An ninh mạng

Tin tặc âm thầm theo dõi email của lãnh đạo sàn giao dịch chứng khoán suốt 5 tháng

Một nhóm tin tặc đã duy trì quyền truy cập trái phép vào hộp thư Outlook của một lãnh đạo cấp cao tại sàn giao dịch chứng khoán toàn cầu trong 5 tháng, sử dụng các dịch vụ đám mây phổ biến để ngụy...

Nguyen Hung
5 Tháng 6, 2026 2 Min Read
3 0

Các chuyên gia từ đội ngũ Threat Hunter của Symantec và Carbon Black vừa công bố báo cáo về một chiến dịch gián điệp mạng tinh vi, nhắm vào hộp thư Outlook của một lãnh đạo cấp cao tại một sàn giao dịch chứng khoán lớn trên thế giới. Cuộc tấn công kéo dài ít nhất 5 tháng mà không bị phát hiện, tập trung vào việc thu thập thông tin tình báo thay vì trục lợi tài chính.

Table Of Content

Chiến thuật “ẩn mình” trong đám mây

Thay vì sử dụng các phương thức tấn công ồn ào, tin tặc đã chia nhỏ dữ liệu đánh cắp thành các gói tin nhỏ và truyền tải thông qua Dropbox và OneDrive. Việc sử dụng các dịch vụ lưu trữ đám mây hợp pháp giúp lưu lượng truy cập của kẻ tấn công hòa lẫn vào hoạt động thông thường của hệ thống, khiến các giải pháp bảo mật khó lòng phát hiện.

Kẻ tấn công đã sử dụng một công cụ đánh cắp dữ liệu tùy chỉnh dựa trên thư viện Aspose (.NET) để trích xuất các tệp OST và PST từ Outlook. Dữ liệu sau đó được chuyển đổi sang định dạng PST và tải lên các tài khoản đám mây cá nhân. Để tránh bị hệ thống giám sát DNS phát hiện, tin tặc đã kết nối trực tiếp tới các địa chỉ IP của Microsoft thay vì sử dụng tên miền onedrive.live.com.

Không có lỗ hổng zero-day, chỉ có sự giám sát

Điểm đáng chú ý của vụ việc này là không có bất kỳ lỗ hổng zero-day hay CVE nào bị khai thác. Kẻ tấn công đã sử dụng các công cụ phổ biến như FRPC để tạo đường hầm (tunneling), Secretsdump để trích xuất thông tin xác thực và các kỹ thuật bypass kiểm soát tài khoản người dùng (UAC) của Windows. Các tác vụ độc hại được ngụy trang dưới dạng các dịch vụ hệ thống của Adobe, Lenovo và OneDrive.

Mặc dù chưa xác định được danh tính nhóm tấn công, nhưng các chuyên gia nhận định đây là một chiến dịch gián điệp có mục tiêu rõ ràng. Việc xâm nhập ban đầu được cho là kết quả của quá trình di chuyển ngang (lateral movement) từ một thiết bị đã bị chiếm quyền trước đó.

Khuyến nghị cho các tổ chức

Vụ việc cho thấy các tổ chức, đặc biệt là các đơn vị nắm giữ thông tin nhạy cảm về thị trường, không thể chỉ dựa vào việc vá lỗi (patch) để bảo vệ hệ thống. Các chuyên gia bảo mật khuyến cáo:

  • Giám sát chặt chẽ các hành vi xuất dữ liệu hộp thư bất thường.
  • Theo dõi các kết nối lạ tới dịch vụ lưu trữ cá nhân (Dropbox, OneDrive) từ máy trạm của nhân viên.
  • Kiểm soát nghiêm ngặt việc sử dụng các công cụ quản trị hệ thống và kỹ thuật credential dumping trên các thiết bị của người dùng đặc quyền.
  • Cảnh giác với các tiến trình chạy dưới quyền SYSTEM nhưng không rõ nguồn gốc.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept