Các chuyên gia an toàn thông tin đã ghi nhận chiến dịch Operation Hanoi Thief đang gia tăng hoạt động, nhắm trực tiếp vào người dùng cá nhân và doanh nghiệp tại Việt Nam. Đây là một chiến dịch APT có chủ đích, sử dụng mã độc đánh cắp dữ liệu (stealer malware) LOTUSHARVEST nhằm thu thập thông tin đăng nhập và chuyển về máy chủ điều khiển của tin tặc.
1. Phương thức tấn công
Nhóm tấn công phát tán file LNK (Windows Shortcut) được nguỵ trang dưới dạng:
• Tài liệu nội bộ
• Hồ sơ ứng tuyển / CV
• Thông báo hành chính
• Hình ảnh hoặc file nén
Khi người dùng mở file, đoạn script PowerShell hoặc VBS ẩn bên trong sẽ kích hoạt, từ đó tải xuống và triển khai mã độc LOTUSHARVEST — được ghi nhận viết bằng Python, Go hoặc .NET.
2. Khả năng thu thập dữ liệu của LOTUSHARVEST
Dữ liệu nhạy cảm bị thu thập bởi LOTUSHARVEST (Ảnh minh họa)
Sau khi xâm nhập, mã độc âm thầm thu thập nhiều loại dữ liệu nhạy cảm, bao gồm:
• Mật khẩu, cookie và dữ liệu trình duyệt
• Thông tin tài khoản mạng xã hội, email, ví điện tử, dịch vụ tài chính
• Dữ liệu hệ thống, danh sách tiến trình
• Token đăng nhập ứng dụng
Toàn bộ dữ liệu được gửi về máy chủ điều khiển do nhóm tấn công kiểm soát.
3. Dấu hiệu xâm nhập (IOCs)
Ảnh minh họa
Domain
Đường dẫn file đáng ngờ
C:\ProgramData\MsCtfMonitor.dll
Tên file mồi nhử đã ghi nhận
Lệnh thực thi đáng ngờ
/c ftp.exe -s:"offsec-certified-professional.png"
Hash SHA256
• 1beb8fb1b6283dc7fffedcc2f058836d895d92b2fb2c37d982714af648994fed
• 77373ee9869b492de0db2462efd5d3eff910b227e53d238fae16ad011826388a
• 693ea9f0837c9e0c0413da6198b6316a6ca6dfd9f4d3db71664d2270a65bcf38
• 48e18db10bf9fa0033affaed849f053bd20c59b32b71855d1cc72f613d0cac4b
4. Khuyến nghị xử lý khẩn cấp
Nếu nghi ngờ thiết bị đã nhiễm stealer malware, người dùng cần thực hiện ngay lập tức:
1. Ngắt kết nối Internet
Tránh để dữ liệu tiếp tục rò rỉ về máy chủ C2.
2. Thay đổi toàn bộ mật khẩu trên thiết bị sạch
Ưu tiên:
1. Email chính
2. Tài khoản ngân hàng / ví điện tử
3. Mạng xã hội
4. Dịch vụ làm việc (Teams/Slack/Google/Office 365)
5. Các trình quản lý mật khẩu
3. Quét hệ thống bằng công cụ chuyên dụng
4. Thu thập log để phân tích
- • Lịch sử PowerShell (Microsoft-Windows-PowerShell/Operational)
- • Event Viewer Security Log
- • Trình duyệt (cookie, đăng nhập bất thường) → Cung cấp cho đội IR / (HSOC) HPT để điều tra.
5. Kiểm tra các phiên đăng nhập khả nghi
• Google: myaccount.google.com/device-activity
• Microsoft: account.microsoft.com
• Facebook/Instagram/Zalo: kiểm tra thiết bị đăng nhập
• Email doanh nghiệp: kiểm tra forwarding rule / inbox rule bất thường.
6. Cài đặt lại hệ điều hành (nếu nhiễm sâu)
Việc reinstall Windows là phương án an toàn nhất khi nghi ngờ backdoor hoặc bị chiếm quyền hệ thống.
5. Biện pháp phòng ngừa dài hạn
Để giảm nguy cơ từ các chiến dịch APT tương tự, doanh nghiệp và người dùng cần:
• Chặn mở file LNK từ email khi chưa xác minh nguồn gửi
• Bật MFA/2FA trên mọi tài khoản quan trọng
• Đào tạo nhân viên nhận diện shortcut độc hại
• Giám sát lưu lượng outbound và các kết nối đáng ngờ
Kết luận
Chiến dịch Operation Hanoi Thief cho thấy mức độ tinh vi ngày càng tăng của các cuộc tấn công mạng nhắm vào Việt Nam. Chủ động giám sát, nâng cao cảnh giác và triển khai biện pháp phòng vệ toàn diện là yếu tố then chốt để bảo vệ tài sản số của cá nhân và doanh nghiệp.
Nguồn: Seqrite (tham khảo)
🛡️ Bảo vệ hệ thống với Giải pháp và Dịch vụ bảo mật của HPT
HPT luôn đồng hành cùng doanh nghiệp trong việc nâng cao năng lực phòng thủ và ứng cứu sự cố an ninh mạng.
Tìm hiểu thêm các giải pháp tại: Giải pháp và Dịch vụ bảo mật