Bối cảnh và mục tiêu của chiến dịch

MuddyWater được biết đến dưới nhiều biệt danh như Mango Sandstorm, Static Kitten hoặc TA450 và được đánh giá là có liên hệ với Bộ Tình báo và An ninh Iran (MOIS), hoạt động từ năm 2017 trong các chiến dịch gián điệp mạng. Nhóm này đã triển khai chiến dịch Spear-Phishing trong khu vực Trung Đông nhắm vào các thực thể trong lĩnh vực ngoại giao, hàng hải, tài chính và viễn thông nhằm thu thập thông tin tình báo có giá trị chiến lược. Các mục tiêu này thường sở hữu hoặc kiểm soát các dữ liệu nhạy cảm liên quan đến hoạch định chính sách, vận hành hệ thống chiến lược và kết nối quốc tế, khiến việc xâm nhập hệ thống trở thành ưu tiên trong chiến lược gián điệp của nhóm.     

Kỹ thuật tấn công và phân phối RustyWater

Chiến dịch RustyWater bắt đầu bằng các email có nội dung giả mạo, ví dụ như “Cybersecurity Guidelines”, với các tệp Microsoft Word đính kèm chứa macro độc hại. Những tài liệu này sử dụng kỹ thuật icon spoofing và thiết kế lừa đảo tinh vi để khiến người dùng tin rằng đó là thông tin bảo mật nghiêm túc. Khi nạn nhân mở tệp tin và kích hoạt macro, đoạn mã nhúng sẽ triển khai một mô-đun mã độc dạng nhị phân được biên dịch bằng ngôn ngữ Rust có tên là RustyWater. Điều này thể hiện một bước tiến trong chiến lược của MuddyWater khi giảm sự phụ thuộc vào các công cụ RAT truyền thống và sử dụng mã độc tùy chỉnh với chức năng đa dạng hơn.

Phân tích chuỗi tấn công và phân phối RustyWater

Mô-đun mã độc RustyWater có các khả năng kỹ thuật đáng chú ý, bao gồm thiết lập kết nối không đồng bộ với máy chủ điều khiển và ra lệnh (C2), cơ chế chống phân tích nhằm làm chậm hoặc che giấu hành vi trước các công cụ phân tích bảo mật, khả năng thiết lập sự bền vững thông qua các khóa Registry trên hệ điều hành Windows và kiến trúc mô-đun cho phép mở rộng năng lực sau khi xâm nhập. Sau khi kết nối thành công, nó có thể thực hiện các hoạt động như điều khiển hệ thống từ xa, tải lên hoặc tải xuống tệp và thực thi các lệnh theo chỉ thị từ máy chủ C2 được chỉ định.

Đặc điểm công cụ RustyWater

So với các chiến dịch trước đó, MuddyWater đã sử dụng nhiều công cụ khác nhau như Phoenix, UDPGangster, BugSleep (còn gọi MuddyRot) và MuddyViper trong các chiến dịch khác nhau. Sự chuyển dịch qua RustyWater phản ánh một xu hướng rõ rệt trong phát triển mã độccủa nhóm này: ưu tiên các mô-đun nhẹ, có khả năng tùy biến cao và ít bị phát hiện hơn so với các công cụ truyền thống, đồng thời cung cấp khả năng mở rộng chức năng bằng mô-đun. Khả năng chống phân tích và duy trì kết nối qua giao thức bất đồng bộ giúp RustyWater ẩn mình trước các hệ thống EDR (Endpoint Detection and Response) và anti-virus phổ biến, đặt ra những thách thức lớn hơn cho các giải pháp bảo mật hiện tại.

Điểm khác biệt lớn của RustyWater so với các biến thể trước là việc sử dụng Rust, một ngôn ngữ hiện đại có tính tối ưu cao về hiệu suất và khả năng quản lý tài nguyên. Nhờ đó, mô-đun này có thể thực thi hành vi phức tạp mà ít tạo ra dấu vết rõ rệt trên hệ thống bị tấn công, đồng thời hỗ trợ kiến trúc mô-đun cho phép mở rộng chức năng theo yêu cầu sau khi đã xâm nhập.

Áp lực chiến lược và tác động đối với các tổ chức mục tiêu

Việc nhắm mục tiêu vào các tổ chức có vai trò chiến lược như các cơ quan ngoại giao, hãng tài chính và viễn thông cho thấy mục tiêu của MuddyWater không đơn thuần là đánh cắp dữ liệu kỹ thuật mà còn nhằm vào thu thập tình báo phục vụ các mục tiêu chính sách. Khả năng kiểm soát hệ thống từ xa của RustyWater cung cấp cho kẻ tấn công cơ hội thực hiện các hoạt động phức tạp như trích xuất thông tin nhạy cảm, theo dõi liên lạc nội bộ và thao túng hệ thống mà không bị phát hiện trong thời gian dài. Các hoạt động như vậy thường có tác động sâu rộng đến năng lực quốc phòng, uy tín quốc tế và hoạt động kinh tế của mục tiêu.

Khuyến nghị bảo mật

Để đối phó với các chiến dịch tương tự trong tương lai, các tổ chức đặc biệt là những thực thể hoạt động trong môi trường chính sách, ngoại giao và cơ sở hạ tầng trọng yếu cần triển khai các biện pháp bảo mật đa lớp. Việc sử dụng xác thực đa yếu tố (MFA) đóng vai trò quan trọng nhằm giảm thiểu tác động khi thông tin đăng nhập bị xâm phạm. Đồng thời, các tổ chức nên thực hiện đào tạo nâng cao nhận thức về nhận dạng Spear-Phishing và các tài liệu độc hại, đặc biệt là các phương pháp lừa đảo tinh vi dựa trên macro tài liệu.

Việc áp dụng các hệ thống giám sát hành vi (UEBA) kết hợp với các giải pháp EDR tiên tiến có thể giúp phát hiện những hành vi bất thường liên quan đến mô-đun mã độc như RustyWater sớm hơn, từ đó giảm thiểu rủi ro lâu dài. Ngoài ra, thiết lập chính sách kiểm soát tài liệu và hạn chế quyền thực thi macro trong môi trường người dùng cũng là biện pháp phòng ngừa hiệu quả.

Chiến dịch Spear-Phishing sử dụng mô-đun mã độc RustyWater của MuddyWater là minh chứng về sự tiến hóa đáng kể trong chiến thuật gián điệp mạng của các tác nhân APT được nhà nước hậu thuẫn. Việc chuyển dịch sang sử dụng mã độc viết bằng Rust cung cấp cho nhóm khả năng ẩn mình tốt hơn và kiểm soát hệ thống mục tiêu với tính linh hoạt cao hơn. Mặt khác, kỹ thuật Spear-Phishing vẫn tiếp tục là cổng xâm nhập hiệu quả và ít tốn kém đối với các nhóm đe dọa tinh vi. Đối với cộng đồng an ninh mạng và các tổ chức trọng yếu, bài học rút ra là cần gia tăng các biện pháp phòng vệ dựa trên hành vi, nâng cao nhận thức người dùng và củng cố khả năng phát hiện sớm nhằm đối phó với các chiến dịch có mục đích gián điệp tinh vi.