Hơn 500 tổ chức trở thành nạn nhân của chiến dịch lừa đảo kéo dài 4 năm

Một chiến dịch lừa đảo (phishing) kéo dài hơn bốn năm đã khiến hàng trăm tổ chức trên nhiều ngành công nghiệp khác nhau trở thành nạn nhân, theo báo cáo mới đây từ SOCRadar.

Được đặt tên là Operation HookedWing, chiến dịch này lần đầu tiên được ghi nhận vào năm 2022 nhưng vẫn duy trì hoạt động mạnh mẽ. Kẻ tấn công đã liên tục thích nghi với hạ tầng cơ sở nhưng vẫn giữ nguyên các mô hình tấn công cốt lõi trong suốt thời gian dài.

Chiến dịch lừa đảo sử dụng kỹ thuật tinh vi để đánh cắp thông tin

Quy mô và mục tiêu tấn công

Trong vòng bốn năm, chiến dịch này đã đánh cắp thông tin đăng nhập của hơn 2.000 người dùng thuộc hơn 500 tổ chức. Các nạn nhân trải rộng trên nhiều lĩnh vực nhạy cảm và quan trọng, bao gồm hàng không và du lịch, cơ sở hạ tầng trọng yếu, năng lượng, tài chính, chính phủ, hậu cần, hành chính công và công nghệ.

Giữa năm 2022 và 2024, Operation HookedWing chủ yếu sử dụng các tên miền GitHub với nội dung tiếng Anh và các máy chủ bị xâm phạm làm hạ tầng tấn công. Các email lừa đảo trong giai đoạn này thường sử dụng giao diện và chủ đề liên quan đến Microsoft và Outlook.

Bước sang năm 2024 và 2025, nhóm tấn công đã mở rộng phạm vi mục tiêu sang nội dung tiếng Pháp, tiếp tục tận dụng GitHub, máy chủ bị chiếm đoạt và các chủ đề lừa đảo đã từng được quan sát trước đây.

Sự phát triển của hạ tầng tấn công

Kể từ đầu năm 2025, kẻ tấn công đã mở rộng cả hạ tầng hoạt động và các mồi nhử (lures). Chúng thực hiện che giấu tên miền GitHub, thêm nhiều chủ đề mới và triển khai các trang đích (landing page) bổ sung để tăng tính thuyết phục.

SOCRadar đã xác định được khoảng hai chục máy chủ chỉ huy và điều khiển (C&C) liên quan đến Operation HookedWing, cùng với hơn 100 tên miền GitHub và hơn một chục tên miền phân phối trên các nền tảng khác.

"Phân tích các nhật ký đã khôi phục và hạ tầng được xác định cho thấy một mô hình nhắm mục tiêu không phải ngẫu nhiên, mà tập trung vào hạ tầng có tầm quan trọng địa chính trị cao," SOCRadar nhận định.

Công ty an ninh mạng này cũng cho biết thêm: "Việc chọn nạn nhân cho thấy sự quan tâm đặc biệt đối với các môi trường có quyền truy cập vào thông tin nhạy cảm, hoạt động quan trọng hoặc thông tin đăng nhập có quyền hạn cao có thể được bán hoặc sử dụng bởi các đối thủ khác."

Kẻ tấn công sử dụng kỹ thuật giả mạo tinh vi

Kỹ thuật tấn công tinh vi

Operation HookedWing dựa vào các email lừa đảo mạo danh bộ phận nhân sự (HR), đồng nghiệp hoặc đóng vai là các thông báo. Các email này có cấu trúc đơn giản nhưng được thiết kế để truyền tải sự uy quyền và tính cấp tính mà không gây nghi ngờ.

Nhiều email chứa liên kết đến các kho lưu trữ GitHub, với một số liên kết dẫn đến các trung gian được lưu trữ trên các nền tảng khác. Trang đích sẽ mô phỏng hành vi của Microsoft Outlook thông qua màn hình tải (pre-loader) toàn màn hình và cá nhân hóa văn bản hiển thị dựa trên tổ chức của nạn nhân.

"Điều này giới thiệu một yếu tố hành vi quan trọng. Nếu nạn nhân quan sát màn hình tải và thấy tên tổ chức của chính mình hoặc nội dung liên quan đến email trước đó, độ tin cậy của môi trường sẽ được củng cố trước khi biểu mẫu nhập liệu xuất hiện," SOCRadar lưu ý.

Trong khi đó, một tập lệnh chạy ngầm sẽ thực hiện xác thực email và URL, chèn biểu mẫu PHP với các trường đã điền sẵn để thu thập thông tin đăng nhập của nạn nhân, đồng thời truy xuất dữ liệu vị trí địa lý về nạn nhân.

Khi nạn nhân nhấp vào nút đăng nhập trên trang, kẻ tấn công sẽ "nhận được, trong một bản ghi duy nhất, email, mật khẩu, địa chỉ IP, vị trí địa lý đầy đủ, URL nguồn và tên miền tổ chức của nạn nhân", SOCRadar giải thích.