Bạn vừa tải một file PDF quan trọng và mở bằng SumatraPDF - phần mềm đọc PDF phổ biến được hàng triệu người tin dùng. Nhưng thay vì hiển thị nội dung, máy tính của bạn đã âm thầm bị cài đặt một 'cánh cửa hậu' cho phép hacker điều khiển từ xa mà không hề hay biết. Đó chính xác là kịch bản mà nhóm tin tặc Tropic Trooper - một APT group (Advanced Persistent Threat - nhóm tấn công có chủ đích) có nguồn gốc từ Trung Quốc đang triển khai nhằm vào cộng đồng người nói tiếng Trung trên toàn thế giới. Theo báo cáo từ Zscaler ThreatLabz công bố tháng trước, chiến dịch này sử dụng phiên bản SumatraPDF đã bị cài cắm mã độc để triển khai AdaptixC2 Beacon và lạm dụng tính năng tunnel của Microsoft Visual Studio Code.

Khi phần mềm tin cậy trở thành vũ khí tấn công

SumatraPDF vốn là một phần mềm mã nguồn mở nhẹ, nhanh và được đánh giá cao về tính bảo mật. Chính danh tiếng này đã khiến Tropic Trooper chọn nó làm 'con ngựa thành Troy' cho chiến dịch tấn công mới nhất. Thay vì tấn công trực tiếp vào hệ thống, nhóm hacker này đã tinh vi biến đổi (trojanize) phần mềm hợp pháp thành công cụ tấn công. Chúng tôi cho rằng đây là một bước tiến trong chiến thuật của các APT group - thay vì tạo ra mã độc hoàn toàn mới dễ bị phát hiện, chúng 'ký sinh' vào phần mềm có uy tín.

Quy trình tấn công diễn ra theo chuỗi khép kín. Nạn nhân nhận được file PDF có vẻ vô hại qua email hoặc tải từ các trang web giả mạo. Khi mở file bằng phiên bản SumatraPDF đã bị nhiễm độc, mã độc AdaptixC2 Beacon được kích hoạt ngầm trong nền. Beacon này hoạt động như một 'đặc vụ ngủ', thiết lập kết nối với máy chủ Command & Control (C&C - máy chủ điều khiển từ xa) do hacker kiểm soát. Từ đó, kẻ tấn công có thể thực hiện mọi hành động trên máy tính nạn nhân: đánh cắp dữ liệu, cài đặt thêm mã độc hoặc sử dụng máy này làm bàn đạp tấn công các mục tiêu khác.

Visual Studio Code - công cụ lập trình thành kênh truyền bí mật

Điểm đáng chú ý nhất trong chiến dịch này là việc lạm dụng tính năng tunnel của Microsoft Visual Studio Code. VS Code tunnel cho phép lập trình viên truy cập môi trường phát triển từ xa thông qua trình duyệt web, tính năng vô cùng tiện lợi trong thời đại làm việc hybrid. Nhưng trong tay tin tặc, nó trở thành công cụ truy cập từ xa hoàn hảo. Thay vì sử dụng các phương thức remote access truyền thống dễ bị phát hiện, Tropic Trooper khai thác tunnel VS Code để duy trì sự hiện diện lâu dài trong mạng nạn nhân.

Chúng tôi đánh giá cao mức độ tinh vi của chiến thuật này. Bởi lưu lượng mạng từ VS Code tunnel hoàn toàn hợp pháp và khó phân biệt với hoạt động làm việc bình thường của lập trình viên. Các giải pháp bảo mật truyền thống sẽ khó phát hiện ra dấu hiệu bất thường. Hơn nữa, việc sử dụng GitHub - nền tảng lưu trữ code phổ biến nhất thế giới - để host các payload (tải trọng mã độc) càng làm tăng tính ẩn danh. Đây có thể được coi là một minh chứng cho xu hướng 'Living off the Land' - sống dựa vào địa hình có sẵn, tức là lạm dụng các công cụ hợp pháp thay vì tạo ra malware mới.

Mục tiêu rõ ràng: cộng đồng người Hoa toàn cầu

Tropic Trooper không chọn mục tiêu một cách ngẫu nhiên. Nhóm này từ lâu đã nổi tiếng với các chiến dịch có chủ đích nhằm vào khu vực Đông Nam Á, đặc biệt là Đài Loan, Philippines và Hong Kong. Lần này, họ mở rộng tầm ngắm đến toàn bộ cộng đồng người nói tiếng Trung trên khắp thế giới. Điều này cho thấy động cơ có thể không chỉ đơn thuần là tài chính mà còn mang tính địa chính trị.

Tại Việt Nam, mặc dù không phải mục tiêu chính của chiến dịch này, nhưng cộng đồng người Hoa và các doanh nghiệp có quan hệ thương mại với Trung Quốc vẫn có thể bị ảnh hưởng. Theo thống kê của Cục An toàn thông tin (Bộ TT&TT), năm 2023 Việt Nam ghi nhận hơn 15.000 vụ tấn công mạng, trong đó các nhóm APT chiếm tỷ lệ ngày càng cao. Chúng tôi lo ngại rằng các chiến thuật tinh vi như của Tropic Trooper sẽ sớm được các nhóm tin tặc khác sao chép và áp dụng rộng rãi hơn.

Bảo vệ bản thân trước 'ngựa thành Troy' thời hiện đại

Để phòng chống chiến dịch tấn công này và các mối đe dọa tương tự, người dùng cần thực hiện ngay các bước sau. Trước tiên, chỉ tải phần mềm từ nguồn chính thức - với SumatraPDF, hãy truy cập trực tiếp website www.sumatrapdfreader.org thay vì tải từ các trang mirror hoặc link trong email. Tiếp theo, bật tính năng xác minh chữ ký số (digital signature verification) trong Windows để đảm bảo phần mềm không bị can thiệp. Cài đặt giải pháp endpoint detection and response (EDR) có khả năng phát hiện hành vi bất thường thay vì chỉ dựa vào antivirus truyền thống.

Đối với doanh nghiệp, chúng tôi khuyến nghị triển khai network segmentation (phân đoạn mạng) để hạn chế khả năng lan truyền nếu có máy bị nhiễm. Giám sát chặt chẽ các kết nối đến GitHub và VS Code, thiết lập whitelist cho các repository được phép truy cập. Đặc biệt quan trọng là đào tạo nhân viên nhận biết social engineering - kỹ thuật lừa đảo qua yếu tố con người mà các APT group thường sử dụng. Bởi cuối cùng, bảo mật không chỉ là vấn đề công nghệ mà còn là ý thức và hành vi của con người.