🔒 SloppyLemming nhắm mục tiêu vào các chính phủ Pakistan và Bangladesh bằng cách sử dụng chuỗi phần mềm độc hại kép

Cụm hoạt động đe dọa có tên SloppyLemming được cho là thủ phạm của một loạt cuộc tấn công mới nhắm vào các cơ quan chính phủ và nhà điều hành cơ sở hạ tầng quan trọng ở Pakistan và Bangladesh.

malware-attack.jpg" alt="Hình ảnh minh họa" loading="lazy" />

📋 Nội dung chi tiết

Theo Arctic Wolf, hoạt động này diễn ra từ tháng 1 năm 2025 đến tháng 1 năm 2026. Nó liên quan đến việc sử dụng hai chuỗi tấn công riêng biệt để phát tán các dòng phần mềm độc hại được theo dõi là BurrowShell và keylogger dựa trên Rust.

“Việc sử dụng ngôn ngữ lập trình Rust thể hiện sự tiến hóa đáng chú ý trong công cụ của SloppyLemming, vì báo cáo trước đó đã ghi lại rằng kẻ tấn công chỉ sử dụng các ngôn ngữ được biên dịch truyền thống và mượn các khung mô phỏng đối thủ như Cobalt Strike, Havoc và NekroWire RAT tùy chỉnh,” công ty an ninh mạng cho biết trong một báo cáo được chia sẻ với The Hacker News.

SloppyLemming là biệt danh được gán cho một tác nhân đe dọa được biết là nhắm mục tiêu vào các tổ chức chính phủ, thực thi pháp luật, năng lượng, viễn thông và công nghệ ở Pakistan, Sri Lanka, Bangladesh và Trung Quốc kể từ ít nhất là năm 2022. Nó cũng được theo dõi dưới tên Outrider Tigerand Fishing Elephant.

Các chiến dịch trước đây do nhóm hacker tiến hành đã tận dụng các họ phần mềm độc hại như Ares RAT và WarHawk, thường được cho là của SideCopy và SideWinder.

🔍 Thông tin bổ sung

Phân tích của ArcticWolf về các cuộc tấn công mới nhất đã phát hiện ra việc sử dụng các email lừa đảo trực tuyến để gửi mồi nhử PDF và các tài liệu Excel hỗ trợ macro nhằm khởi động chuỗi lây nhiễm. Nó mô tả tác nhân đe dọa đang hoạt động với khả năng vừa phải.

Các mồi nhử PDF chứa các URL được thiết kế để dẫn nạn nhân đến các tệp kê khai ứng dụng ClickOnce, sau đó triển khai tệp thực thi thời gian chạy Microsoft .NET hợp pháp ("NGenTask.exe") và một trình tải độc hại ("mscorsvc.dll"). Trình tải được khởi chạy bằng cách sử dụng tính năng tải phụ DLL để giải mã và thực thi cấy ghép mã shell x64 tùy chỉnh có tên mã là BurrowShell.

“BurrowShell là một cửa hậu đầy đủ tính năng cung cấp cho kẻ tấn công khả năng thao tác hệ thống tệp, khả năng chụp ảnh màn hình, thực thi shell từ xa và khả năng proxy SOCKS để tạo đường hầm mạng”, Arctic Wolf cho biết. "Bộ cấy giả mạo lưu lượng lệnh và kiểm soát (C2) của nó dưới dạng liên lạc dịch vụ Windows Update và sử dụng mã hóa RC4 với khóa 32 ký tự để bảo vệ tải trọng."

Chuỗi tấn công thứ hai sử dụng các tài liệu Excel chứa macro độc hại để phát tán phần mềm độc hại keylogger, đồng thời kết hợp các tính năng để tiến hành quét cổng và liệt kê mạng.

🔍 Thông tin bổ sung

Cuộc điều tra sâu hơn về cơ sở hạ tầng của tác nhân đe dọa đã xác định được 112 miền Cloudflare Workers được đăng ký trong khoảng thời gian một năm, đánh dấu bước nhảy vọt gấp 8 lần so với 13 miền được Cloudflare gắn cờ vào tháng 9 năm 2024.

Các liên kết của chiến dịch với SloppyLemming dựa trên việc tiếp tục khai thác cơ sở hạ tầng Cloudflare Workers với các mẫu đánh máy theo chủ đề của chính phủ, triển khai khung Havoc C2, kỹ thuật tải bên DLL và các mẫu nạn nhân.

Điều đáng chú ý là một số khía cạnh trong thủ đoạn của kẻ đe dọa, bao gồm cả việc sử dụng tính năng thực thi kích hoạt ClickOnce, trùng lặp với chiến dịch SideWinder gần đây được Trellix ghi lại vào tháng 10 năm 2025.

Arctic Wolf cho biết: “Đặc biệt, việc nhắm mục tiêu vào các cơ quan quản lý hạt nhân, tổ chức hậu cần quốc phòng và cơ sở hạ tầng viễn thông của Pakistan – cùng với các cơ quan năng lượng và tổ chức tài chính của Bangladesh – phù hợp với các ưu tiên thu thập thông tin tình báo phù hợp với cạnh tranh chiến lược khu vực ở Nam Á”.

“Việc triển khai tải trọng kép – shellcode BurrowShell trong bộ nhớ cho các hoạt động proxy C2 và SOCKS, cũng như keylogger dựa trên Rust để đánh cắp thông tin – cho thấy tác nhân đe dọa duy trì tính linh hoạt để triển khai các công cụ phù hợp dựa trên giá trị mục tiêu và yêu cầu hoạt động.”

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.