Nền Kinh Tế Ngầm Của Truy Cập: Storm Infostealer và Thời Đại Tấn Công Không Cần Mật Khẩu

Tóm Tắt

Đầu năm 2026, Varonis Threat Labs phát hiện Storm — một infostealer mới xuất hiện trên các mạng underground cybercrime với giá thuê dưới $1,000/tháng. Storm không chỉ là thêm một công cụ đánh cắp thông tin thông thường: nó đại diện cho bước tiến hóa tiếp theo trong cách kẻ tấn công chiếm đoạt danh tính số mà không cần biết mật khẩu, không trigger MFA.

Phân tích panel của Varonis xác nhận 1,715 nạn nhân từ nhiều quốc gia, trong đó có Việt Nam. Một browser bị nhiễm Storm có thể trao cho kẻ vận hành toàn quyền truy cập vào SaaS, cloud environment, và hệ thống nội bộ của tổ chức — tất cả thông qua session cookie đã được xác thực, mà không kích hoạt bất kỳ cảnh báo dựa trên mật khẩu nào.

Storm không tồn tại trong chân không. Nó là sản phẩm của một access economy đã trưởng thành — một nền kinh tế ngầm nơi mọi mắt xích trong chuỗi tấn công đều được chuyên môn hóa, định giá, và giao dịch như hàng hóa.

Hành động ưu tiên cao nhất: Review ngay policy về browser-based credential storage cho tài khoản có đặc quyền cao, và enable alert cho impossible travel hoặc fresh token từ Entra ID / Google Workspace.

---

1. Access Economy: Khi Tấn Công Trở Thành Ngành Công Nghiệp

Câu nói "attackers don't break in, they log in" không còn là cảnh báo — nó là mô tả một mô hình kinh doanh.

Underground marketplace hiện vận hành với đầy đủ hệ sinh thái của một thị trường hợp pháp: reputation system cho người bán, escrow để bảo đảm giao dịch, chuyên môn hóa theo từng mắt xích, và giá cả phân tầng theo giá trị mục tiêu. Một operator chạy infostealer trên hàng nghìn máy. Người khác extract và phân loại credential. Người thứ ba bán curated access. Người thứ tư deploy ransomware. Mỗi bên tập trung vào thế mạnh, và toàn bộ chuỗi hoạt động với hiệu suất đáng lo ngại.

Có bốn loại sản phẩm chính được giao dịch trong thị trường này:

1.1 Remote Access Credentials

VPN và RDP credential được list với đầy đủ metadata: tên tổ chức, khu vực địa lý, ngành, sản phẩm VPN đang dùng. Giá scale theo giá trị mục tiêu. Một seller đã được xác nhận bán 7 Fortinet SSL VPN credentials cho các tổ chức giáo dục — thị trường giá trị thấp. Credentials của tổ chức tài chính hoặc cơ quan chính phủ được định giá cao hơn đáng kể, và đôi khi đi kèm cam kết "exclusive access" — nghĩa là seller không bán cho nhiều buyer cùng lúc.

1.2 Infostealer Logs

Đây là hàng hóa lớn nhất của thị trường. Các gia đình infostealer như Redline, Raccoon, Vidar, Lumma, và Risepro thu thập browser-saved passwords, session cookies, autofill data, crypto wallet seeds, và authentication token — sau đó phân phối qua subscription channel có cấu trúc.

DAISY CLOUD là một ví dụ điển hình: dịch vụ phân phối stealer log theo subscription với giá \(400/7 ngày hoặc \)1,350/tháng. Log được index có thể search theo loại credential, quốc gia, và platform.

Session cookie là mặt hàng đặc biệt giá trị. Nếu infostealer lấy được cookie còn hiệu lực, kẻ tấn công có thể import vào browser và kế thừa toàn bộ authenticated session — không cần mật khẩu, không cần MFA.

1.3 Breach Databases

Dữ liệu từ các vụ breach cũ được phân loại theo geography, sector, mức độ "tươi" (freshness), và độ hoàn chỉnh của field (có email + phone + password hash không?). Dữ liệu này phục vụ nhiều mục đích: credential stuffing, reconnaissance về cấu trúc tổ chức, và xây dựng hồ sơ nhân viên để tấn công phishing định hướng.

Một ví dụ điển hình từ nghiên cứu của Varonis: dump từ ba bộ của Ai Cập bao gồm 24,000 file HTML và hàng nghìn tài liệu PDF chứa thông tin công dân.

1.4 Web Shells & Backdoors

Web shell bypass xác thực hoàn toàn. Đây là backdoor được cài trên server đã bị compromise, cho phép buyer thực thi lệnh qua HTTP mà không cần bất kỳ credential nào. Sau khi cài, web shell tồn tại độc lập với lỗ hổng ban đầu — patch lỗ hổng gốc không xóa shell.

Một listing được Varonis ghi nhận: root RCE và shell access vào government revenue management system (Linux, root-level) — giá $400, seller có reputation score 61 sau bốn tháng hoạt động.

---

2. Storm — Infostealer Thế Hệ Mới

Storm là minh chứng rõ nhất cho hướng tiến hóa của infostealer: từ công cụ dump dữ liệu thô sang nền tảng chiếm đoạt danh tính tự động.

2.1 Bối cảnh kỹ thuật: Tại sao cần server-side decryption?

Infostealer truyền thống decrypt browser credential ngay trên máy nạn nhân bằng cách load SQLite library và truy cập credential store trực tiếp. EDR và endpoint security tools dần nhận ra pattern này — truy cập browser database bất thường là một trong những signal rõ ràng nhất của malicious activity.

Tháng 7/2024, Google triển khai App-Bound Encryption trong Chrome 127, gắn encryption key với Chrome process và làm local decryption khó hơn đáng kể. Đây là thời điểm mà Storm và các stealer thế hệ mới chuyển hướng: thay vì decrypt tại endpoint, chúng exfiltrate encrypted blob về server của attacker và decrypt tại đó.

Kết quả: không còn suspicious SQLite access trên endpoint, không còn browser credential store access — những signal mà EDR đang detect.

2.2 Dữ liệu bị thu thập

Storm thu thập toàn bộ những gì kẻ tấn công cần để restore hijacked session:

• Saved passwords và autofill data
• Session cookies (tất cả browser)
• Google account tokens và refresh token
• Credit card data được lưu trong browser
• Browsing history
• Session data từ Telegram, Signal, Discord
• Crypto wallet qua cả browser extension lẫn desktop app
• Documents từ user directories
• System information và screenshots Storm xử lý cả Chromium-based browsers (Chrome, Edge, Brave) lẫn Gecko-based browsers (Firefox, Waterfox, Pale Moon) — hoàn toàn server-side. Đây là điểm khác biệt so với StealC V2, vẫn xử lý Firefox locally.

2.3 Tính năng Session Restore: Điểm nguy hiểm nhất

Sau khi decrypt dữ liệu, Storm không chỉ dump vào panel để operator xử lý thủ công. Nó tự động hóa bước tiếp theo:

1. Nhập Google Refresh Token của nạn nhân vào panel
2. Kết hợp với SOCKS5 proxy được match theo địa lý (cùng quốc gia/ISP với nạn nhân)
3. Panel silently restore authenticated session Kết quả: operator có authenticated session hoạt động, đến từ IP địa lý phù hợp, không trigger bất kỳ password-based alert nào. Mọi SaaS platform mà nạn nhân đang đăng nhập — Microsoft 365, Google Workspace, Salesforce, internal tools — đều bị lộ.

Kỹ thuật này không mới: nghiên cứu Cookie-Bite của Varonis đã chứng minh stolen Azure Entra ID session cookie vô hiệu hóa MFA. SessionShark đã cho thấy phishing kit intercepting session token real-time. Storm chỉ là productization — đóng gói kỹ thuật đã biết thành subscription service với UX thân thiện cho operator.

2.4 Quy mô thực tế

Varonis tìm thấy 1,715 entries trong panel data, đến từ Brazil, Ecuador, India, Indonesia, Việt Nam, và Mỹ. Mặc dù không thể xác nhận 100% đây đều là nạn nhân thực (có thể bao gồm test data), sự đa dạng về IP, ISP, và data size cho thấy có active malicious campaign đang hoạt động.

Credential bị đánh cắp cover nhiều platform giá trị cao: Google, Facebook, Twitter/X, tài khoản tài chính, và corporate SaaS.

---

3. Kill Chain

[Infection Vector]
Phishing email / Malicious download / Compromised third-party tool
         │
         ▼
[Collection — Endpoint]
Storm harvests: passwords, cookies, tokens, wallets, documents
→ Không decrypt local, không access SQLite trực tiếp
→ Package dữ liệu dưới dạng encrypted blob
         │
         ▼
[Exfiltration → C2 Server]
Encrypted blob shipped to attacker-controlled server
         │
         ▼
[Server-side Decryption]
Attacker server decrypt toàn bộ browser data
→ Credentials và session cookies dumped vào operator panel
         │
         ▼
[Session Restore — Automation]
Google Refresh Token + SOCKS5 proxy (geo-matched)
→ Panel silently restores authenticated session
         │
         ▼
[Impact]
Authenticated access to SaaS, cloud, internal tools
→ Không trigger password alert, không cần bypass MFA

---

4. MITRE ATT&CK Mapping

Tactic	Technique ID	Technique Name	Ghi chú
Initial Access	T1566	Phishing	Delivery vector chính
Initial Access	T1078	Valid Accounts	Sử dụng stolen VPN/RDP credentials từ market
Credential Access	T1555.003	Credentials from Web Browsers	Core capability của Storm
Credential Access	T1539	Steal Web Session Cookie	Session cookie là mục tiêu ưu tiên
Credential Access	T1528	Steal Application Access Token	Google Refresh Token
Defense Evasion	T1027	Obfuscated Files or Information	Encrypted blob, tránh local detection
Exfiltration	T1041	Exfiltration Over C2 Channel	Ship encrypted blob về server
Persistence	T1505.003	Web Shell	Áp dụng cho access broker bán web shell
Initial Access	T1190	Exploit Public-Facing Application	Vector cho web shell installation
Lateral Movement	T1550.004	Web Session Cookie	Sử dụng cookie để move sang các service khác

---

5. Detection & Threat Hunting

5.1 Endpoint Signals (Microsoft Defender for Endpoint)

Với server-side decryption, local signal yếu hơn thế hệ trước — nhưng không biến mất hoàn toàn:

// Phát hiện process con bất thường từ browser — có thể liên quan đến Storm loader
DeviceProcessEvents
| where InitiatingProcessFileName in~ ("chrome.exe", "msedge.exe", "firefox.exe")
| where FileName !in~ ("chrome.exe", "msedge.exe", "firefox.exe", "crashpad_handler.exe")
| where ProcessCommandLine !contains "extension"
| project Timestamp, DeviceName, InitiatingProcessFileName, FileName, ProcessCommandLine
| order by Timestamp desc

// Tìm truy cập bất thường vào browser profile directories (credential store)
DeviceFileEvents
| where FolderPath has_any (
    @"\AppData\Local\Google\Chrome\User Data\Default\Login Data",
    @"\AppData\Local\Microsoft\Edge\User Data\Default\Login Data",
    @"\AppData\Roaming\Mozilla\Firefox\Profiles"
)
| where InitiatingProcessFileName !in~ ("chrome.exe", "msedge.exe", "firefox.exe", "MicrosoftEdgeUpdate.exe")
| project Timestamp, DeviceName, InitiatingProcessFileName, FolderPath, ActionType

5.2 Identity Signals (Microsoft Entra ID / Azure AD)

Session hijack sẽ để lại dấu hiệu trên identity layer — đây là nơi detection hiệu quả nhất:

// Impossible travel sau khi có sign-in thành công — dấu hiệu của session restore với proxy
SigninLogs
| where ResultType == 0
| summarize 
    Locations = make_set(Location),
    IPAddresses = make_set(IPAddress),
    Count = count()
    by UserPrincipalName, bin(TimeGenerated, 1h)
| where array_length(Locations) > 1
| project TimeGenerated, UserPrincipalName, Locations, IPAddresses, Count

// Token refresh từ IP lạ — Google Refresh Token abuse pattern
AADNonInteractiveUserSignInLogs
| where AuthenticationProtocol == "refreshToken"
| where NetworkLocationDetails !contains "trustedNamedLocation"
| join kind=leftouter (
    SigninLogs
    | where TimeGenerated > ago(30d)
    | summarize KnownIPs = make_set(IPAddress) by UserPrincipalName
) on UserPrincipalName
| where IPAddress !in (KnownIPs)
| project TimeGenerated, UserPrincipalName, IPAddress, AppDisplayName, Location

5.3 Network Signals

• Monitor outbound connection từ endpoint đến IP/domain không thuộc whitelist, đặc biệt sau user login activity
• SOCKS5 proxy traffic kết hợp với browser activity bất thường — pattern của session restore
• Large encrypted outbound transfer từ workstation (exfiltration của encrypted blob)

5.4 Log Sources Cần Bật

Source	Mục đích
MDE — Process Creation	Detect Storm loader / child process anomaly
MDE — File Events	Monitor browser credential store access
Entra ID Sign-in Logs	Session hijack detection, impossible travel
Entra ID Non-Interactive Logs	Refresh token abuse
Network Proxy Logs	Exfiltration và SOCKS5 detection
Microsoft Sentinel — UEBA	Behavioral baseline cho user session

---

6. IOC & Artifacts

# Storm-related Malware Families (related ecosystem)
Redline Stealer
Raccoon Stealer
Vidar
Lumma Stealer
Risepro
 
# Distribution Services
DAISY CLOUD (stealer log subscription service)
  → Pricing: \(400 / 7 ngày | \)1,350 / tháng
 
# Storm Binary Hashes
[NEEDS VERIFICATION: Varonis chưa công bố hash cụ thể của Storm binary trong nguồn mở]
 
# Storm C2 Infrastructure
[NEEDS VERIFICATION: C2 domains/IPs chưa được công bố trong báo cáo công khai]
 
# Session Restore Technique Indicator
Google Refresh Token abuse + SOCKS5 geo-matched proxy
→ Detect qua: AADNonInteractiveUserSignInLogs với refreshToken auth từ unknown IP

---

7. Nhận Định

Storm không phải là zero-day hay kỹ thuật hoàn toàn mới. Mọi kỹ thuật cốt lõi — server-side decryption, session cookie theft, refresh token abuse — đều đã được document. Điều Storm làm là productize toàn bộ quy trình thành một dịch vụ subscription với UX đủ đơn giản để operator không cần hiểu sâu kỹ thuật.

Đây là pattern đáng lo ngại hơn bất kỳ kỹ thuật mới nào: barrier to entry cho identity-based attack đang tiếp tục giảm.

Việc Việt Nam xuất hiện trong panel data của Storm là tín hiệu cụ thể, không phải cảnh báo chung chung. Nhiều tổ chức tài chính và cơ quan hành chính tại Việt Nam đang sử dụng browser-based SSO và OAuth cho hệ thống nội bộ — đây là attack surface trực tiếp. Một nhân viên với browser session còn hiệu lực vào hệ thống core banking qua web portal, hay vào Microsoft 365 tenant của cơ quan, là mục tiêu có giá trị cao với Storm operator.

Xu hướng lớn hơn: infostealers đang dịch chuyển mạnh từ noisy local theft (bị EDR catch ngày càng nhiều) sang server-side stealth với automation cao hơn. Hai năm tới, session hijack sẽ trở thành initial access vector chính của account takeover — thay thế credential stuffing truyền thống vốn đã bị throttle bởi MFA.

Một điểm cần nhấn mạnh với SOC: infostealer incident là identity incident. Không thể chỉ remediate malware trên endpoint rồi đóng ticket. Cần review toàn bộ SaaS OAuth grants, mailbox rules, và SSO integration ngay lập tức sau khi confirm infection.

---

8. Khuyến Nghị

Immediate (0-24h)

• Audit browser credential policy: Dừng lưu password cho high-value accounts (admin portal, banking system, cloud console) trong browser. Enforce dedicated password manager với admin controls.
• Enable Entra ID UEBA alerting: Impossible travel, refresh token từ unknown location, và sign-in từ anonymous proxy/SOCKS.
• Review active sessions: Với tài khoản admin và privileged user, revoke tất cả active session token và yêu cầu re-authenticate.

Short-term (1-7 ngày)

• Deploy phishing-resistant MFA: FIDO2/passkey trên tài khoản có đặc quyền cao. Lưu ý: TOTP và SMS MFA không protect được session hijack sau authentication.
• Threat hunt: Tìm child process bất thường từ browser, file access đến browser credential store từ non-browser process.
• Audit OAuth grants và SSO: Revoke grant của third-party app không còn sử dụng. Tìm OAuth application mới được authorized gần đây mà không qua approval process.
• Monitor SOCKS5 traffic: Outbound SOCKS5 từ workstation không phải trong whitelist là signal đáng ngờ.

Long-term

• Xây dựng playbook "Infostealer = Identity Incident": Bao gồm: revoke sessions, audit OAuth grants, review mailbox rules, check SSO integrations, notify HR về potential data exposure.
• Session lifetime enforcement: Enforce short-lived session token trên SaaS platforms. Đàm phán với vendor về configurable session timeout.
• Continuous authentication: Đánh giá các giải pháp enforce re-authentication khi phát hiện location shift hoặc device fingerprint change trong session.
• Underground monitoring: Đăng ký threat intelligence feed có coverage về stealer log marketplaces để phát hiện sớm khi credential của tổ chức xuất hiện trên underground.

---

9. Tài Liệu Tham Khảo

1. Varonis Threat Labs, Daniel Kelley — A Quiet "Storm": Infostealer Hijacks Sessions, Decrypts Server-Side (April 2026): https://www.varonis.com/blog/storm-infostealer

2. Varonis Threat Labs, Daniel Kelley — How Cybercriminals Buy Access: Logins, Cookies, and Backdoors (February 2026): https://www.varonis.com/blog/how-hackers-buy-access

3. Varonis Threat Labs — Cookie-Bite: Stolen Azure Entra ID Session Cookies and MFA Bypass: https://www.varonis.com/blog/cookie-bite

4. BleepingComputer — The silent "Storm": New infostealer hijacks sessions, decrypts server-side (April 2026): https://www.bleepingcomputer.com/news/security/the-silent-storm-new-infostealer-hijacks-sessions-decrypts-server-side/

5. Infosecurity Magazine — New 'Storm' Infostealer Remotely Decrypts Stolen Credentials (April 2026): https://www.infosecurity-magazine.com/news/storm-infostealer-remotely/

6. MITRE ATT&CK — T1539: Steal Web Session Cookie: https://attack.mitre.org/techniques/T1539/

7. MITRE ATT&CK — T1555.003: Credentials from Web Browsers: https://attack.mitre.org/techniques/T1555/003/