Tại sao các cuộc tấn công dựa trên LNK vẫn lọt qua được
Vào cuối năm 2025, Arctic Wolf Labs đã công bố một nghiên cứu về một chiến dịch gián điệp nhắm vào các cơ quan ngoại giao tại Bỉ, Hungary và các quốc gia châu Âu khác. Đối tượng gây ra mối đe dọa, một nhóm có liên hệ với Trung Quốc được theo dõi với tên gọi UNC6384, đã sử dụng các email lừa đảo có mục tiêu (spearphishing) để phân phối các tệp lối tắt Windows được cài đặt mã độc (tệp LNK), với nội dung giả mạo các cuộc họp chính thức của Ủy ban Châu Âu và các hội thảo liên quan đến NATO.
Khi người nhận nhấp vào lối tắt, một lệnh PowerShell ẩn đã kích hoạt chuỗi lây nhiễm nhiều giai đoạn, cuối cùng cài đặt thành công trojan truy cập từ xa PlugX. Chiến dịch này đã khai thác lỗ hổng ZDI-CAN-25373, một lỗ hổng liên quan đến lối tắt Windows được công bố vào tháng 3 năm 2025, cho phép thực thi lệnh một cách bí mật bằng cách ẩn lệnh đó sau các khoảng trắng bổ sung trong các tham số dòng lệnh của tệp LNK.
Việc UNC6384 sử dụng tệp này đã nhắc nhở chúng ta về một vấn đề rộng lớn hơn: các tệp lối tắt vẫn trông rất bình thường đối với người dùng và thường ít bị kiểm tra kỹ lưỡng hơn so với các tệp thực thi hoặc tài liệu có kích hoạt macro. Một khi tệp LNK độc hại được chạy, các hoạt động nguy hiểm nhất thường diễn ra trong quá trình thực thi thông qua các tập lệnh được mã hóa, các tệp lưu trữ được giải nén theo từng giai đoạn và việc lạm dụng các tệp nhị phân đã ký, khiến việc quét tĩnh và kiểm tra danh tiếng khó có thể theo kịp.
Chiến dịch này vẫn không ngừng phát triển kể từ đó. Vào tháng 4 năm 2026, The Hacker News đưa tin rằng cùng một nhóm tấn công mạng này, được giới chuyên môn trong ngành theo dõi với tên gọi TA416, đã tiếp tục nhắm mục tiêu vào các cơ quan chính phủ và tổ chức ngoại giao châu Âu kể từ giữa năm 2025, áp dụng các phương thức lây nhiễm mới bao gồm lạm dụng chuyển hướng OAuth, các trang xác thực Cloudflare Turnstile và cơ chế thực thi dựa trên MSBuild, đồng thời tiếp tục cập nhật mã độc PlugX của mình.
Nghiên cứu về Arctic Wolf được đề cập trong bài viết này ghi lại một giai đoạn trong chiến dịch đã được ghi nhận và vẫn đang diễn ra, đồng thời cho thấy cách thức mà MetaDefender và công nghệ Deep CDR™ phối hợp với nhau để thu hẹp khoảng cách giữa việc phát hiện và phòng ngừa.
Chuỗi tấn công UNC6384
Mọi chuyện bắt đầu từ một tệp tin mà hầu hết người dùng sẽ không bao giờ nghi ngờ. Tệp LNK được phát tán trong chiến dịch này, có tên là "Agenda_Meeting 26 Sep Brussels.lnk", chỉ nặng 2,58 KB và đề cập đến một cuộc họp thực sự của Ủy ban Châu Âu về việc tạo điều kiện thuận lợi cho việc lưu thông hàng hóa tự do tại các cửa khẩu biên giới giữa EU và các nước Tây Balkan. Đây là chương trình nghị sự thực sự của một sự kiện có thật, với một lối tắt trông có vẻ bình thường.
Giai đoạn 1: Xâm nhập ban đầu thông qua tệp LNK độc hại
Khi người nhận nhấp đúp vào biểu tượng tắt, hệ thống sẽ âm thầm khởi chạy PowerShell với một lệnh được mã hóa, lệnh này sẽ giải mã và trích xuất tệp lưu trữ tar (rjnlzlkfe.ta) vào thư mục Temp cục bộ của người dùng. Lệnh PowerShell sau đó sử dụng tar.exe để giải nén tệp lưu trữ và khởi chạy nội dung bên trong, đồng thời mở một tệp PDF giả mạo hiển thị chương trình nghị sự thực tế của cuộc họp. Nạn nhân nhìn thấy một tài liệu. Kẻ tấn công đã chiếm được quyền thực thi mã.
Giai đoạn 2: Tải DLL từ nguồn bên ngoài thông qua một tệp nhị phân hợp lệ đã được ký
Tập tin nén đã giải nén chứa ba tệp: cnmpaui.exe, cnmpaui.dll và cnmplog.dat. Tệp đầu tiên là một tiện ích hỗ trợ máy in Canon hợp pháp, được Canon Inc. ký số bằng chứng chỉ do Symantec cấp. Chữ ký này vẫn hợp lệ vì nó được đóng dấu thời gian khi chứng chỉ vẫn còn hiệu lực, có nghĩa là Windows vẫn tin cậy tệp nhị phân này mặc dù bản thân chứng chỉ đã hết hạn vào năm 2018 (Arctic Wolf).
Đây chính là lúc độ chính xác trở nên quan trọng. Tệp EXE này không phải là mã độc. Đây là một tiện ích chính thức của Canon đang bị lợi dụng cho một mục đích cụ thể: khi cnmpaui.exe được chạy, nó sẽ tìm kiếm tệp cnmpaui.dll trong thư mục chứa chính nó trước khi kiểm tra các đường dẫn hệ thống. Bằng cách cài đặt một tệp DLL độc hại có cùng tên bên cạnh tệp nhị phân hợp pháp, UNC6384 đã chiếm quyền kiểm soát thứ tự tìm kiếm này và tải mã của chúng vào bên trong một tiến trình đáng tin cậy.
Giai đoạn 3: Giải mã tải trọng và thực thi PlugX
Tệp độc hại cnmpaui.dll là một trình tải nhẹ, chỉ có dung lượng 4 KB trong biến thể tháng 10 năm 2025, được thiết kế để thực hiện một nhiệm vụ duy nhất: giải mã và thực thi tệp thứ ba, cnmplog.dat. Tệp này là một blob được mã hóa bằng RC4, chứa trojan truy cập từ xa PlugX. Trình tải giải mã tệp này bằng cách sử dụng một khóa 16 byte được mã hóa cứng và ánh xạ tải trọng thu được trực tiếp vào không gian bộ nhớ của quy trình cnmpaui.exe hợp pháp.
Từ thời điểm đó trở đi, PlugX sẽ chạy bên trong một tệp nhị phân đã được ký và đáng tin cậy. Nó thiết lập tính bền vững thông qua một khóa Run trong registry có tên là "CanonPrinter", tạo các thư mục ẩn với tên như "SamsungDriver" hoặc "DellSetupFiles" để hòa nhập vào môi trường, và giao tiếp với cơ sở hạ tầng điều khiển và chỉ huy qua HTTPS trên cổng 443, sử dụng các đường dẫn URL ngẫu nhiên và chuỗi user-agent Internet Explorer giả mạo để hòa lẫn vào lưu lượng truy cập web bình thường.
Từ cú nhấp chuột đầu tiên cho đến khi cửa hậu được kích hoạt, thoạt nhìn, không có gì trong chuỗi hành động này có vẻ rõ ràng là độc hại, và hầu hết các hành vi thực sự đáng ngờ chỉ xuất hiện trong quá trình chạy. Mỗi giai đoạn đều được thiết kế để trông bình thường khi kiểm tra tĩnh và thực thi ở những nơi mà các bộ lọc truyền thống không phát hiện được.
Tại sao các hệ thống phòng thủ tĩnh lại gặp khó khăn khi đối phó với chuỗi này
Các biện pháp phòng thủ tĩnh gặp khó khăn khi đối phó với chuỗi tấn công này vì mỗi giai đoạn đều được thiết kế để trông có vẻ vô hại khi xem xét riêng lẻ. Điều làm cho chiến dịch này trở nên hiệu quả không phải là một tệp tin độc hại rõ ràng, mà là một chuỗi các thành phần trông có vẻ đáng tin cậy, với mục đích thực sự chỉ lộ diện khi chương trình được thực thi. Mô hình này không chỉ giới hạn ở các tệp tin lối tắt: những kẻ tấn công còn giấu các tải trọng độc hại trong các tệp tin hình ảnh trông có vẻ vô hại và kết hợp chúng với phương thức phân phối dựa trên tệp LNK để lách qua hệ thống phát hiện của phần mềm diệt virus truyền thống.
Tại sao các hệ thống phòng thủ tĩnh lại gặp khó khăn khi đối phó với chuỗi này
| Sân khấu | Những gì người hậu vệ nhìn thấy | Tại sao nó lại đạt tiêu chuẩn kiểm định |
|---|---|---|
| Tệp LNK độc hại | Một tệp lối tắt có dung lượng 2,58 KB liên quan đến một cuộc họp ngoại giao | Theo mặc định, các tệp LNK được xếp vào nhóm rủi ro thấp; lỗ hổng ZDI-CAN-25373 ẩn lệnh PowerShell đằng sau các khoảng trắng bổ sung mà hầu hết các công cụ kiểm tra siêu dữ liệu không phân tích được. |
| Đã ký Canon EXE | Một tệp nhị phân PE32 hợp lệ có chữ ký số hợp lệ và được đóng dấu thời gian từ một nhà phát hành được công nhận | Việc chặn nó sẽ khiến mọi môi trường đang chạy phần mềm máy in Canon bị đánh dấu. Các hệ thống đánh giá uy tín không có lý do gì để nghi ngờ nó. |
| Tệp DLL trình tải 4 KB | Một tệp DLL tối giản, không chứa các hàm nhập (import) đáng ngờ rõ ràng, với nhiệm vụ duy nhất là đọc, giải mã và chuyển giao quyền thực thi | Các quy tắc YARA có thể phát hiện các biến thể đã biết, nhưng một trình tải được biên dịch lại với khóa hoặc quy trình giải mã khác có thể lọt qua phạm vi kiểm tra tĩnh. |
| Tải trọng PlugX được mã hóa | Một khối dữ liệu .dat không trong suốt, không bao giờ được lưu trữ dưới dạng đã giải mã trên đĩa | Quét dựa trên tệp không bao giờ kiểm tra phần mềm độc hại thực tế. Mã độc được tải trực tiếp vào vùng bộ nhớ của quy trình Canon đáng tin cậy. |
Khoảng cách giữa những gì các công cụ tĩnh có thể kiểm tra và những gì thực sự diễn ra trong quá trình chạy chính là nơi các chiến dịch lách luật phát triển mạnh. Để thu hẹp khoảng cách này, cần có một phương pháp phát hiện có thể theo dõi toàn bộ lộ trình thực thi, từ khi tệp được khởi chạy ban đầu cho đến mọi giai đoạn tiếp theo, và đưa ra kết luận dựa trên hành vi thay vì hình thức bề ngoài.
Cách MetaDefender phơi bày toàn bộ chuỗi
MetaDefender là giải pháp phát hiện lỗ hổng zero-day tích hợp OPSWAT, kết hợp bốn lớp phân tích để kiểm tra từng tệp từ nhiều góc độ khác nhau trước khi đưa ra một kết luận đáng tin cậy duy nhất.
- Quá trình đánh giá danh tiếng mối đe dọa sẽ so sánh các giá trị băm, siêu dữ liệu và các chỉ số nhúng trong tệp với cơ sở dữ liệu tình báo toàn cầu được tổng hợp từ hơn 50 tỷ chỉ số. Trong quy trình này, việc đó giúp xác định những thông tin đã được biết đến và cung cấp bối cảnh cho những thông tin chưa rõ.
- Sau đó, Adaptive sẽ kích hoạt tệp trong một môi trường mô phỏng và theo dõi chuỗi các bước thực thi: tệp LNK khởi chạy PowerShell, lệnh được mã hóa giải mã tệp lưu trữ tar, tệp nhị phân Canon đã được ký tải một tệp DLL chưa được ký, và tải trọng PlugX đã được giải mã thiết lập khả năng tồn tại lâu dài và kết nối với hạ tầng C2 (chỉ huy và điều khiển).
- Hệ thống đánh giá mức độ đe dọa kết hợp các kết quả này, các tín hiệu về danh tiếng và các chỉ số được trích xuất thành một điểm số rủi ro có trọng số, phản ánh đầy đủ bối cảnh hành vi.
- Tính năng tìm kiếm độ tương đồng dựa trên học máy (ML) so sánh tệp tin và hành vi của nó với các họ phần mềm độc hại đã biết cùng các hoạt động liên quan, từ đó giúp phát hiện các mối liên hệ với các biến thể của PlugX hoặc các chiến dịch tải DLL bên ngoài tương tự.
Khi kết hợp, hệ thống này mang lại hiệu quả phát hiện lỗ hổng zero-day lên đến 99,9% và đưa ra một kết quả đánh giá đáng tin cậy duy nhất cho mỗi tệp, thay vì buộc các chuyên viên SOC phải đối chiếu các báo cáo riêng lẻ một cách thủ công. Điều này đặc biệt quan trọng khi các đội ngũ phải phân loại hàng trăm tệp mỗi ngày từ các nguồn như email, MFT, ICAP, kiosk, hệ thống lưu trữ và các quy trình làm việc xuyên miền.
Một điểm khác biệt quan trọng của chuỗi này là khả năng mô phỏng ở cấp độ lệnh. Các hộp cát (sandbox) dựa trên máy ảo (VM) truyền thống có thể bỏ sót phần mềm độc hại sử dụng các kỹ thuật né tránh máy ảo, trì hoãn thời gian và kiểm tra môi trường để tránh bị thực thi hoàn toàn. Công nghệ hộp cát thích ứng MetaDefender mô phỏng hành vi của CPU và hệ điều hành ở cấp độ lệnh, giúp phơi bày toàn bộ chuỗi tải bên (sideloading) từ tệp LNK sang PowerShell rồi sang DLL.
Đối với các đội SOC, lợi ích mang lại là rất thiết thực:
- Quá trình phân loại bệnh nhân diễn ra nhanh hơn vì kết quả chẩn đoán đã được đối chiếu và ánh xạ theo hệ thống MITRE
- Các quyết định chặn hiệu quả hơn vì kết quả đánh giá phản ánh hành vi trong quá trình chạy thay vì chỉ dựa trên danh tiếng tĩnh
- Giảm thiểu các kết quả dương tính giả do MetaDefender có khả năng phân biệt giữa một tệp nhị phân hợp lệ đã được ký nhưng bị lợi dụng và một tải trọng thực sự độc hại
- Nâng cao khả năng ứng phó với các lỗ hổng zero-day tại các điểm tiếp nhận tệp tin – nơi các cuộc tấn công này xâm nhập vào hệ thống
Công nghệ How Deep CDR™ vô hiệu hóa cơ chế kích hoạt như thế nào
Công nghệ Deep CDR™ ngăn chặn chuỗi sự kiện này ngay từ khi nó chưa kịp bắt đầu bằng cách vô hiệu hóa tệp tin khởi nguồn cho mọi hoạt động. Trong khi MetaDefender giúp phát hiện hành vi của tệp tin độc hại trong quá trình chạy, Công nghệ Deep CDR™ lại đảm bảo tệp tin đó không bao giờ có cơ hội được thực thi.
Cơ chế này đặc trưng cho cách thức hoạt động của các cuộc tấn công dựa trên LNK. Một lối tắt được vũ khí hóa chứa ý đồ độc hại trong các tham số dòng lệnh được nhúng sẵn; cụ thể trong trường hợp này là lệnh PowerShell được mã hóa, có chức năng giải nén tệp lưu trữ tar và khởi chạy chuỗi mã độc. Công nghệ Deep CDR™ nhận diện lệnh nhúng này và thay thế nó bằng một lệnh giả vô hại, giữ làm sạch lối tắt trong khi loại bỏ khả năng hoạt động như một tác nhân làm sạch tấn công.
Kết quả là quy trình làm sạch , trong đó hành vi độc hại ban đầu được vô hiệu hóa trước khi thực thi. Không có lệnh PowerShell nào được thực thi, không giải nén tệp lưu trữ, không tải DLL từ bên ngoài, không có PlugX. Khi kết hợp với nhau, MetaDefender và Công nghệ Deep CDR™ tạo nên một mô hình phòng thủ hai lớp.
Mô hình phòng thủ hai lớp
| Lớp | Công nghệ | Vai trò |
|---|---|---|
| Phát hiện và hiểu rõ | MetaDefender Aether | Kiểm tra tệp, hiển thị toàn bộ lộ trình thực thi nhiều giai đoạn, trích xuất các chỉ số hành vi (IOC) và đưa ra một kết luận đáng tin cậy duy nhất. |
| Vô hiệu hóa và ngăn chặn | Công nghệ Deep CDR™ | Vô hiệu hóa lệnh LNK độc hại, ngăn chặn lối tắt được thực thi. |
Sự khác biệt này có ý nghĩa quan trọng trong thực tế. MetaDefender là giải pháp phát hiện lỗ hổng zero-day dành cho các tệp cần phân tích sâu, đặc biệt khi mục tiêu là hiểu rõ hành vi trong quá trình thực thi và đưa ra kết luận chính xác. Công nghệ Deep CDR™ là cơ chế làm sạch và ngăn chặn dành cho các tệp có nội dung có thể được vô hiệu hóa an toàn mà không làm gián đoạn các hoạt động hợp pháp. Khi kết hợp, hai giải pháp này giải quyết cả hai khía cạnh của vấn đề: hiểu rõ cách thức hoạt động của mối đe dọa và đảm bảo rằng nó không bao giờ có cơ hội gây hại.
Tại sao độ chính xác lại quan trọng
Độ chính xác là yếu tố quan trọng bởi vì không phải mọi tệp tin trong chuỗi tấn công đều mang tính độc hại, và việc đối xử với tất cả chúng như nhau sẽ dẫn đến việc phát hiện quá rộng, từ đó làm suy giảm niềm tin vào các công cụ của bạn. Chiến dịch này đã minh chứng rõ điều đó.
Tiện ích máy in Canon đã được ký số (cnmpaui.exe) là một tệp nhị phân hợp pháp. Tệp này có chữ ký số hợp lệ, danh tiếng sạch sẽ và giá trị băm trùng khớp với phần mềm hợp pháp. Việc đánh dấu tệp này là độc hại sẽ gây ra các cảnh báo sai trong các môi trường đã cài đặt phần mềm máy in Canon, đồng thời khiến các chuyên viên SOC mất lòng tin vào các cảnh báo mà họ nhận được.
Các chỉ số xâm nhập (IOC) chính là tệp DLL độc hại (cnmpaui.dll) và chuỗi hành vi mà nó kích hoạt:
- Cài đặt bên ngoài và giải mã dữ liệu tải được mã hóa bằng khóa RC4 được cài đặt sẵn
- Gán tệp nhị phân PlugX đã được giải mã vào không gian bộ nhớ của một tiến trình đáng tin cậy
- Thiết lập tính bền vững thông qua khóa chạy "CanonPrinter"
- Khởi tạo lưu lượng C2 qua HTTPS với các đường dẫn URL ngẫu nhiên và chuỗi user-agent giả mạo
Đó là những tín hiệu quan trọng nhất, và chúng chỉ xuất hiện khi công cụ phát hiện có thể quan sát hành vi và phân biệt được giữa một tệp nhị phân đáng tin cậy đang bị lợi dụng và một tệp thực sự độc hại.
Đây chính là lúc kết quả đánh giá đáng tin cậy duy nhất MetaDefender trở nên đặc biệt hữu ích. Thay vì gắn nhãn "độc hại" một cách cứng nhắc cho mọi tệp trong chuỗi, quy trình phát hiện sẽ chấm điểm từng thành phần dựa trên hành vi quan sát được của chúng trong bối cảnh thực thi toàn diện.
Tệp EXE đã được ký được xác định là một tệp nhị phân hợp lệ được sử dụng để cài đặt bên ngoài. Tệp DLL và hành vi khi chạy của nó mới chính là mối đe dọa thực sự. Sự phân biệt này giúp các đội ngũ bảo mật có cái nhìn rõ ràng hơn và giảm bớt công sức thủ công cần thiết để phân biệt tín hiệu với nhiễu.
Việc phát hiện tĩnh đối với các tệp DLL độc hại cũng có thể được tăng cường bằng các quy tắc nhắm mục tiêu như YARA, và các mẫu YARA do Arctic Wolf công bố dành cho trình tải CanonStager là một điểm khởi đầu hữu ích. Tuy nhiên, bản chất của việc phát hiện dựa trên mẫu là mang tính phản ứng. Trong một chuỗi tấn công như thế này, yếu tố thực sự tạo nên sự khác biệt chính là khả năng quan sát hành vi kết hợp với việc vô hiệu hóa tệp.
Áp dụng Bảo mật tập tin nhiều lớp Bảo mật tập tin phơi bày các chuỗi tấn công dựa trên tệp LNK
Các cuộc tấn công dựa trên tệp LNK vẫn tiếp tục hiệu quả vì chúng dựa vào một loại tệp mà mọi người nhìn thấy hàng ngày và hiếm khi coi là nguy hiểm. Trong một bài viết trước, chúng tôi đã chỉ ra rằng các tệp LNK là các phím tắt Windows thông thường mà kẻ tấn công có thể lợi dụng bằng cách ẩn các lệnh PowerShell hoặc cmd.exe bên trong chúng, đôi khi theo những cách trông vô hại cho đến khi tệp thực sự được mở. Đó chính là lý do tại sao các chiến dịch như UNC6384 tiếp tục thành công: phím tắt trông quen thuộc, nhưng hành vi mà nó kích hoạt lại hoàn toàn khác biệt.
Mô hình này đã được lặp lại qua nhiều chiến dịch tấn công. Trong bài phân tích về Emotet, chúng tôi đã giải thích lý do tại sao các tệp tắt (shortcut) lại khó phân biệt với các tài liệu thông thường, và rằng phần mở rộng của chúng không được hiển thị theo mặc định trong Windows. Điều này khiến chúng trở thành phương tiện lây nhiễm đặc biệt hiệu quả. Bài học ở đây cũng tương tự: kẻ tấn công không cần phải sử dụng thủ đoạn mới mẻ nào khi một loại tệp quen thuộc vẫn có thể len lỏi vào các quy trình làm việc hàng ngày và khởi động chuỗi lây nhiễm nhiều giai đoạn.
Giải pháp không phải là gắn nhãn mọi tệp trong chuỗi là độc hại. Thay vào đó, cần áp dụng Bảo mật tập tin nhiều lớp Bảo mật tập tin phát hiện hành vi khi chạy, phân biệt giữa tệp nhị phân hợp pháp bị lợi dụng và tải trọng độc hại, đồng thời ngăn chặn cơ chế kích hoạt trước khi nó được thực thi. Hãy trao đổi với OPSWAT để tìm hiểu cách MetaDefender và công nghệ Deep CDR™ có thể hỗ trợ đội ngũ của bạn phát hiện, phân tích và ngăn chặn các cuộc tấn công dựa trên tệp LNK.
