An ninh mạng

Nhóm tin tặc SideCopy nhắm vào Bộ Tài chính Afghanistan bằng mã độc Xeno RAT

Chiến dịch gián điệp mạng có tên Operation XENOFISCAL đang nhắm vào các quan chức chính phủ Afghanistan thông qua các tệp tin lừa đảo bằng tiếng Pashto, sử dụng mã độc Xeno RAT để chiếm quyền kiểm...

Nguyen Hung
5 Tháng 6, 2026 2 Min Read
4 0

Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch tấn công spear-phishing tinh vi nhắm vào Bộ Tài chính Afghanistan. Chiến dịch này được cho là do nhóm SideCopy, một tổ chức có liên hệ với Pakistan, thực hiện với mục tiêu chính là các quan chức chính phủ và nhân viên ngành tài chính.

Table Of Content

Chiến dịch Operation XENOFISCAL

Theo báo cáo từ Seqrite Labs, chiến dịch này được đặt tên là Operation XENOFISCAL. Kẻ tấn công sử dụng các tệp tin ZIP chứa tệp LNK độc hại với tên gọi được soạn thảo bằng tiếng Pashto – ngôn ngữ chính trong các cơ quan chính phủ Afghanistan. Việc lựa chọn ngôn ngữ này cho thấy sự am hiểu sâu sắc của kẻ tấn công đối với môi trường mục tiêu.

Khi tệp LNK được thực thi, nó sẽ tận dụng mshta.exe để tải một tệp HTA từ một tên miền giáo dục tại Afghanistan đã bị chiếm quyền kiểm soát trước đó. Quá trình này kích hoạt mã JavaScript bị xáo trộn (obfuscated) trong bộ nhớ, đồng thời thiết lập cơ chế duy trì (persistence) trong Registry bằng cách giả dạng Microsoft Edge. Sau đó, một trình tải (loader) dựa trên DLL sẽ giải phóng Xeno RAT phiên bản 1.8.7 cùng với một tài liệu giả mạo để đánh lạc hướng người dùng.

Khả năng nguy hiểm của Xeno RAT

Xeno RAT là một loại trojan truy cập từ xa (RAT) mạnh mẽ, cho phép kẻ tấn công thực hiện nhiều hành vi độc hại sau khi xâm nhập thành công:

  • Kết nối với máy chủ điều khiển (C2) qua giao thức TCP.
  • Tải và thực thi các module DLL bên ngoài.
  • Đánh cắp dữ liệu, ghi lại thao tác bàn phím (keylogging) và chụp ảnh màn hình.
  • Giám sát webcam, micro và clipboard.
  • Hỗ trợ tunneling mạng qua proxy SOCKS5.
  • Tự gỡ bỏ hoặc xóa các phương thức duy trì để tránh bị phát hiện.

Mối liên hệ với Transparent Tribe

SideCopy được coi là một phần của mạng lưới Transparent Tribe (hay còn gọi là APT36). Trước đó, nhóm này đã từng sử dụng các dòng mã độc như Spark RAT và CurlBack RAT để tấn công nhiều lĩnh vực tại Ấn Độ. Sự kiện lần này cho thấy một chuỗi hoạt động gián điệp mạng liên tục nhắm vào các thực thể tại khu vực Nam Á.

Đáng chú ý, các nhà nghiên cứu cũng ghi nhận một chiến dịch khác của Transparent Tribe nhắm vào cơ sở hạ tầng quân sự Ấn Độ thông qua các tệp .desktop độc hại trên Linux, nhằm triển khai một loại mã độc dựa trên Golang có tên là DeskRAT. Điều này khẳng định sự đa dạng trong phương thức tấn công và khả năng thích ứng của các nhóm tin tặc này trên nhiều nền tảng khác nhau.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept