CyberThao
Writer
Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một chiến dịch tấn công mới, trong đó kẻ xấu lợi dụng phần mềm ConnectWise ScreenConnect – vốn là công cụ quản lý và giám sát từ xa (RMM) hợp pháp – để cài đặt AsyncRAT, một trojan truy cập từ xa (RAT) nguy hiểm chuyên đánh cắp dữ liệu nhạy cảm và tiền điện tử.
Theo báo cáo của LevelBlue, kẻ tấn công khai thác ScreenConnect để mở phiên điều khiển từ xa, sau đó thực thi một chuỗi tải xuống phức tạp bằng VBScript và PowerShell. Chuỗi này được thiết kế để truy xuất và giải mã nhiều thành phần từ máy chủ bên ngoài, cuối cùng triển khai AsyncRAT và duy trì sự hiện diện lâu dài trong hệ thống bằng cách ngụy trang thành tác vụ có tên “Skype Updater”.
Trong quá trình xâm nhập, hacker sử dụng ScreenConnect bị cài cắm trojan, ngụy trang thành tài liệu tài chính và kinh doanh được gửi qua email lừa đảo. Sau khi người dùng mở, hệ thống sẽ tải về hai tệp độc hại là “logs.ldk” và “logs.ldr”.
Mọi dữ liệu đánh cắp sẽ được gửi về máy chủ điều khiển C2 tại 3osch20.duckdns[.]org thông qua kết nối TCP. AsyncRAT có thể lấy thêm lệnh hoặc tải xuống payload mới từ máy chủ này hoặc từ một URL Pastebin được nhúng sẵn.
Các chuyên gia cảnh báo rằng dạng malware không tệp (fileless malware) như AsyncRAT rất khó phát hiện, vì nó hoạt động trực tiếp trong bộ nhớ và tận dụng công cụ hệ thống hợp pháp thay vì ghi dữ liệu ra ổ cứng. Điều này khiến việc phòng thủ, phân tích và xử lý trở nên phức tạp hơn nhiều so với các phần mềm độc hại truyền thống.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/asyncrat-exploits-connectwise.html
Theo báo cáo của LevelBlue, kẻ tấn công khai thác ScreenConnect để mở phiên điều khiển từ xa, sau đó thực thi một chuỗi tải xuống phức tạp bằng VBScript và PowerShell. Chuỗi này được thiết kế để truy xuất và giải mã nhiều thành phần từ máy chủ bên ngoài, cuối cùng triển khai AsyncRAT và duy trì sự hiện diện lâu dài trong hệ thống bằng cách ngụy trang thành tác vụ có tên “Skype Updater”.
Cách thức tấn công và mục tiêu
Trong quá trình xâm nhập, hacker sử dụng ScreenConnect bị cài cắm trojan, ngụy trang thành tài liệu tài chính và kinh doanh được gửi qua email lừa đảo. Sau khi người dùng mở, hệ thống sẽ tải về hai tệp độc hại là “logs.ldk” và “logs.ldr”.
- Tệp logs.ldk là một DLL, có nhiệm vụ ghi thêm tập lệnh VBScript phụ vào đĩa và tạo tác vụ giả mạo “Skype Updater” để tự động kích hoạt mỗi khi đăng nhập.
- Tập lệnh VBScript này tiếp tục chạy cùng logic PowerShell, đảm bảo tải payload và giữ kết nối liên tục.
- Tệp logs.ldr được xử lý thông qua PowerShell, dẫn đến việc giải nén và thực thi AsyncClient.exe – chính là AsyncRAT.
Mọi dữ liệu đánh cắp sẽ được gửi về máy chủ điều khiển C2 tại 3osch20.duckdns[.]org thông qua kết nối TCP. AsyncRAT có thể lấy thêm lệnh hoặc tải xuống payload mới từ máy chủ này hoặc từ một URL Pastebin được nhúng sẵn.
Các chuyên gia cảnh báo rằng dạng malware không tệp (fileless malware) như AsyncRAT rất khó phát hiện, vì nó hoạt động trực tiếp trong bộ nhớ và tận dụng công cụ hệ thống hợp pháp thay vì ghi dữ liệu ra ổ cứng. Điều này khiến việc phòng thủ, phân tích và xử lý trở nên phức tạp hơn nhiều so với các phần mềm độc hại truyền thống.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/asyncrat-exploits-connectwise.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview