Cảnh báo: Hơn 20 trang web chính phủ bị chiếm quyền điều khiển để phát tán malware
Chiến dịch PhantomEnigma đang lợi dụng các trang web chính phủ hợp pháp và email đã xác thực để phát tán malware, gây khó khăn cho việc phát hiện của các hệ thống bảo...
Các nhà nghiên cứu từ ANY.RUN vừa phát hiện một chiến dịch tấn công mạng tinh vi mang tên PhantomEnigma. Kẻ tấn công đã chiếm quyền kiểm soát hơn 20 trang web của chính phủ Brazil, biến chúng thành kênh phân phối malware nguy hiểm nhằm vào các ngân hàng và cơ quan công quyền.
Table Of Content
Lợi dụng hạ tầng tin cậy làm mồi nhử
Chiến dịch này sử dụng các tài liệu giả mạo mang danh nghĩa cảnh sát hoặc thông báo hành chính để đánh lừa người dùng. Điểm đáng chú ý là email phát tán thường được gửi từ các hộp thư đã bị chiếm quyền, vượt qua các kiểm tra bảo mật như SPF, DKIM và DMARC, khiến thông điệp trông rất đáng tin cậy.
Thay vì tấn công trực tiếp vào hệ thống chính phủ, kẻ tấn công sử dụng các tên miền .gov.br bị xâm nhập làm trạm trung chuyển để điều hướng nạn nhân đến các tệp cài đặt độc hại. Một số hệ thống bị lợi dụng bao gồm các cổng thông tin về an ninh công cộng, cứu hỏa và tư pháp tại Brazil.
Sự tiến hóa của PhantomEnigma
Theo phân tích, PhantomEnigma đã có những bước chuyển mình đáng kể:
- Phương thức phân phối: Chuyển từ các chiến dịch nhắm vào ngân hàng năm 2025 sang việc lạm dụng hạ tầng chính phủ vào năm 2026.
- Công cụ tấn công: Malware đã tiến hóa từ một tiện ích mở rộng trình duyệt thành một backdoor dạng mô-đun (Inno/Node.js), cho phép thực thi JavaScript và tải xuống các payload bổ sung.
Chuỗi lây nhiễm đa tầng
Quy trình tấn công của PhantomEnigma diễn ra qua nhiều bước:
- Gửi email phishing giả mạo tài liệu chính thức.
- Điều hướng nạn nhân qua các trang web chính phủ đã bị chiếm quyền.
- Tải xuống trình cài đặt độc hại (Inno Setup, MSI).
- Kích hoạt backdoor thông qua các ứng dụng Electron đã bị chỉnh sửa.
- Thiết lập kết nối với máy chủ C2 để nhận lệnh điều khiển và tải thêm các loại malware khác như stealer hoặc công cụ quản trị từ xa (RMM).
Lời khuyên cho các tổ chức
Việc sử dụng hạ tầng hợp pháp khiến các giải pháp bảo mật truyền thống dễ bỏ sót mối đe dọa này. Các chuyên gia khuyến cáo các tổ chức tài chính và cơ quan công quyền cần tăng cường giám sát hành vi thay vì chỉ dựa vào danh sách chặn (blocklist) tĩnh. Việc đào tạo nhân viên nhận diện các email giả mạo, ngay cả khi chúng vượt qua các kiểm tra xác thực kỹ thuật, là vô cùng quan trọng để ngăn chặn sự cố an ninh mạng diện rộng.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.