An ninh mạng

Nhóm tin tặc Trung Quốc lợi dụng tính năng Google Workspace để đánh cắp dữ liệu nhạy cảm

Nhóm tin tặc UNC6508 đã xâm nhập vào các mạng lưới nghiên cứu và quân sự tại Bắc Mỹ thông qua lỗ hổng trên máy chủ REDCap, sau đó lợi dụng các quy tắc quản trị của Google Workspace để đánh cắp email...

Nguyen Hung
16 Tháng 6, 2026 2 Min Read
2 0

Một nhóm gián điệp mạng có liên hệ với Trung Quốc, được Google Threat Intelligence Group (GTIG) định danh là UNC6508, đã duy trì sự hiện diện trái phép trong các mạng lưới nghiên cứu y tế, học thuật và quân sự tại Bắc Mỹ suốt hơn một năm qua. Mục tiêu của nhóm này là đánh cắp các tài liệu nghiên cứu và thông tin quốc phòng nhạy cảm.

Table Of Content

Phương thức xâm nhập qua REDCap

Điểm khởi đầu của cuộc tấn công là các máy chủ REDCap (Research Electronic Data Capture) – nền tảng web phổ biến trong quản lý dữ liệu nghiên cứu. Dù chưa xác định được vector tấn công ban đầu cụ thể, các chuyên gia ghi nhận nhóm này thường xuyên dò quét các phiên bản REDCap cũ và chứa lỗ hổng.

Sau khi xâm nhập, nhóm triển khai mã độc tùy chỉnh có tên INFINITERED. Mã độc này thực hiện ba hành vi chính: can thiệp vào quy trình cập nhật để duy trì sự hiện diện, đánh cắp thông tin đăng nhập từ trang quản trị và hoạt động như một backdoor nhận lệnh thông qua HTTP cookies.

Kỹ thuật đánh cắp dữ liệu tinh vi

Điểm đáng chú ý nhất trong chiến dịch này là cách thức exfiltration (trích xuất dữ liệu). Thay vì sử dụng các công cụ độc hại truyền thống, UNC6508 đã lạm dụng tính năng content compliance rules (quy tắc tuân thủ nội dung) có sẵn trong Google Workspace. Bằng cách thiết lập các quy tắc lọc từ khóa, nhóm này đã tự động gửi bản sao (BCC) của các email chứa thông tin quan trọng về chiến lược quân sự, AI, công nghệ không người lái và y tế đến một tài khoản Gmail do chúng kiểm soát.

Theo GTIG, đây là lần đầu tiên họ phát hiện một nhóm tin tặc Trung Quốc sử dụng phương pháp cấu hình lại quy tắc quản trị đám mây để đánh cắp dữ liệu một cách âm thầm, không gây ra các cảnh báo bất thường về lưu lượng mạng.

Khuyến nghị bảo mật

Để phòng chống các cuộc tấn công tương tự, các tổ chức cần thực hiện các bước sau:

  • Đối với REDCap: Cập nhật các máy chủ hướng ra internet lên phiên bản mới nhất và gỡ bỏ hoàn toàn các phiên bản cũ để tránh các cuộc tấn công downgrade.
  • Đối với Google Workspace: Kiểm tra định kỳ các quy tắc chuyển tiếp email hoặc quy tắc tuân thủ nội dung để phát hiện các cấu hình bất thường.
  • Giám sát: Rà soát nhật ký quản trị (admin audit logs) để tìm kiếm các thay đổi trái phép trong cấu hình hệ thống.
  • Xác thực: Triển khai MFA chống phishing cho tất cả các tài khoản quản trị viên để ngăn chặn việc leo thang đặc quyền.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept