Duy Linh
Writer
Một chiến dịch tấn công tinh vi đã sử dụng hơn 2.500 biến thể của một trình điều khiển bảo mật hợp pháp để vô hiệu hóa phần mềm bảo vệ điểm cuối, trước khi triển khai ransomware và phần mềm độc hại truy cập từ xa.
Tin tặc sử dụng hơn 2.500 công cụ bảo mật làm vũ khí để vô hiệu hóa hệ thống phòng thủ điểm cuối trước khi xảy ra các cuộc tấn công mã độc tống tiền.
Kẻ tấn công lợi dụng truesight.sys, một trình điều khiển chế độ nhân thuộc bộ phần mềm diệt virus RogueKiller của Adlice Software. Phiên bản cũ 2.0.2 tồn tại lỗ hổng nghiêm trọng cho phép chấm dứt tiến trình tùy ý thông qua lệnh IOCTL 0x22E044.
Lỗ hổng này cho phép kẻ tấn công chấm dứt bất kỳ tiến trình nào, bao gồm cả các phần mềm bảo mật được bảo vệ mà thông thường không thể bị tắt ở chế độ người dùng. Trớ trêu thay, một trình điều khiển được thiết kế để bảo vệ hệ thống lại trở thành công cụ chính để vô hiệu hóa phòng thủ.
Check Point Research phát hiện hoạt động này vào tháng 1 năm 2025, cho thấy cách tin tặc khai thác lỗ hổng trong chính sách ký trình điều khiển Windows để vượt qua các biện pháp bảo mật hiện đại. Kẻ tấn công thao túng cấu trúc PE của trình điều khiển nhưng vẫn giữ nguyên chữ ký số hợp lệ, tạo ra hàng nghìn biến thể khác nhau nhằm né tránh phát hiện dựa trên hàm băm.
Mô-đun này sẽ tải trình điều khiển TrueSight nếu chưa tồn tại, cài đặt với tên “TCLService”, gửi lệnh chấm dứt đến toàn bộ tiến trình mục tiêu, xóa phần mềm bảo mật khỏi ổ đĩa và triển khai phần mềm độc hại cuối cùng mà gần như không gặp bất kỳ rào cản phòng thủ nào. Toàn bộ quá trình có thể hoàn tất trong khoảng 30 phút.
Danh sách chặn trình điều khiển dễ bị tổn thương của Microsoft chỉ liên kết mã băm TBS của chứng chỉ với các driver khác, khiến TrueSight 2.0.2 vượt qua kiểm soát cho đến bản cập nhật ngày 17/12/2024. Trình điều khiển được tải trước khi các mô-đun EDR ở cấp nhân có thể chặn, và việc chấm dứt tiến trình ở chế độ nhân đã bỏ qua hoàn toàn cơ chế chống giả mạo ở chế độ người dùng.
Check Point đánh giá chiến dịch chủ yếu do Silver Fox, một nhóm tội phạm mạng Trung Quốc hoạt động vì mục đích tài chính từ tháng 6 năm 2024, thực hiện. Kỹ thuật này sau đó lan sang nhiều nhóm ransomware khác như RansomHub, Qilin, INC và BlackCat, cũng như xuất hiện trên các diễn đàn ngầm và trong hoạt động của các nhóm APT.
Khoảng 75% nạn nhân nằm tại Trung Quốc đại lục, 15% tại Singapore, Đài Loan và Hồng Kông, và 10% còn lại thuộc khu vực châu Á – Thái Bình Dương. Phần mềm độc hại cuối cùng là HiddenGh0st, một biến thể của Gh0st RAT, cung cấp khả năng điều khiển từ xa toàn diện, ghi lại thao tác bàn phím, chụp màn hình, đánh cắp dữ liệu và giám sát hệ thống.
Các tổ chức được khuyến nghị cập nhật ngay Danh sách chặn trình điều khiển dễ bị tổn thương của Microsoft, bật HVCI (Tính toàn vẹn mã được bảo vệ bởi Hypervisor), triển khai chính sách kiểm soát ứng dụng, đồng thời giám sát chặt chẽ các hoạt động cài đặt trình điều khiển bất thường. Chiến dịch này cho thấy rõ ràng rằng phát hiện phản ứng dựa trên hàm băm không còn đủ hiệu quả, và việc giám sát chủ động hành vi lạm dụng trình điều khiển là yếu tố then chốt để đối phó với các mối đe dọa đa hình hiện đại. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ransomware-attacks-4/
Tin tặc sử dụng hơn 2.500 công cụ bảo mật làm vũ khí để vô hiệu hóa hệ thống phòng thủ điểm cuối trước khi xảy ra các cuộc tấn công mã độc tống tiền.
Kẻ tấn công lợi dụng truesight.sys, một trình điều khiển chế độ nhân thuộc bộ phần mềm diệt virus RogueKiller của Adlice Software. Phiên bản cũ 2.0.2 tồn tại lỗ hổng nghiêm trọng cho phép chấm dứt tiến trình tùy ý thông qua lệnh IOCTL 0x22E044.
Lỗ hổng này cho phép kẻ tấn công chấm dứt bất kỳ tiến trình nào, bao gồm cả các phần mềm bảo mật được bảo vệ mà thông thường không thể bị tắt ở chế độ người dùng. Trớ trêu thay, một trình điều khiển được thiết kế để bảo vệ hệ thống lại trở thành công cụ chính để vô hiệu hóa phòng thủ.
Check Point Research phát hiện hoạt động này vào tháng 1 năm 2025, cho thấy cách tin tặc khai thác lỗ hổng trong chính sách ký trình điều khiển Windows để vượt qua các biện pháp bảo mật hiện đại. Kẻ tấn công thao túng cấu trúc PE của trình điều khiển nhưng vẫn giữ nguyên chữ ký số hợp lệ, tạo ra hàng nghìn biến thể khác nhau nhằm né tránh phát hiện dựa trên hàm băm.
Chuỗi tấn công
Cuộc tấn công nhiều giai đoạn bắt đầu từ email lừa đảo, trang web phần mềm giả mạo, kênh Telegram bị xâm nhập hoặc các cuộc tấn công watering hole. Quá trình lây nhiễm diễn ra qua ba giai đoạn:- Giai đoạn 1: Trình tải xuống giả dạng trình cài đặt hợp pháp để thiết lập quyền truy cập ban đầu.
- Giai đoạn 2: Duy trì sự hiện diện thông qua tác vụ theo lịch trình và tải DLL ngầm.
- Giai đoạn 3: Triển khai mô-đun tiêu diệt EDR kết hợp với phần mềm độc hại cuối cùng.
Mô-đun này sẽ tải trình điều khiển TrueSight nếu chưa tồn tại, cài đặt với tên “TCLService”, gửi lệnh chấm dứt đến toàn bộ tiến trình mục tiêu, xóa phần mềm bảo mật khỏi ổ đĩa và triển khai phần mềm độc hại cuối cùng mà gần như không gặp bất kỳ rào cản phòng thủ nào. Toàn bộ quá trình có thể hoàn tất trong khoảng 30 phút.
Tác động thực tế và bài học an ninh
Các biện pháp bảo mật truyền thống gần như thất bại hoàn toàn trước chiến dịch này. Phát hiện dựa trên hàm băm tỏ ra lỗi thời khi kẻ tấn công chỉ cần thay đổi 8 byte (4 byte trong trường CheckSum và 4 byte trong vùng đệm chứng chỉ) để tạo ra 2⁶⁴ biến thể hàm băm khác nhau, trong khi vẫn giữ chữ ký hợp lệ. Dữ liệu từ VirusTotal cho thấy chỉ 2–7% công cụ bảo mật có thể nhận diện các biến thể này.Danh sách chặn trình điều khiển dễ bị tổn thương của Microsoft chỉ liên kết mã băm TBS của chứng chỉ với các driver khác, khiến TrueSight 2.0.2 vượt qua kiểm soát cho đến bản cập nhật ngày 17/12/2024. Trình điều khiển được tải trước khi các mô-đun EDR ở cấp nhân có thể chặn, và việc chấm dứt tiến trình ở chế độ nhân đã bỏ qua hoàn toàn cơ chế chống giả mạo ở chế độ người dùng.
Check Point đánh giá chiến dịch chủ yếu do Silver Fox, một nhóm tội phạm mạng Trung Quốc hoạt động vì mục đích tài chính từ tháng 6 năm 2024, thực hiện. Kỹ thuật này sau đó lan sang nhiều nhóm ransomware khác như RansomHub, Qilin, INC và BlackCat, cũng như xuất hiện trên các diễn đàn ngầm và trong hoạt động của các nhóm APT.
Khoảng 75% nạn nhân nằm tại Trung Quốc đại lục, 15% tại Singapore, Đài Loan và Hồng Kông, và 10% còn lại thuộc khu vực châu Á – Thái Bình Dương. Phần mềm độc hại cuối cùng là HiddenGh0st, một biến thể của Gh0st RAT, cung cấp khả năng điều khiển từ xa toàn diện, ghi lại thao tác bàn phím, chụp màn hình, đánh cắp dữ liệu và giám sát hệ thống.
Các tổ chức được khuyến nghị cập nhật ngay Danh sách chặn trình điều khiển dễ bị tổn thương của Microsoft, bật HVCI (Tính toàn vẹn mã được bảo vệ bởi Hypervisor), triển khai chính sách kiểm soát ứng dụng, đồng thời giám sát chặt chẽ các hoạt động cài đặt trình điều khiển bất thường. Chiến dịch này cho thấy rõ ràng rằng phát hiện phản ứng dựa trên hàm băm không còn đủ hiệu quả, và việc giám sát chủ động hành vi lạm dụng trình điều khiển là yếu tố then chốt để đối phó với các mối đe dọa đa hình hiện đại. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ransomware-attacks-4/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview