Những email từ cơ quan thuế luôn khiến doanh nghiệp lo lắng - nhưng giờ đây chính nỗi sợ này lại trở thành vũ khí của tin tặc. Nhóm hacker Silver Fox từ Trung Quốc vừa khai thác tâm lý này để triển khai chiến dịch tấn công quy mô lớn nhằm vào các tổ chức tại Nga và Ấn Độ. Chúng tôi tin rằng đây chỉ là khởi đầu cho một làn sóng tấn công mới có thể sớm lan sang Việt Nam.

Khi email thuế trở thành bẫy chết người

Silver Fox đã thể hiện sự tinh vi đáng báo động trong chiến dịch tháng 12/2024. Nhóm này bắt đầu bằng việc gửi hàng loạt email phishing (lừa đảo qua thư điện tử) mạo danh Sở Thuế Thu Nhập Ấn Độ đến các tổ chức trong nước này. Những email này được thiết kế cực kỳ chuyên nghiệp, từ logo, văn bản cho đến địa chỉ gửi đều gần như giống hệt thông báo thuế thật.

Sau khi "thử nghiệm" thành công tại Ấn Độ, Silver Fox nhanh chóng nhân rộng mô hình này sang Nga với cách thức tương tự. Điều đáng lo ngại là cả hai đợt tấn công đều sử dụng cùng một kịch bản gần như giống hệt nhau, cho thấy tính có tổ chức và khả năng mở rộng nhanh chóng của nhóm này. Chúng tôi đánh giá đây là dấu hiệu của một chiến dịch toàn cầu đang được chuẩn bị.

ABCDoor - vũ khí mới trong kho tàng của Silver Fox

Trái tim của chiến dịch này chính là malware ABCDoor - một backdoor (cửa sau) mới được Silver Fox phát triển đặc biệt cho chiến dịch này. ABCDoor hoạt động theo cơ chế RAT (Remote Access Trojan - Trojan truy cập từ xa), cho phép hacker kiểm soát hoàn toàn hệ thống máy tính nạn nhân từ xa mà không cần sự cho phép. Một khi cài đặt thành công, ABCDoor có thể đánh cắp dữ liệu, cài đặt thêm malware khác hoặc làm bàn đạp tấn công các hệ thống khác trong mạng nội bộ.

Điểm đặc biệt nguy hiểm của ABCDoor là khả năng trốn tránh phát hiện cực cao. Malware này sử dụng kỹ thuật mã hóa nâng cao và có thể ngủ đông trong thời gian dài mà không kích hoạt cảnh báo từ các phần mềm diệt virus truyền thống. Theo phân tích của chúng tôi, ABCDoor có thể duy trì quyền truy cập trong hệ thống nạn nhân hàng tháng mà không bị phát hiện.

Tác động nghiêm trọng đến nền kinh tế số

Việc Silver Fox nhắm mục tiêu vào các tổ chức tại hai quốc gia có nền kinh tế số phát triển mạnh như Nga và Ấn Độ không phải ngẫu nhiên. Chúng tôi ước tính ít nhất hàng trăm doanh nghiệp đã có thể bị ảnh hưởng trong chiến dịch này, với thiệt hại tiềm tàng lên đến hàng triệu USD. Đặc biệt, các công ty fintech, ngân hàng số và doanh nghiệp thương mại điện tử là những mục tiêu được ưu tiên hàng đầu.

Mối đe dọa này còn nghiêm trọng hơn khi xét đến bối cảnh Việt Nam đang tăng cường hợp tác kinh tế với cả Nga và Ấn Độ. Nhiều doanh nghiệp Việt có quan hệ đối tác kinh doanh với các công ty tại hai quốc gia này, tạo ra chuỗi rủi ro lan truyền malware qua email và file trao đổi công việc.

Lá chắn bảo vệ cho doanh nghiệp Việt

Trước mối đe dọa này, các tổ chức Việt Nam cần thực hiện ngay các biện pháp bảo vệ cụ thể. Đầu tiên, tất cả nhân viên phải được đào tạo nhận biết email phishing, đặc biệt là những email mạo danh cơ quan thuế hoặc các đối tác nước ngoài. Thiết lập quy trình xác minh bắt buộc qua điện thoại trước khi mở bất kỳ file đính kèm nào từ nguồn bên ngoài.

Về mặt kỹ thuật, doanh nghiệp cần triển khai ngay hệ thống email security gateway có khả năng phát hiện advanced persistent threat (APT - mối đe dọa dai dẳng nâng cao) và sandbox environment (môi trường cách ly) để kiểm tra file đính kèm trước khi cho phép tải về. Đồng thời, cần cập nhật endpoint detection and response (EDR - phát hiện và ứng phó tại điểm cuối) để có thể phát hiện các dấu hiệu bất thường của ABCDoor. Chúng tôi khuyến nghị mọi tổ chức nên thực hiện audit bảo mật toàn diện trong vòng 30 ngày tới để đảm bảo hệ thống chưa bị xâm nhập.