VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một backdoor mới dựa trên Rust có tên là ChaosBot có thể cho phép người điều hành tiến hành do thám và thực thi các lệnh tùy ý trên các máy chủ bị xâm phạm.

"Các tác nhân đe dọa đã lợi dụng thông tin đăng nhập bị xâm phạm, được ánh xạ đến cả Cisco VPN và một tài khoản Active Directory được cấp quyền quá mức có tên là 'serviceaccount'", eSentire cho biết trong một báo cáo kỹ thuật được công bố tuần trước. "Sử dụng tài khoản bị xâm phạm, chúng đã lợi dụng WMI để thực thi các lệnh từ xa trên các hệ thống trong mạng, tạo điều kiện thuận lợi cho việc triển khai và thực thi ChaosBot."


Công ty an ninh mạng Canada cho biết họ phát hiện phần mềm độc hại lần đầu tiên vào cuối tháng 9 năm 2025 trong môi trường của một khách hàng dịch vụ tài chính.

ChaosBot đáng chú ý vì lợi dụng Discord để ra lệnh và kiểm soát (C2). Tên của nó bắt nguồn từ một hồ sơ Discord được duy trì bởi tác nhân đe dọa đứng sau nó, với biệt danh trực tuyến "chaos_00019" và chịu trách nhiệm ra lệnh từ xa cho các thiết bị bị nhiễm. Một tài khoản người dùng Discord khác liên quan đến hoạt động của C2 là lovebb0024.

Ngoài ra, phần mềm độc hại cũng được phát hiện dựa vào các tin nhắn lừa đảo chứa tệp phím tắt Windows (LNK) độc hại làm phương thức phát tán. Nếu người nhận tin nhắn mở tệp LNK, lệnh PowerShell sẽ được thực thi để tải xuống và chạy ChaosBot, đồng thời một tệp PDF giả mạo được ngụy trang thành thư từ hợp pháp từ Ngân hàng Nhà nước Việt Nam sẽ được hiển thị như một cơ chế đánh lạc hướng.

Tải trọng là một DLL độc hại ("msedge_elf.dll") được tải phụ bằng cách sử dụng tệp nhị phân Microsoft Edge có tên là "identity_helper.exe", sau đó nó thực hiện trinh sát hệ thống và tải xuống một proxy ngược nhanh ( FRP ) để mở proxy ngược vào mạng và duy trì quyền truy cập liên tục vào mạng bị xâm phạm.

Các tác nhân đe dọa cũng được phát hiện đã lợi dụng phần mềm độc hại để cấu hình không thành công dịch vụ Visual Studio Code Tunnel hoạt động như một cửa hậu bổ sung để kích hoạt các tính năng thực thi lệnh. Tuy nhiên, chức năng chính của phần mềm độc hại là tương tác với kênh Discord do kẻ điều hành tạo ra bằng tên máy tính của nạn nhân để nhận thêm hướng dẫn.


Một số lệnh được hỗ trợ được liệt kê dưới đây:

    shell, để thực thi các lệnh shell thông qua PowerShell
    scr, để chụp ảnh màn hình
    tải xuống, để tải xuống các tập tin vào thiết bị nạn nhân
    tải lên, để tải tệp lên kênh Discord

eSentire cho biết: "Các biến thể mới của ChaosBot sử dụng các kỹ thuật trốn tránh để vượt qua ETW [Theo dõi sự kiện cho Windows] và các máy ảo".

"Kỹ thuật đầu tiên bao gồm việc vá một vài lệnh đầu tiên của ntdll!EtwEventWrite (xor eax, eax -> ret). Kỹ thuật thứ hai kiểm tra địa chỉ MAC của hệ thống với các tiền tố địa chỉ MAC của Máy ảo đã biết cho VMware và VirtualBox. Nếu tìm thấy kết quả trùng khớp, phần mềm độc hại sẽ thoát."

Mã độc tống tiền Chaos có thêm tính năng phá hoại và chiếm quyền kiểm soát bảng tạm.

Tiết lộ này được Fortinet FortiGuard Labs đưa ra, mô tả chi tiết về một biến thể ransomware mới của Chaos được viết bằng C++, có khả năng phá hoại mới để xóa vĩnh viễn các tệp lớn thay vì mã hóa chúng và thao túng nội dung clipboard bằng cách hoán đổi địa chỉ Bitcoin với ví do kẻ tấn công kiểm soát để chuyển hướng chuyển tiền điện tử.

Công ty cho biết : "Chiến lược kép về mã hóa phá hoại và trộm cắp tài chính bí mật này nhấn mạnh sự chuyển đổi của Chaos thành một mối đe dọa hung hãn và đa diện hơn được thiết kế để tối đa hóa lợi nhuận tài chính".

Bằng cách kết hợp các chiến thuật tống tiền phá hoại và chiếm đoạt clipboard để đánh cắp tiền điện tử, những kẻ tấn công muốn định vị phần mềm tống tiền Chaos-C++ như một công cụ mạnh mẽ không chỉ có thể mã hóa tệp mà còn xóa nội dung của bất kỳ tệp nào lớn hơn 1,3 GB và tạo điều kiện cho gian lận tài chính.

Trình tải xuống ransomware Chaos-C++ giả mạo các tiện ích giả mạo như System Optimizer v2.1 để lừa người dùng cài đặt chúng. Cần lưu ý rằng các phiên bản trước của ransomware Chaos, chẳng hạn như Lucky_Gh0$t, đã được phân phối dưới vỏ bọc OpenAI ChatGPT và InVideo AI.

Sau khi khởi chạy, phần mềm độc hại sẽ kiểm tra sự hiện diện của tệp có tên "%APPDATA%\READ_IT.txt", báo hiệu rằng ransomware đã được thực thi trên máy. Nếu tệp này tồn tại, nó sẽ chuyển sang chế độ giám sát để theo dõi bảng tạm hệ thống.

Trong trường hợp tệp không có, Chaos-C++ sẽ kiểm tra xem tệp đó có đang chạy với quyền quản trị hay không và nếu có, sẽ tiến hành chạy một loạt lệnh để ngăn chặn quá trình khôi phục hệ thống, sau đó khởi chạy quy trình mã hóa để mã hóa hoàn toàn các tệp có kích thước dưới 50 MB, đồng thời bỏ qua các tệp có kích thước từ 50 MB đến 1,3 GB, có lẽ là vì lý do hiệu quả.

"Thay vì chỉ dựa vào mã hóa toàn bộ tệp, Chaos-C++ sử dụng kết hợp nhiều phương pháp, bao gồm mã hóa đối xứng hoặc bất đối xứng và một hàm XOR dự phòng", Fortinet cho biết. "Trình tải xuống linh hoạt của nó cũng đảm bảo việc thực thi thành công. Kết hợp những phương pháp này, việc thực thi ransomware trở nên mạnh mẽ hơn và khó bị phá vỡ hơn."