Nguyễn Tiến Đạt
Intern Writer
Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về một chiến dịch khai thác tiền điện tử trái phép mới, sử dụng các gói phần mềm lậu làm mồi nhử để triển khai biến thể tùy chỉnh của XMRig trên các hệ thống bị xâm nhập.
Theo báo cáo kỹ thuật của Trellix, chiến dịch này là một chuỗi lây nhiễm đa giai đoạn tinh vi, tối ưu hóa tối đa tốc độ băm khai thác tiền điện tử, thậm chí chấp nhận làm hệ thống nạn nhân mất ổn định. Đáng chú ý, phần mềm độc hại có khả năng lây lan như sâu máy tính thông qua thiết bị lưu trữ ngoài, cho phép di chuyển ngang ngay cả trong môi trường không kết nối mạng.
Điểm khởi đầu của cuộc tấn công là các chiêu trò kỹ thuật xã hội, quảng bá phần mềm cao cấp miễn phí dưới dạng phần mềm lậu, chẳng hạn như bộ cài ứng dụng văn phòng. Khi người dùng tải về và thực thi tệp độc hại, một tệp nhị phân trung tâm sẽ đảm nhiệm nhiều vai trò: cài đặt, giám sát, quản lý tải trọng và dọn dẹp.
Thiết kế của mã độc mang tính mô-đun, tách biệt chức năng giám sát với các tải trọng chính chịu trách nhiệm khai thác tiền điện tử, leo thang đặc quyền và duy trì hoạt động khi bị chấm dứt. Việc chuyển đổi chế độ hoạt động được điều khiển thông qua tham số dòng lệnh:
Để leo thang đặc quyền và vô hiệu hóa công cụ bảo mật, mã độc sử dụng kỹ thuật BYOVD (Bring Your Own Vulnerable Driver) bằng cách cài trình điều khiển hợp lệ nhưng tồn tại lỗ hổng là WinRing0x64.sys. Trình điều khiển này dính lỗ hổng CVE-2020-14979 (CVSS 7.8), cho phép leo thang đặc quyền.
Việc tích hợp lỗ hổng vào XMRig giúp kiểm soát cấu hình CPU cấp thấp và tăng hiệu suất khai thác RandomX từ 15% đến 50%.
Điểm đáng chú ý là khả năng lây lan chủ động. Thay vì chỉ dựa vào người dùng tải xuống, biến thể XMRig này tìm cách phát tán qua thiết bị lưu trữ di động, biến nó từ một Trojan thông thường thành sâu máy tính thực thụ.
Bằng chứng cho thấy hoạt động khai thác đã diễn ra rải rác trong tháng 11/2025 và đạt đỉnh vào ngày 8/12/2025.
Trellix nhận định chiến dịch này kết hợp kỹ thuật xã hội, giả mạo phần mềm hợp pháp, lây lan kiểu sâu máy tính và khai thác cấp nhân hệ điều hành để xây dựng một botnet bền vững, hiệu suất cao.
Song song đó, Darktrace phát hiện một mã độc có khả năng được tạo bằng mô hình ngôn ngữ lớn (LLM), khai thác lỗ hổng React2Shell (CVE-2025-55182, CVSS 10.0) để tải bộ công cụ Python, từ đó cài đặt XMRig thông qua lệnh shell. Chỉ một phiên hướng dẫn với mô hình đã giúp kẻ tấn công tạo khung khai thác hiệu quả, xâm nhập hơn 90 máy chủ.
Theo API WhoisXML, tin tặc còn sử dụng công cụ có tên ILOVEPOOP để quét các hệ thống còn dễ bị tấn công bởi React2Shell, tập trung vào tổ chức chính phủ, quốc phòng, tài chính và công nghiệp tại Mỹ. Điều đáng chú ý là có dấu hiệu phân công lao động: một nhóm phát triển công cụ và một nhóm khác vận hành chiến dịch quét hàng loạt.
Chiến dịch này cho thấy phần mềm độc hại truyền thống vẫn tiếp tục tiến hóa, đặc biệt khi kết hợp AI, khai thác nhân hệ điều hành và cơ chế lây lan tự động.
Theo báo cáo kỹ thuật của Trellix, chiến dịch này là một chuỗi lây nhiễm đa giai đoạn tinh vi, tối ưu hóa tối đa tốc độ băm khai thác tiền điện tử, thậm chí chấp nhận làm hệ thống nạn nhân mất ổn định. Đáng chú ý, phần mềm độc hại có khả năng lây lan như sâu máy tính thông qua thiết bị lưu trữ ngoài, cho phép di chuyển ngang ngay cả trong môi trường không kết nối mạng.
Điểm khởi đầu của cuộc tấn công là các chiêu trò kỹ thuật xã hội, quảng bá phần mềm cao cấp miễn phí dưới dạng phần mềm lậu, chẳng hạn như bộ cài ứng dụng văn phòng. Khi người dùng tải về và thực thi tệp độc hại, một tệp nhị phân trung tâm sẽ đảm nhiệm nhiều vai trò: cài đặt, giám sát, quản lý tải trọng và dọn dẹp.
Thiết kế của mã độc mang tính mô-đun, tách biệt chức năng giám sát với các tải trọng chính chịu trách nhiệm khai thác tiền điện tử, leo thang đặc quyền và duy trì hoạt động khi bị chấm dứt. Việc chuyển đổi chế độ hoạt động được điều khiển thông qua tham số dòng lệnh:
- Không có tham số: thực hiện xác thực và chuẩn bị môi trường ở giai đoạn cài đặt ban đầu.
- 002 Re:0: thả payload chính, khởi chạy trình khai thác và bước vào vòng giám sát.
- 016: khởi động lại tiến trình khai thác nếu bị dừng.
- barusu: kích hoạt cơ chế tự hủy, chấm dứt toàn bộ thành phần và xóa tệp.
- Nếu trước ngày 23/12/2025, nó tiếp tục cài đặt cơ chế duy trì và khởi chạy khai thác.
- Nếu sau ngày 23/12/2025, chương trình sẽ tự khởi chạy với tham số “barusu”, dẫn đến việc ngừng hoạt động có kiểm soát.
Khai thác BYOVD tăng tốc độ đào và mở rộng thành botnet
Trong quy trình lây nhiễm tiêu chuẩn, tệp nhị phân hoạt động như một “phương tiện tự chứa”, ghi nhiều thành phần xuống ổ đĩa. Trong đó có một tệp thực thi Windows Telemetry hợp pháp dùng để tải DLL khai thác tiền điện tử.Để leo thang đặc quyền và vô hiệu hóa công cụ bảo mật, mã độc sử dụng kỹ thuật BYOVD (Bring Your Own Vulnerable Driver) bằng cách cài trình điều khiển hợp lệ nhưng tồn tại lỗ hổng là WinRing0x64.sys. Trình điều khiển này dính lỗ hổng CVE-2020-14979 (CVSS 7.8), cho phép leo thang đặc quyền.
Việc tích hợp lỗ hổng vào XMRig giúp kiểm soát cấu hình CPU cấp thấp và tăng hiệu suất khai thác RandomX từ 15% đến 50%.
Điểm đáng chú ý là khả năng lây lan chủ động. Thay vì chỉ dựa vào người dùng tải xuống, biến thể XMRig này tìm cách phát tán qua thiết bị lưu trữ di động, biến nó từ một Trojan thông thường thành sâu máy tính thực thụ.
Bằng chứng cho thấy hoạt động khai thác đã diễn ra rải rác trong tháng 11/2025 và đạt đỉnh vào ngày 8/12/2025.
Trellix nhận định chiến dịch này kết hợp kỹ thuật xã hội, giả mạo phần mềm hợp pháp, lây lan kiểu sâu máy tính và khai thác cấp nhân hệ điều hành để xây dựng một botnet bền vững, hiệu suất cao.
Song song đó, Darktrace phát hiện một mã độc có khả năng được tạo bằng mô hình ngôn ngữ lớn (LLM), khai thác lỗ hổng React2Shell (CVE-2025-55182, CVSS 10.0) để tải bộ công cụ Python, từ đó cài đặt XMRig thông qua lệnh shell. Chỉ một phiên hướng dẫn với mô hình đã giúp kẻ tấn công tạo khung khai thác hiệu quả, xâm nhập hơn 90 máy chủ.
Theo API WhoisXML, tin tặc còn sử dụng công cụ có tên ILOVEPOOP để quét các hệ thống còn dễ bị tấn công bởi React2Shell, tập trung vào tổ chức chính phủ, quốc phòng, tài chính và công nghiệp tại Mỹ. Điều đáng chú ý là có dấu hiệu phân công lao động: một nhóm phát triển công cụ và một nhóm khác vận hành chiến dịch quét hàng loạt.
Chiến dịch này cho thấy phần mềm độc hại truyền thống vẫn tiếp tục tiến hóa, đặc biệt khi kết hợp AI, khai thác nhân hệ điều hành và cơ chế lây lan tự động.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: