Ngày 5 tháng 5 năm 2025, Arctic Wolf đã phát đi cảnh báo về một chiến dịch lừa đảo tinh vi (spear phishing) nhắm vào các phòng nhân sự (HR) và nhà tuyển dụng tại các doanh nghiệp. Chiến dịch này sử dụng hồ sơ ứng tuyển giả mạo chứa mã độc More_eggs phiên bản nâng cấp, với khả năng qua mặt các công cụ phát hiện và gây ra hậu quả nghiêm trọng như đánh cắp thông tin đăng nhập, dữ liệu khách hàng, tài sản trí tuệ hoặc bí mật thương mại. Bài viết này sẽ phân tích chi tiết chiến dịch, cung cấp giải thích kỹ thuật về cách thức hoạt động của mã độc và đưa ra các khuyến nghị bảo vệ cụ thể.

Tổng quan về chiến dịch lừa đảo

Theo báo cáo từ Arctic Wolf, nhóm tội phạm mạng được một số nhà nghiên cứu gọi là Venom Spider hoặc TA4557 đứng sau chiến dịch này. Nhóm này sử dụng các nền tảng nhắn tin hợp pháp (như email hoặc ứng dụng nhắn tin doanh nghiệp) và các trang tuyển dụng uy tín (như LinkedIn, Indeed.com) để gửi hồ sơ ứng tuyển giả mạo đến các bộ phận nhân sự. Những hồ sơ này chứa mã độc More_eggs, một loại backdoor (cửa hậu) đã được cải tiến để:

Lây nhiễm hiệu quả hơn: Nhờ sử dụng kỹ thuật đa hình (polymorphism) và mã hóa phức tạp.
Tránh phát hiện: Qua mặt các công cụ phân tích tự động như sandboxing bằng cách trì hoãn thực thi và sử dụng các công cụ hợp pháp của hệ thống.

Mục tiêu của chiến dịch:

Đánh cắp thông tin nhạy cảm như thông tin đăng nhập, dữ liệu thanh toán khách hàng, tài sản trí tuệ hoặc bí mật thương mại.
Thực hiện gián điệp doanh nghiệp, đặc biệt nhắm vào các tổ chức nhạy cảm như chính phủ, nhà sản xuất quốc phòng, công ty công nghệ hoặc nhà cung cấp cơ sở hạ tầng trọng yếu.

Tại sao nhân sự là mục tiêu?
Bộ phận nhân sự thường được coi là “mắt xích yếu” vì đặc thù công việc yêu cầu họ thường xuyên mở các tệp đính kèm (như hồ sơ, thư ứng tuyển) từ các nguồn bên ngoài không xác định, chẳng hạn như ứng viên hoặc công ty săn đầu người. Điều này tạo điều kiện thuận lợi cho tội phạm mạng khai thác.

Cách thức hoạt động của chiến dịch

Chiến dịch này được thiết kế với nhiều giai đoạn, sử dụng kỹ thuật Living Off The Land (LOTL) và mã độc đa hình để tăng hiệu quả lây nhiễm và giảm khả năng bị phát hiện. Dưới đây là phân tích chi tiết từng bước cùng giải thích kỹ thuật:

Gửi email lừa đảo chứa liên kết tải hồ sơ
- Hoạt động: Một email giả mạo được gửi đến nhân viên HR, thường chứa một liên kết dẫn đến một trang web do tội phạm mạng kiểm soát. Email tuyên bố rằng liên kết này cho phép tải xuống hồ sơ ứng tuyển của một ứng viên.
- Chi tiết kỹ thuật:
  - Email thường được gửi từ các nền tảng hợp pháp hoặc giả mạo một cách tinh vi để trông giống như đến từ các trang tuyển dụng uy tín.
  - Trang web yêu cầu người dùng vượt qua một bài kiểm tra CAPTCHA, một kỹ thuật giúp ngăn chặn các công cụ quét tự động (như bot của hệ thống bảo mật) truy cập vào nội dung độc hại.
  - Giải thích: CAPTCHA không chỉ tăng tính thuyết phục (vì nhiều trang web hợp pháp sử dụng nó) mà còn giúp tội phạm mạng xác minh rằng nạn nhân là con người, từ đó triển khai payload chính xác hơn.
Tải xuống tệp ZIP chứa mã độc
- Hoạt động: Sau khi vượt qua CAPTCHA, người dùng được phép tải xuống một tệp ZIP, được cho là chứa hồ sơ ứng tuyển. Tệp ZIP này chứa hai tệp:
  - Một tệp .lnk (Windows shortcut) là payload chính của cuộc tấn công.
  - Một tệp hình ảnh .jpg để đánh lạc hướng, khiến nạn nhân nghĩ rằng đây là tài liệu thông thường.
- Chi tiết kỹ thuật:
  - Tệp .lnk được tạo ra với server-side polymorphism, nghĩa là mỗi lần tải xuống, mã độc sẽ được tạo mới với kích thước tệp và mã hóa khác nhau. Điều này làm khó các hệ thống phát hiện dựa trên chữ ký (signature-based detection).
Thực thi mã độc qua tệp .lnk
- Hoạt động: Khi nạn nhân mở tệp .lnk, một đoạn script .bat được mã hóa sẽ thực hiện các hành động sau:
  - Tạo một tệp ieuinit.inf trong thư mục %temp% (thư mục tạm của Windows) và ghi các lệnh mã hóa vào đó.
  - Mở Microsoft WordPad để đánh lạc hướng, khiến nạn nhân nghĩ rằng hồ sơ đang được mở.
  - Kích hoạt tiện ích hợp pháp của Windows (%windir%\system32\ie4uinit.exe) để thực thi các lệnh từ tệp ieuinit.inf.
- Chi tiết kỹ thuật:
  - Tệp ieuinit.inf chứa các lệnh mã hóa, bao gồm một script Windows batch và mã JavaScript.
  - ie4uinit.exe là một tiện ích hợp pháp của Windows, thường được sử dụng để cấu hình giao diện người dùng Internet Explorer. Trong trường hợp này, nó bị lạm dụng để thực thi các lệnh độc hại.
Tải xuống và cài đặt backdoor More_eggs
- Hoạt động: Tệp ieuinit.inf chứa một URL dẫn đến giai đoạn tiếp theo của cuộc tấn công, tải xuống thư viện thực thi của More_eggs.
- Chi tiết kỹ thuật:
  - Thư viện này sử dụng mã hóa phức tạp và tạo mã JavaScript theo kiểu đa hình, khiến mỗi phiên bản của mã độc đều khác nhau.
  - Quá trình thực thi được trì hoãn thời gian (time-delayed execution) để tránh bị phát hiện bởi các công cụ sandboxing, vốn thường chỉ chạy mẫu mã độc trong một khoảng thời gian ngắn.
Hậu quả của cuộc tấn công
- Khi backdoor More_eggs được cài đặt, tội phạm mạng có thể:
  - Đánh cắp thông tin đăng nhập (credentials) thông qua keylogging hoặc truy cập bộ nhớ.
  - Thu thập dữ liệu thanh toán khách hàng từ cơ sở dữ liệu nội bộ.
  - Truy cập tài sản trí tuệ hoặc bí mật thương mại.
  - Thực hiện gián điệp doanh nghiệp, đặc biệt nhắm vào các tổ chức nhạy cảm.

Bài học từ quá khứ

Các chiến dịch lừa đảo sử dụng hồ sơ giả mạo không phải là mới. Năm 2018, Mailguard, một nhà cung cấp bảo mật email tại Úc, đã cảnh báo về một chiến dịch tương tự sử dụng mật khẩu để mở tệp đính kèm, nhằm qua mặt các cổng email bảo mật. Điều này cho thấy tội phạm mạng liên tục cải tiến chiến thuật, đòi hỏi doanh nghiệp phải luôn cập nhật các biện pháp phòng thủ và nâng cao nhận thức của nhân viên.

Chiến dịch này đặc biệt nguy hiểm vì các lý do sau:

Tận dụng các nền tảng hợp pháp
- Nhóm Venom Spider sử dụng các dịch vụ nhắn tin và tuyển dụng đáng tin cậy như LinkedIn hoặc Indeed.com, khiến email lừa đảo trông giống thật hơn.
- Giải thích: Việc giả mạo các nền tảng hợp pháp làm tăng tỷ lệ thành công của email lừa đảo, vì nhân viên HR thường quen thuộc với việc nhận hồ sơ từ các nguồn này.
Kỹ thuật LOTL
- Việc sử dụng các tiện ích hợp pháp của Windows như ie4uinit.exe giúp chiến dịch này tránh được các hệ thống phát hiện dựa trên chữ ký.
- Giải thích: Các công cụ LOTL khó bị phát hiện hơn vì chúng không phải là phần mềm độc hại, mà là các thành phần hợp pháp của hệ điều hành bị lạm dụng.
Mã độc đa hình
- Tệp .lnk và thư viện More_eggs thay đổi mã hóa và kích thước mỗi lần tải xuống, khiến các công cụ bảo mật khó tạo ra chữ ký nhận diện.
- Giải thích: Tính đa hình làm giảm hiệu quả của các giải pháp chống virus truyền thống, vốn dựa vào việc so sánh mẫu mã độc với cơ sở dữ liệu chữ ký.
Tận dụng thói quen của nhân viên HR
- Nhân viên HR thường xuyên mở các tệp đính kèm, và việc cung cấp mật khẩu để mở hồ sơ trong email là một chiến thuật khiến các cổng email bảo mật khó quét được nội dung độc hại.
- Giải thích: Nhiều cổng email bảo mật không thể giải mã các tệp được bảo vệ bằng mật khẩu, tạo cơ hội cho mã độc vượt qua kiểm tra.
Mục tiêu đa dạng
- Ngoài mục tiêu đánh cắp dữ liệu, chiến dịch này còn có thể được sử dụng cho gián điệp, nhắm vào các tổ chức nhạy cảm như chính phủ hoặc ngành công nghiệp quốc phòng.
- Giải thích: Các tổ chức này thường có dữ liệu giá trị cao, khiến chúng trở thành mục tiêu hấp dẫn cho các nhóm tội phạm mạng có tổ chức.

Khuyến nghị bảo vệ doanh nghiệp (Kèm chi tiết kỹ thuật)

Để giảm thiểu rủi ro từ chiến dịch này, các CISO và đội ngũ IT nên thực hiện các biện pháp sau, kèm theo giải thích kỹ thuật:

Sử dụng cổng email bảo mật (Secure Email Gateway)
- Hành động:
  - Cấu hình cổng email để chặn các phần mở rộng tệp nguy hiểm như .lnk, .vbs, .iso.
  - Tăng cường kiểm tra các tệp ZIP, đặc biệt là những tệp chứa nội dung đáng ngờ.
- Chi tiết kỹ thuật:
  - Sử dụng các giải pháp như Proofpoint, Mimecast hoặc Cisco Secure Email để triển khai quy tắc lọc dựa trên phần mở rộng tệp và hành vi.
  - Kích hoạt tính năng sandboxing email để phân tích các tệp đính kèm trong môi trường an toàn trước khi chuyển đến người dùng.
Triển khai giải pháp Endpoint Detection and Response (EDR)
- Hành động: Sử dụng EDR để phát hiện và ngăn chặn các hành vi bất thường trên thiết bị đầu cuối.
- Chi tiết kỹ thuật:
  - Các giải pháp như CrowdStrike, SentinelOne hoặc Microsoft Defender for Endpoint có thể phát hiện các hành vi như thực thi lệnh từ ie4uinit.exe hoặc tạo tệp trong thư mục %temp%.
  - Thiết lập cảnh báo cho các quy trình bất thường liên quan đến .lnk hoặc .bat.
Đào tạo nhân viên về an ninh mạng
- - Tổ chức các buổi đào tạo định kỳ để nhân viên nhận biết các kỹ thuật lừa đảo qua email, đặc biệt là các email tạo cảm giác khẩn cấp hoặc giả mạo từ lãnh đạo.
    - Cảnh báo nhân viên về các phần mở rộng tệp nguy hiểm như .lnk, .vbs, hoặc .iso.
    - Hướng dẫn nhân viên kiểm tra nội dung tệp ZIP trước khi mở, sử dụng các công cụ như 7-Zip để xem trước.
    - Sử dụng các nền tảng đào tạo như KnowBe4 hoặc PhishMe để mô phỏng các cuộc tấn công lừa đảo.
    - Cung cấp hướng dẫn cụ thể về cách kiểm tra tiêu đề email (email header) để phát hiện nguồn gốc giả mạo.
Tích hợp nút báo cáo lừa đảo
- - Tích hợp nút báo cáo vào các client email như Microsoft Outlook hoặc Gmail thông qua các plugin từ nhà cung cấp như Barracuda hoặc Cofense.
    - Đảm bảo các email được báo cáo được chuyển trực tiếp đến SOC (Security Operations Center) để phân tích.
Phân đoạn mạng (Network Segmentation)
- - Sử dụng VLAN hoặc tường lửa (firewall) để tách biệt các phòng ban, đặc biệt là HR và các hệ thống chứa dữ liệu nhạy cảm.
    - Áp dụng chính sách Zero Trust để yêu cầu xác thực cho mọi kết nối mạng

Kết luận

Chiến dịch lừa đảo sử dụng hồ sơ giả mạo chứa mã độc More_eggs là một ví dụ điển hình về sự tinh vi của các cuộc tấn công spear phishing hiện đại. Với việc kết hợp kỹ thuật LOTL, mã độc đa hình, và khai thác các nền tảng hợp pháp, nhóm Venom Spider đã tạo ra một mối đe dọa khó phát hiện và có khả năng gây thiệt hại lớn.

Tham khảo

Fake resumes targeting HR managers now come with updated backdoor

What is spear phishing? Definition and risks

Chiến dịch Spear Phishing nhắm vào phòng nhân sự HR của các doanh nghiệp