xác thực đa lớp phải được áp dụng để giảm nguy cơ rò rỉ dữ liệu và tê liệt hệ thống.
Chiến dịch khởi đầu bằng một email lừa đảo gửi tới bộ phận IT hoặc tuyển dụng, đính kèm tệp ZIP có tên Le-Xuan-Son_CV.zip. Bên trong là một tệp shortcut giả dạng hồ sơ xin việc (CV.pdf.lnk) và một tệp PNG ngụy trang. Tệp PNG này không chỉ là hình ảnh mồi nhử mà còn chứa các dòng mã được nhúng kín đáo.
Khi nạn nhân mở shortcut, Windows vô tình bị lợi dụng để chạy các lệnh ẩn thông qua ftp.exe, một công cụ hợp pháp có sẵn trong hệ thống. Đây là chiêu Living-Off-the-Land Binary giúp mã độc hoạt động mà không cần cài thêm phần mềm, khiến hệ thống bảo mật khó phát hiện.
Ngay lúc người dùng đang xem CV giả, tập lệnh âm thầm giải mã payload ẩn trong PNG. Nó tạo ra một thư viện độc hại MsCtfMonitor.dll trong thư mục C:\ProgramData, đồng thời sao chép ctfmon.exe – tệp hợp pháp của Windows vào cùng vị trí. Nhờ kỹ thuật DLL sideloading, Windows sẽ nạp DLL độc hại thay vì thư viện đúng chuẩn, chuyển quyền điều khiển hoàn toàn cho mã độc.
Payload cuối cùng có tên LOTUSHARVEST, được viết bằng C++ 64-bit. Công cụ này tập trung đánh cắp thông tin từ trình duyệt như mật khẩu đã lưu, tài khoản đăng nhập và lịch sử truy cập từ Chrome và Edge. Nó sử dụng API CryptUnprotectData để giải mã mật khẩu rồi đóng gói toàn bộ dữ liệu thành JSON, đi kèm thông tin máy và tên người dùng trước khi chuẩn bị gửi ra ngoài.
Để hoàn tất mục tiêu, mã độc thiết lập kết nối tới hạ tầng do tin tặc kiểm soát, chẳng hạn như eol4hkm8mfoeevs.m.pipedream.net và uuhlswlx.requestrepo.com. Dữ liệu bị đánh cắp được gửi ra ngoài thông qua HTTPS POST nhằm khó bị chặn lọc. Đồng thời, nó áp dụng kỹ thuật chống phân tích như IsDebuggerPresent và cả các quy trình crash giả, nhằm né tránh sandbox và gây nhiễu cho các nhà nghiên cứu bảo mật.
Các chuyên gia SEQRITE nhận thấy hoạt động này có tương đồng với các chiến dịch trước đây liên quan Trung Quốc. Tuy nhiên, đặc điểm tập trung đánh cắp thông tin của LOTUSHARVEST khiến mức độ xác định nguồn gốc chỉ tạm tin cậy, chưa thể kết luận hoàn toàn. Các phát hiện được phân loại trong hệ thống bảo vệ của SEQRITE là Trojan 50086-SL và Trojan A18678918.
Với mức độ nguy hiểm cao, doanh nghiệp cần cảnh giác tối đa với mọi email tuyển dụng và tập tin đính kèm. Nhân viên nên được đào tạo nhận thức về an ninh mạng. Hệ thống giám sát nội bộ phải tăng cường để phát hiện thư viện bất thường và tập tin nghi vấn. Phần mềm diệt virus cần được cập nhật đầy đủ. Mật khẩu không nên lưu trên trình duyệt và xác thực đa lớp phải được áp dụng để giảm nguy cơ rò rỉ dữ liệu và tê liệt hệ thống.
Tổng hợp
Chỉnh sửa lần cuối: