GoSerpent: Mã độc gián điệp mới nhắm vào các cơ quan chính phủ và ngoại giao tại Đông Nam Á
Các nhà nghiên cứu bảo mật vừa phát hiện mã độc GoSerpent, một công cụ gián điệp tinh vi nhắm vào các mục tiêu chính phủ và ngoại giao tại Đông Nam Á từ cuối năm...
Một loại mã độc mới có tên gọi GoSerpent vừa được các chuyên gia an ninh mạng phát hiện, với mục tiêu chính là các tổ chức chính phủ và cơ quan ngoại giao tại khu vực Đông Nam Á. Chiến dịch này đã được triển khai từ cuối năm 2025, tập trung vào việc duy trì quyền truy cập lâu dài và thu thập thông tin tình báo.
Table Of Content
Phương thức hoạt động của GoSerpent
Theo Kaspersky, đơn vị phát hiện hoạt động này vào tháng 2/2026, GoSerpent được thiết kế để kết nối với các server điều khiển (C2) bên ngoài, từ đó tải xuống các payload độc hại bổ sung nhằm đánh cắp dữ liệu và thông tin xác thực (credential dumping). Mã độc này sử dụng các đối số dòng lệnh được mã hóa Base64 để nhận thông tin về địa chỉ C2 và mật khẩu giao tiếp.
Các tính năng chính của GoSerpent bao gồm:
- Thiết lập proxy SOCKS5 để định tuyến lưu lượng truy cập qua các máy chủ bị nhiễm, giúp kẻ tấn công ẩn danh địa chỉ IP thực.
- Thực thi lệnh từ xa (remote shell).
- Tải lên/tải xuống tệp tin.
- Triển khai các công cụ hỗ trợ như Mimikatz để trích xuất thông tin xác thực từ tiến trình LSASS và QuarksDumpLocalHash để lấy hash mật khẩu từ registry SAM.
Sự tiến hóa của bộ công cụ tấn công
Đến tháng 5/2026, nhóm tin tặc đứng sau GoSerpent đã nâng cấp kho vũ khí của mình với các công cụ mới như Stowaway (công cụ proxy và truy cập từ xa) và TmcLoader. Đặc biệt, công cụ ThumbcacheService được sử dụng để thu thập dữ liệu nhạy cảm trước khi thực hiện hành vi exfiltration (trích xuất dữ liệu) ra khỏi hệ thống.
Mặc dù chưa có kết luận chính thức về danh tính kẻ tấn công, các chuyên gia nhận thấy nhiều điểm tương đồng về kỹ thuật và mục tiêu với TetrisPhantom – một nhóm tin tặc từng được ghi nhận vào năm 2023 với các chiến dịch tấn công sử dụng USB được mã hóa phần cứng để xâm nhập các cơ quan chính phủ tại khu vực APAC.
Cảnh báo về các chiến dịch song song
Bên cạnh GoSerpent, các báo cáo an ninh gần đây cũng ghi nhận hoạt động của nhóm DoNot Team nhắm vào các cơ sở quốc phòng tại Bangladesh. Nhóm này sử dụng kỹ thuật phishing qua email chứa tài liệu RTF độc hại, thực hiện remote template injection để kích hoạt macro VBA, từ đó cài đặt các DLL implant nhằm duy trì sự hiện diện lâu dài trên hệ thống mục tiêu.
Các chuyên gia khuyến cáo các tổ chức cần tăng cường giám sát lưu lượng mạng, kiểm soát chặt chẽ việc sử dụng các thiết bị lưu trữ ngoại vi và cập nhật các bản patch bảo mật mới nhất để ngăn chặn các cuộc tấn công gián điệp tinh vi này.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.