Tin tặc theo dõi hộp thư Outlook của lãnh đạo sàn chứng khoán trong suốt 5 tháng

Kẻ tấn công chưa xác định đã xâm nhập hộp thư Outlook của một lãnh đạo sàn chứng khoán lớn suốt 5 tháng, đánh cắp dữ liệu thông qua Dropbox và OneDrive để ẩn mình. Symantec nhận định đây là một chiến dịch gián điệp tinh vi nhằm thu thập tình báo thị trường.
Minh họa bảo mật email Outlook

Những kẻ tấn công chưa xác định đã dành ít nhất 5 tháng xâm nhập vào hộp thư Outlook của một lãnh đạo cấp cao tại một sàn giao dịch chứng khoán lớn toàn cầu. Chúng sao chép hộp thư theo từng đợt nhỏ, lặp đi lặp lại và định tuyến dữ liệu qua Dropbox và OneDrive để lưu lượng truy cập hòa lẫn vào các hoạt động đám mây thông thường.

Đội săn tìm đe dọa của Symantec và Carbon Black đã báo cáo về chiến dịch này trong tuần này. Các dấu hiệu cho thấy đây là một vụ gián điệp, không phải là một vụ trộm tài chính: Symantec cho biết các lệnh điều khiển chỉ ra mục tiêu thu thập tình báo, không phải đánh cắp vì lợi nhuận.

Cả danh tính vị lãnh đạo lẫn sàn giao dịch đều không được nêu tên. Tuy nhiên, giá trị của mục tiêu là rất rõ ràng: hộp thư của một lãnh đạo sàn chứng khoán có thể chứa các chi tiết niêm yết chưa công bố, các vấn đề thực thi pháp lý, điều khoản thỏa thuận, các kế hoạch gây biến động thị trường, cùng với lịch trình và danh bạ của cá nhân đó.

Năm tháng truy cập âm thầm đã giúp kẻ tấn công nắm bắt chi tiết các hoạt động của vị lãnh đạo và định hướng của tổ chức mà không cần quyền truy cập rộng rãi vào các hệ thống kinh doanh khác.

Diễn biến cuộc tấn công và Kỹ thuật xâm nhập

Hoạt động độc hại đầu tiên được phát hiện vào ngày 10 tháng 10 năm 2025. Vào thời điểm đó, kẻ tấn công đã chạy hai tệp nhị phân dưới quyền SYSTEM (mức đặc quyền cao nhất trong Windows), một tệp giả mạo trình cập nhật của Adobe và tệp còn lại giả mạo OneDrive. Khi lực lượng phòng thủ nhận ra sự cố, kẻ xâm nhập đã hoàn toàn kiểm soát máy tính, và cách thức chúng xâm nhập ban đầu hiện vẫn chưa được xác định.

Tuy nhiên, Symantec xác nhận rằng những dấu hiệu đầu tiên có khả năng bắt nguồn từ việc di chuyển ngang (lateral movement) từ một thiết bị đã bị xâm nhập trước đó. Chiến dịch chính thức tăng tốc vào ngày 12 tháng 11. Kẻ tấn công đã lấy mã thông báo API của Dropbox, bắt đầu tải dữ liệu lên bằng curl và triển khai công cụ chính: một trình đánh cắp hộp thư được xây dựng trên Aspose, một thư viện .NET hợp pháp dùng để đọc các tệp Outlook OST và PST. Được bao bọc trong một tệp thực thi, công cụ này đã chuyển đổi hộp thư sang định dạng PST và ghi vào ổ đĩa, mỗi lần chạy đều đi kèm với mật khẩu và tham số mốc thời gian.

Lần chạy đầu tiên đã thu thập mọi thứ từ tháng 8 năm 2025 trở đi. Sau đó, kẻ tấn công quay lại sau mỗi 2 đến 4 tuần, mỗi lần chỉ lấy dữ liệu của những ngày kể từ lần truy cập trước, với tổng cộng 8 lần trích xuất nữa tính đến ngày 17 tháng 2 năm 2026. Kết quả là chúng có được một bản sao gần như liên tục của hộp thư, được chia nhỏ để tránh gây chú ý cho các phần mềm bảo mật.

Phân tích kỹ thuật cuộc tấn công gián điệp

Ẩn mình trong lưu lượng đám mây

Sự tinh vi của cuộc tấn công nằm ở việc làm cho các hoạt động trông như bình thường. Các tác vụ lập lịch (Scheduled tasks) giả mạo các dịch vụ hệ thống của Adobe, Lenovo và OneDrive. Để trích xuất dữ liệu, kẻ tấn công đã sử dụng Dropbox và OneDrive cá nhân. Đối với OneDrive, chúng kết nối trực tiếp với các địa chỉ IP cứng của Microsoft thay vì tên miền onedrive.live.com, do đó không có truy vấn DNS nào để các công cụ bảo mật vòng ngoài có thể phát hiện hoặc chặn lại.

Kẻ tấn công cũng đã thử nghiệm dịch vụ lưu trữ tệp công cộng temp.sh một lần vào tháng 11 trước khi từ bỏ. Hoạt động cuối cùng được quan sát thấy vào ngày 19 tháng 3 năm 2026 là một backdoor mới đã được chuẩn bị sẵn nhưng chưa bao giờ được kích hoạt, điều này có thể đồng nghĩa với việc kẻ tấn công đã mất quyền truy cập ngay sau đó.

Các chỉ số được Symantec công bố cho thấy một bộ công cụ xâm nhập rộng lớn, không chỉ đơn thuần là trình thu thập hộp thư: FRPC để tạo đường truyền (tunneling) dữ liệu, Secretsdump để lấy thông tin xác thực Windows, SharpDecryptPwd để khôi phục mật khẩu ứng dụng đã lưu và một công cụ để vượt qua Windows User Account Control. Báo cáo không nêu rõ từng công cụ được sử dụng như thế nào và không có công cụ nào chỉ đích danh một nhóm tin tặc cụ thể.

Không dựa trên lỗ hổng bảo mật

Không có mã lỗi CVE nào trong vụ việc này. Đây là một vụ xâm nhập vào hộp thư cá nhân, không phải khai thác một lỗ hổng mới được công bố. Điều này cho thấy: không có bản vá nào có thể đóng lại kẽ hở này, và trách nhiệm hoàn toàn thuộc về khâu giám sát và phản ứng.

Việc xác định thủ phạm vẫn chưa được giải quyết. Sự kết hợp giữa các công cụ công khai và dịch vụ đám mây phổ thông khiến các chuyên gia khó lòng liên kết hoạt động này với một nhóm đối tượng cụ thể. Việc định tuyến dữ liệu trích xuất qua Dropbox và OneDrive để ẩn mình là một chiêu thức quen thuộc mà Microsoft từng cảnh báo là cách cố tình để vượt qua các lớp phòng thủ biên giới hệ thống và làm lu mờ nguồn gốc tấn công.

Nếu bạn chịu trách nhiệm bảo vệ sàn chứng khoán, cơ quan quản lý hoặc bất kỳ công ty nào nắm giữ thông tin nhạy cảm, hãy cập nhật các mã băm (hashes) ngay lập tức và theo dõi các hành vi nghi vấn: hoạt động xuất hộp thư bất thường, truy cập Outlook lạ, tải dữ liệu lên các tài khoản Dropbox hoặc OneDrive cá nhân, các kết nối tunneling không mong muốn và hành vi trích xuất thông tin xác thực trên các hệ thống của người dùng có đặc quyền.