Phát hiện mã độc mới nhắm vào người dùng ESET

Mã độc mới TCESB vừa được phát hiện đang được một nhóm tin tặc có liên hệ với Trung Quốc sử dụng để tấn công khu vực châu Á, thông qua việc khai thác lỗ hổng bảo mật trong phần mềm ESET.

Theo báo cáo mới nhất từ Kaspersky, mã độc TCESB, một "vũ khí" bí mật chưa từng thấy trong các hoạt động của nhóm ToddyCat, được thiết kế tinh vi để âm thầm thực thi payload, vượt qua các biện pháp bảo vệ hệ thống.

Kaspersky cho biết, ToddyCat là tên gọi chung cho một loạt các hoạt động tấn công mạng có chủ đích, nhắm vào nhiều mục tiêu khác nhau tại châu Á. Các cuộc tấn công này đã được ghi nhận ít nhất từ tháng 12/2020. Năm 2024, Kaspersky cũng đã tiết lộ cách thức nhóm tin tặc này sử dụng nhiều công cụ để duy trì quyền truy cập trái phép vào các hệ thống đã bị xâm nhập và đánh cắp dữ liệu trên "quy mô công nghiệp" từ các tổ chức trong khu vực châu Á - Thái Bình Dương.

Cuộc điều tra mới nhất của Kaspersky về các sự cố liên quan đến ToddyCat vào đầu năm 2024 đã hé lộ một tệp tin DLL đáng ngờ có tên “version.dll” nằm trong thư mục tạm thời trên nhiều thiết bị bị tấn công. Các nhà nghiên cứu xác định, tệp DLL 64-bit này, chính là mã độc TCESB đã được kích hoạt thông qua một kỹ thuật tấn công có tên gọi DLL Search Order Hijacking (chiếm quyền điều khiển thứ tự tìm kiếm DLL) để giành quyền kiểm soát quá trình thực thi của hệ thống.

Đáng chú ý, các chuyên gia phát hiện ra rằng, tin tặc đã khai thác một lỗ hổng trong công cụ quét dòng lệnh (Command Line Scanner) của ESET. Công cụ này tải một cách không an toàn tệp DLL có tên "version.dll" bằng cách ưu tiên tìm kiếm trong thư mục hiện tại trước khi kiểm tra các thư mục hệ thống.

"Version.dll" thực chất là một thư viện hợp pháp của Microsoft, được sử dụng để kiểm tra phiên bản và cài đặt tệp tin, thường nằm trong các thư mục “C:Windowssystem32” hoặc “C:WindowsSysWOW64”. Việc khai thác lỗ hổng này cho phép kẻ tấn công thay thế tệp “version.dll” hợp pháp bằng phiên bản độc hại của chúng, từ đó thực thi mã độc TCESB.

Sơ đồ tấn công của mã độc TCESB.

Lỗ hổng bảo mật này, được theo dõi với mã định danh CVE-2024-11859 và có mức độ nghiêm trọng trung bình (điểm CVSS: 6.8), đã được ESET khắc phục vào cuối tháng 1/2025 sau khi được thông báo một cách có trách nhiệm.

Trong một cảnh báo được phát hành trước đó, ESET thừa nhận: “Lỗ hổng này có khả năng cho phép kẻ tấn công có quyền quản trị tải một thư viện liên kết động độc hại và thực thi mã của nó. Tuy nhiên, cần lưu ý rằng kỹ thuật này không giúp kẻ tấn công nâng cao quyền truy cập, chúng đã cần phải có quyền quản trị từ trước để thực hiện cuộc tấn công này.”

ESET cho biết, họ đã phát hành các bản cập nhật bảo mật cho các sản phẩm dành cho người dùng cá nhân, doanh nghiệp và máy chủ trên hệ điều hành Windows để giải quyết triệt để lỗ hổng này.

Về phần mã độc TCESB, các nhà nghiên cứu của Kaspersky tiết lộ rằng đây là một phiên bản đã được chỉnh sửa của một công cụ mã nguồn mở có tên EDRSandBlast. Nó được trang bị các tính năng nguy hiểm, cho phép can thiệp vào cấu trúc lõi (kernel) của hệ điều hành để vô hiệu hóa các quy trình thông báo (callbacks). Các quy trình này vốn được thiết kế để thông báo cho các driver về các sự kiện quan trọng của hệ thống, ví dụ như việc tạo tiến trình mới hoặc thiết lập khóa registry.

Để thực hiện hành vi can thiệp sâu vào hệ thống này, TCESB sử dụng một kỹ thuật tấn công đã biết khác có tên gọi Bring Your Own Vulnerable Driver (BYOVD). Kỹ thuật này cho phép cài đặt một driver dễ bị tấn công của Dell (Dell DBUtilDrv2.sys) vào hệ thống thông qua giao diện Device Manager. Driver DBUtilDrv2.sys này cũng tồn tại một lỗ hổng leo thang đặc quyền đã được biết đến, mang mã CVE-2021-36276.

Đây không phải là lần đầu tiên các driver của Dell bị tin tặc lợi dụng cho các mục đích đen tối. Vào năm 2022, một lỗ hổng leo thang đặc quyền tương tự (CVE-2021-21551) trong một driver khác của Dell, dbutil_2_3.sys, cũng đã bị nhóm tin tặc Lazarus có liên hệ với Triều Tiên khai thác trong các cuộc tấn công BYOVD để vô hiệu hóa các cơ chế bảo mật.

Nhà nghiên cứu Andrey Gunkin của Kaspersky cho biết thêm: “Sau khi driver dễ bị tấn công được cài đặt vào hệ thống, TCESB liên tục kiểm tra (cứ sau hai giây) sự xuất hiện của một tệp tin chứa mã độc (payload) có tên cụ thể trong thư mục hiện tại. Điều đáng chú ý là payload có thể không xuất hiện ngay tại thời điểm công cụ này được khởi chạy.”

Mặc dù các mẫu payload cụ thể vẫn chưa được thu thập, nhưng phân tích sâu hơn cho thấy chúng được mã hóa bằng thuật toán AES-128 và sẽ được giải mã và thực thi ngay khi xuất hiện trong đường dẫn đã chỉ định.

Trước tình hình này, Kaspersky khuyến cáo các tổ chức và người dùng nên tăng cường giám sát hệ thống để phát hiện các sự kiện cài đặt liên quan đến các driver có lỗ hổng đã biết. Đồng thời, việc theo dõi các sự kiện liên quan đến việc tải các ký hiệu gỡ lỗi kernel Windows trên các thiết bị mà việc gỡ lỗi kernel hệ điều hành không được mong đợi cũng là một biện pháp phòng ngừa quan trọng.

Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về sự phức tạp và tinh vi ngày càng tăng của các mối đe dọa an ninh mạng, cũng như tầm quan trọng của việc cập nhật phần mềm và áp dụng các biện pháp bảo mật toàn diện.