Kaspersky ICS CERT phát hiện chiến dịch tấn công SalmonSlalom sử dụng dịch vụ đám mây hợp pháp để phát tán mã độc, nhắm vào các tổ chức công nghiệp tại khu vực châu Á – Thái Bình Dương, với mục tiêu đánh cắp dữ liệu và chiếm quyền kiểm soát hệ thống.
Các chuyên gia từ Kaspersky ICS CERT đã phát hiện một chiến dịch tấn công mạng phức tạp nhằm vào các tổ chức công nghiệp tại khu vực châu Á – Thái Bình Dương (APAC). Chiến dịch này sử dụng các dịch vụ điện toán đám mây hợp pháp để triển khai mã độc theo từng giai đoạn, giúp kẻ tấn công vượt qua hệ thống phát hiện xâm nhập. Hậu quả là tin tặc có thể xâm nhập mạng lưới của nạn nhân, cài đặt công cụ điều khiển từ xa, đánh cắp dữ liệu và thậm chí xóa thông tin quan trọng.
Chiến dịch nhắm vào các cơ quan chính phủ và doanh nghiệp công nghiệp nặng tại nhiều quốc gia trong khu vực, bao gồm Đài Loan, Malaysia, Trung Quốc, Nhật Bản, Thái Lan, Hồng Kông, Hàn Quốc, Singapore, Philippines và Việt Nam. Kẻ tấn công sử dụng các tệp nén chứa mã độc, ngụy trang thành tài liệu thuế, và phát tán thông qua email lừa đảo cũng như các ứng dụng nhắn tin phổ biến như WeChat và Telegram. Khi hệ thống của nạn nhân bị xâm nhập, một mã độc điều khiển từ xa có tên FatalRAT sẽ được cài đặt.
Mặc dù có một số điểm tương đồng với các cuộc tấn công trước đây sử dụng mã độc như Gh0st RAT, SimayRAT và Zegost, chiến dịch SalmonSlalom cho thấy sự cải tiến đáng kể về chiến thuật và kỹ thuật, tập trung vào các tổ chức sử dụng tiếng Trung Quốc.
Phương thức tấn công tinh vi
Kẻ xấu khai thác các nền tảng hợp pháp như mạng phân phối nội dung (CDN) myqcloud và dịch vụ lưu trữ Youdao Cloud Notes để tránh bị phát hiện. Chúng cũng sử dụng nhiều phương pháp nhằm vô hiệu hóa các hệ thống bảo mật, bao gồm:
- Liên tục thay đổi máy chủ điều khiển và tải trọng mã độc để hạn chế bị truy vết.
- Lưu trữ mã độc trên các trang web hợp pháp để qua mặt công cụ bảo mật.
- Khai thác lỗ hổng trong phần mềm hợp pháp để triển khai tấn công.
- Lợi dụng tính năng hợp pháp của phần mềm để kích hoạt mã độc.
- Mã hóa dữ liệu và lưu lượng mạng nhằm che giấu hành vi bất thường.
Kaspersky cảnh báo và đưa ra khuyến nghị
Ông Evgeny Goncharov, Trưởng nhóm Kaspersky ICS CERT, cho biết: “Chiến dịch này cho thấy cách các nhóm tội phạm mạng sử dụng những kỹ thuật đơn giản nhưng hiệu quả để xâm nhập vào hệ thống, ngay cả trong môi trường công nghệ vận hành (OT). Đây là lời cảnh báo quan trọng đối với các tổ chức công nghiệp tại khu vực APAC, nhấn mạnh sự cần thiết của các biện pháp bảo vệ chủ động.”
Dù chưa xác định chính xác nhóm tin tặc đứng sau chiến dịch này, nhưng các bằng chứng kỹ thuật và việc sử dụng giao diện tiếng Trung gợi ý rằng nhóm tấn công có thể thông thạo ngôn ngữ này.
Để bảo vệ trước chiến dịch SalmonSlalom, Kaspersky khuyến nghị các tổ chức thực hiện các biện pháp sau:
- Kích hoạt xác thực hai yếu tố (2FA) cho tài khoản quản trị và giao diện bảo mật web.
- Cập nhật phần mềm bảo mật lên phiên bản mới nhất và thường xuyên cập nhật cơ sở dữ liệu virus.
- Đảm bảo tất cả thành phần bảo mật hoạt động và thiết lập chính sách ngăn chặn việc vô hiệu hóa mà không có sự cho phép của quản trị viên.
- Theo dõi thông tin về các mối đe dọa mới nhất, đặc biệt từ Kaspersky Security Network.
- Cập nhật hệ điều hành và phần mềm để vá lỗ hổng bảo mật.
- Triển khai hệ thống giám sát bảo mật (SIEM) như Kaspersky Unified Monitoring and Analysis Platform.
- Sử dụng giải pháp EDR/XDR/MDR để kiểm soát môi trường OT và phát hiện hành vi đáng ngờ.
Chiến dịch SalmonSlalom là một minh chứng cho sự phát triển của các phương thức tấn công mạng hiện đại. Các tổ chức công nghiệp cần chủ động nâng cao năng lực phòng thủ để bảo vệ dữ liệu và hệ thống trước các mối đe dọa ngày càng tinh vi.