Phần mềm độc hại ShadowPad chủ động khai thác lỗ hổng WSUS để truy cập hệ thống

Starlink · T.M.Một 24, 2025, 04:30:26 CHIỀU

Một lỗ hổng bảo mật mới được vá trong Microsoft Windows Server Update Services (WSUS) đã bị kẻ tấn công lợi dụng để phát tán phần mềm độc hại có tên là ShadowPad.

"Kẻ tấn công nhắm mục tiêu vào các máy chủ Windows đã bật WSUS, khai thác lỗ hổng CVE-2025-59287 để truy cập ban đầu", Trung tâm Tình báo An ninh AhnLab (ASEC) cho biết trong một báo cáo được công bố tuần trước. "Sau đó, chúng sử dụng PowerCat, một tiện ích Netcat mã nguồn mở dựa trên PowerShell, để lấy shell hệ thống (CMD). Sau đó, chúng tải xuống và cài đặt ShadowPad bằng certutil và curl."

ShadowPad, được đánh giá là phiên bản kế nhiệm của PlugX, là một backdoor dạng mô-đun được các nhóm tin tặc do nhà nước Trung Quốc bảo trợ sử dụng rộng rãi. Nó xuất hiện lần đầu tiên vào năm 2015. Trong một bài phân tích được công bố vào tháng 8 năm 2021, SentinelOne gọi nó là "kiệt tác phần mềm độc hại được bán riêng trong hoạt động gián điệp của Trung Quốc".

CVE-2025-59287, được Microsoft xử lý vào tháng trước, đề cập đến một lỗ hổng giải tuần tự hóa nghiêm trọng trong WSUS, có thể bị khai thác để thực thi mã từ xa với đặc quyền hệ thống. Kể từ đó, lỗ hổng này đã bị khai thác nghiêm trọng, với các tác nhân đe dọa sử dụng nó để có được quyền truy cập ban đầu vào các phiên bản WSUS bị lộ công khai, tiến hành do thám và thậm chí là cài đặt các công cụ hợp pháp như Velociraptor.

Trong vụ tấn công được công ty an ninh mạng Hàn Quốc ghi nhận, những kẻ tấn công đã lợi dụng lỗ hổng bảo mật để khởi chạy các tiện ích Windows như "curl.exe" và "certutil.exe" nhằm liên hệ với máy chủ bên ngoài ("149.28.78[.]189:42306") để tải xuống và cài đặt ShadowPad.

ShadowPad, tương tự như PlugX, được khởi chạy bằng cách tải DLL, sử dụng tệp nhị phân hợp lệ ("ETDCtrlHelper.exe") để thực thi tệp DLL ("ETDApix.dll"), đóng vai trò là trình tải trú trong bộ nhớ để thực thi backdoor.

Sau khi cài đặt, phần mềm độc hại được thiết kế để khởi chạy một mô-đun lõi chịu trách nhiệm tải các plugin khác được nhúng trong shellcode vào bộ nhớ. Nó cũng được trang bị nhiều kỹ thuật chống phát hiện và duy trì.

"Sau khi mã khai thác bằng chứng khái niệm (PoC) cho lỗ hổng được công bố rộng rãi, kẻ tấn công đã nhanh chóng lợi dụng nó để phát tán phần mềm độc hại ShadowPad thông qua máy chủ WSUS", AhnLab cho biết. "Lỗ hổng này rất nghiêm trọng vì nó cho phép thực thi mã từ xa với quyền cấp hệ thống, làm tăng đáng kể tác động tiềm tàng."

VietNetwork.Vn

Tìm kiếm