Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Email LinkedIn Giả Mạo Lạm Dụng Adobe Target để Theo Dõi và Đánh Cắp Thông Tin Đăng Nhập

Updated
12 min read
Email LinkedIn Giả Mạo Lạm Dụng Adobe Target để Theo Dõi và Đánh Cắp Thông Tin Đăng Nhập
Đ
Đinh Văn Mạnh
Part of seriesNewsletters

Không phải mọi cuộc tấn công đều bắt đầu bằng một đoạn mã khai thác lỗ hổng zero-day hay một payload tinh vi ẩn sâu trong bộ nhớ hệ thống. Đôi khi, tất cả những gì kẻ tấn công cần chỉ là một email trông có vẻ chuyên nghiệp, một tệp đính kèm trông có vẻ vô hại, và sự tin tưởng ngầm của người dùng vào những cái tên quen thuộc như LinkedIn hay Adobe.

Chiến dịch phishing mới được các chuyên gia phát hiện và công bố vào cuối tháng 5/2026 là một ví dụ điển hình cho cách kết hợp social engineering với kỹ thuật lạm dụng hạ tầng tin cậy để tạo ra một chuỗi tấn công đơn giản nhưng đủ tinh tế để qua mặt nhiều lớp bảo vệ thông thường. Đây không phải loại tấn công đòi hỏi khả năng kỹ thuật đặc biệt cao, nhưng lại nguy hiểm chính vì vậy — vì nó nhắm vào điểm yếu khó vá nhất trong mọi hệ thống: con người.

Bối cảnh và Mục tiêu Tấn Công

LinkedIn từ lâu đã trở thành một môi trường "màu mỡ" cho các chiến dịch phishing nhắm vào giới doanh nghiệp và chuyên gia. Nền tảng này quen thuộc với các email thông báo kết nối, lời mời hợp tác, yêu cầu xem xét hồ sơ hay đề nghị kinh doanh — tất cả đều là những nội dung mà người dùng có thể hành động mà không cần suy nghĩ nhiều.

Chiến dịch lần này nhắm vào chính sự quen thuộc đó. Kẻ tấn công không cần phải dựng lên một kịch bản phức tạp hay mạo danh một nhân vật đặc biệt nổi tiếng. Chúng chỉ cần một email đủ trông chuyên nghiệp, với nội dung đề nghị hợp tác hoặc trao đổi công việc. Mục tiêu cuối cùng là thông tin đăng nhập LinkedIn của nạn nhân — thứ có thể được dùng để tiếp tục mở rộng tấn công, chiếm đoạt tài khoản doanh nghiệp, hoặc đơn giản hơn, được rao bán trên các chợ ngầm.

Email Lừa Đảo và Kỹ Thuật Ngụy Trang Ban Đầu

Nội dung Email

Email lừa đảo được thiết kế để trông giống như một yêu cầu hợp tác kinh doanh hoặc đề xuất công việc đến từ một người dùng LinkedIn. Cấu trúc email sử dụng ngôn ngữ chuyên nghiệp, chủ đề phù hợp với ngữ cảnh của nền tảng mạng xã hội doanh nghiệp, và không có các dấu hiệu lỗi chính tả thô thiển thường thấy ở các chiến dịch phishing thô sơ hơn.

Tuy nhiên, nếu kiểm tra kỹ hơn, có thể phát hiện các điểm bất nhất: tên người gửi, địa chỉ email và chữ ký không khớp hoàn toàn với nhau. Tên công ty xuất hiện trong email có thể là thật, nhưng vị trí địa lý được khai báo lại không khớp với thực tế đăng ký của công ty đó. Đây là những dấu hiệu mà người dùng không được đào tạo về nhận thức bảo mật (security awareness) rất dễ bỏ qua, đặc biệt khi email đến vào giữa một ngày làm việc bận rộn.

Tệp Đính Kèm Ngụy Trang

Điểm đáng chú ý nhất ở giai đoạn đầu là cách kẻ tấn công xây dựng tệp đính kèm. Thay vì sử dụng một file thực thi (.exe) hay một tài liệu Office nhúng macro — vốn đã bị nhiều hệ thống email chặn hoặc cảnh báo — chúng sử dụng một tệp HTML với phần mở rộng kép kiểu *.pdf.html.

Kỹ thuật này hoạt động bằng cách khai thác cách hệ điều hành và ứng dụng email hiển thị tên tệp. Khi tên tệp quá dài, phần đuôi thật (.html) có thể bị cắt bớt trong giao diện hiển thị, khiến người dùng chỉ nhìn thấy phần đầu có chứa chữ pdf và nhầm tưởng đây là một tài liệu PDF thông thường. Thậm chí với những người nhìn thấy cả tên đầy đủ, sự quen thuộc của từ "pdf" vẫn có thể khiến họ mất cảnh giác.

Mã Độc Bên Trong File HTML

Obfuscation Nhiều Lớp

Tệp HTML độc hại được tạo ra không phải với mục đích hiển thị tài liệu mà thực chất là một stage đầu vào cho chuỗi tấn công. Nội dung bên trong được làm rối mã (obfuscated) ở mức độ cao, nhằm hai mục đích chính: che giấu logic thực sự của mã khỏi sự phân tích tĩnh và vô hiệu hóa các quy tắc phát hiện dựa trên chữ ký đơn giản.

Kỹ thuật obfuscation được ghi nhận trong chiến dịch này bao gồm URL encoding kết hợp với Base64 encoding, chia thành nhiều phần riêng biệt trong mã nguồn trước khi được ghép lại và thực thi thông qua JavaScript trong trình duyệt. Đây là một phương pháp phổ biến nhưng hiệu quả vì nó đòi hỏi người phân tích phải thực sự "unpack" từng lớp obfuscation thay vì chỉ đọc qua mã nguồn.

Form Đăng Nhập Giả và Chi Tiết Kỹ Thuật Tinh Tế

Khi file HTML được mở trong trình duyệt, người dùng sẽ thấy một trang đăng nhập LinkedIn giả mạo được thiết kế trông rất giống giao diện thật. Một chi tiết kỹ thuật đáng chú ý: địa chỉ email của nạn nhân thường được hardcode sẵn vào form, nghĩa là trường email đã được điền sẵn và người dùng không thể thay đổi hay xóa nó đi.

Điều này phục vụ hai mục đích đồng thời. Thứ nhất, về mặt tâm lý, một trường email đã điền sẵn tạo cảm giác quy trình xác thực đang tiếp diễn một cách liền mạch và hợp lệ, đẩy người dùng nhanh chóng đến bước nhập mật khẩu. Thứ hai, về mặt kỹ thuật, nó ngăn các nhà nghiên cứu bảo mật và honeypot tự động nhập dữ liệu giả để test hành vi của form, giúp kẻ tấn công giảm thiểu rủi ro bị phát hiện thông qua các hệ thống phân tích hành vi tự động.

Kỹ Thuật Đặc Trưng — Lạm Dụng Adobe Target

Adobe Target là gì?

Để hiểu tại sao việc lạm dụng Adobe Target lại đáng lo ngại, cần nắm được vai trò thực sự của dịch vụ này. Adobe Target là một nền tảng thuộc Adobe Experience Cloud, được các doanh nghiệp lớn sử dụng rộng rãi để thực hiện các chiến dịch cá nhân hóa nội dung (content personalization) và thử nghiệm A/B testing trên website.

Dịch vụ này hoạt động thông qua các domain như omtrdc.net, cho phép các tổ chức theo dõi hành vi người dùng, phân nhóm đối tượng, và phân phối nội dung khác nhau đến từng nhóm người dùng khác nhau dựa trên các điều kiện được định nghĩa trước. Vì đây là một dịch vụ hợp pháp của Adobe — một trong những công ty phần mềm doanh nghiệp lớn và có uy tín nhất thế giới — các tên miền liên quan của nó thường được đưa vào danh sách trắng (whitelist) trong hầu hết các hệ thống bảo mật doanh nghiệp.

Cách Kẻ Tấn Công Lạm Dụng Dịch Vụ Này

URL sau xuất hiện trong luồng lưu lượng mạng của nạn nhân:

https://lnkd.tt.omtrdc.net/rest/v1/delivery

Thay vì gửi thẳng dữ liệu nạn nhân đến máy chủ độc hại ngay từ đầu, kẻ tấn công sử dụng endpoint này như một điểm trung chuyển. Lưu lượng đi qua hạ tầng của Adobe trước, sau đó mới được điều phối tiếp theo logic mà kẻ tấn công đã thiết lập.

Mục đích của bước này là kép. Một mặt, nó cho phép kẻ tấn công theo dõi được chính xác bao nhiêu nạn nhân đã mở file, bao nhiêu người đã tương tác với form đăng nhập giả, và bao nhiêu người đã thực sự nhập mật khẩu — về cơ bản biến Adobe Target thành một công cụ phân tích chiến dịch phishing. Mặt khác, lưu lượng đi qua tên miền omtrdc.net được nhiều hệ thống giám sát xem là bình thường và không đáng ngờ, giúp kẻ tấn công kéo dài thời gian tồn tại của chiến dịch trước khi bị phát hiện và chặn.

Đây là một biểu hiện rõ nét của chiến thuật Living off Trusted Sites (LoTS) — xu hướng kẻ tấn công ngày càng ưa thích lạm dụng hạ tầng hợp pháp của các dịch vụ đám mây, CDN, và nền tảng lớn thay vì tự xây dựng hạ tầng C2 riêng.

Thu Thập Thông Tin Xác Thực và Cú Chuyển Hướng Cuối

Máy Chủ Nhận Dữ Liệu

Sau khi đi qua lớp ngụy trang từ Adobe, thông tin xác thực của nạn nhân được chuyển tiếp đến đích thực sự thông qua một yêu cầu POST đến:

http://a1263367.xsph.ru/taam/Ln.php

Tên miền .ru với cấu trúc tên subdomain ngẫu nhiên kiểu này là một dấu hiệu cờ đỏ rõ ràng đối với các hệ thống phân tích tên miền có tích hợp threat intelligence. Dữ liệu được gửi đi bao gồm ít nhất hai tham số: tham số AA chứa địa chỉ email của nạn nhân (đã được nhúng sẵn từ stage trước), và tham số BB chứa mật khẩu người dùng vừa nhập vào form giả.

Đây là phần thô sơ nhất của chiến dịch — một đoạn PHP đơn giản nhận POST request và ghi dữ liệu lại — nhưng cũng là phần không cần tinh vi hơn vì toàn bộ công việc quan trọng đã được thực hiện ở các lớp trước.

Kỹ Thuật "Xóa Dấu Vết" Bằng Chuyển Hướng

Ngay sau khi thu thập xong thông tin đăng nhập, tập tin PHP phía máy chủ kẻ tấn công thực hiện một bước cuối cùng: chuyển hướng trình duyệt của nạn nhân sang trang hợp pháp business.linkedin.com.

Đây là một chi tiết nhỏ nhưng có tính toán rõ ràng. Với đại đa số người dùng, thao tác "nhập thông tin rồi được chuyển sang trang LinkedIn thật" sẽ được hiểu là một phiên đăng nhập thành công hoặc một chuyển hướng tự động bình thường. Điều này triệt tiêu động lực của nạn nhân để báo cáo sự cố ngay lập tức, đồng thời tạo ra một khoảng thời gian giá trị mà trong đó kẻ tấn công có thể khai thác tài khoản vừa bị chiếm đoạt trước khi nạn nhân nghi ngờ bất cứ điều gì.

Đánh Giá Chiến Thuật và Góc Nhìn Phòng Thủ

Điểm Mạnh và Điểm Yếu Của Chiến Dịch

Nhìn tổng thể, chiến dịch này thành công trong việc kết hợp nhiều kỹ thuật nhỏ lẻ thành một chuỗi tấn công có tính liên kết cao. Từ lure email chuyên nghiệp, qua tệp HTML obfuscated với double extension, đến việc lạm dụng hạ tầng Adobe làm điểm tracking, rồi kết thúc bằng chuyển hướng về trang thật — mỗi bước đều phục vụ một mục tiêu cụ thể trong việc giảm thiểu sự nghi ngờ.

Tuy nhiên, điểm yếu rõ ràng nhất là điểm cuối nhận dữ liệu: một tên miền .ru với cấu trúc URL có thể nhận diện được nếu giám sát DNS và HTTP traffic ra ngoài. Ngoài ra, việc hardcode email nạn nhân vào file HTML có nghĩa là mỗi file là một phiên bản được tùy chỉnh riêng cho từng mục tiêu, điều này gợi ý đây là chiến dịch được nhắm mục tiêu (targeted) chứ không phải spam đại trà.

Khuyến Nghị Phòng Thủ

Đối với đội ngũ SOC và Blue Team, chiến dịch này cung cấp một số hướng phát hiện và phòng thủ có thể triển khai ngay:

  • Email Gateway: Bổ sung quy tắc phát hiện tệp đính kèm HTML có tên chứa kiểu *.pdf.html, *.docx.html hoặc các biến thể double-extension tương tự.

  • Endpoint Detection: Giám sát các tiến trình trình duyệt mở file HTML từ thư mục Downloads hoặc Temp, đặc biệt khi đi kèm kết nối ra ngoài ngay sau đó.

  • DNS/Web Proxy Monitoring: Xây dựng alert cho luồng: file HTML cục bộ → kết nối omtrdc.net → POST đến domain lạ. Chuỗi này là bất thường vì người dùng bình thường không mở file HTML mà lại phát sinh traffic qua Adobe Target.

  • Threat Intelligence Integration: Đưa a1263367.xsph.ru và các tham số AA/BB liên quan vào TIP và SIEM để tự động nhận diện các trường hợp tương tự trong tương lai.

  • Security Awareness Training: Đào tạo người dùng nhận biết tệp có phần mở rộng kép và thói quen không mở tệp đính kèm từ email không được yêu cầu, kể cả khi email trông như đến từ LinkedIn.

IOCs

Các chỉ báo dưới đây có thể được sử dụng cho mục đích hunting, triage, hoặc enrichment trong hệ thống SIEM/SOAR. Lưu ý rằng các IOC tĩnh có vòng đời ngắn — giá trị thực sự của chiến dịch này nằm ở TTP (Tactics, Techniques & Procedures), không phải ở các chỉ số cụ thể.

Loại IOC Giá Trị
Domain bị lạm dụng lnkd.tt.omtrdc.net
URL endpoint https://lnkd.tt.omtrdc.net/rest/v1/delivery
Domain C2 a1263367.xsph.ru
URL C2 http://a1263367.xsph.ru/taam/Ln.php
Tham số POST AA (email), BB (password)
Redirect sau tấn công business.linkedin.com
Mẫu tệp nguy hiểm *.pdf.html
Loại tệp HTML obfuscated (URL encoding + Base64)
Lure theme Đề nghị hợp tác/trao đổi công việc LinkedIn
Kỹ thuật đặc trưng Hardcode email nạn nhân vào form HTML

Tham Khảo

  1. Fake LinkedIn emails abuse Adobe to track victims

  2. LinkedIn-themed phishing abuses Adobe’s A/B testing platform

  3. Fake LinkedIn Collaboration Emails Abuse Adobe Target to Track Victims in Phishing Campaign

#threat-intelligence#phishing#adobe#linkedin

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 3 of 50
Up next

Storm-2949: Nhóm Hacker Biến MFA Thành “Chìa Khóa Vàng” Để Đánh Cắp Dữ Liệu Azure

Tóm tắt chiến dịch Chiến dịch tấn công mới của nhóm threat actor Storm-2949 đã gióng lên hồi chuông cảnh báo về rủi ro của các tính năng tự phục vụ danh tính trong môi trường điện toán đám mây. Bằng c

More from this blog

F

FPT IS Security

814 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.