Tin tức bảo mật mới về chiến dịch ClickFix cho thấy kỹ thuật lừa người dùng tự chạy lệnh độc hại trên máy của chính họ đã được nâng cấp thành một chuỗi xâm nhập bền vững hơn. Thay vì dừng ở một lần thực thi PowerShell, kẻ tấn công kết hợp ClickFix với PySoxy, một công cụ Python SOCKS5 mã nguồn mở đã tồn tại khoảng một thập kỷ, để duy trì truy cập ngay cả khi kết nối ban đầu bị chặn.
ClickFix Và Sự Chuyển Hướng Thành Chuỗi Xâm Nhập Bền Vững
Trong mô hình ClickFix, nạn nhân truy cập một website bị xâm nhập và nhìn thấy một prompt giả mạo, yêu cầu dán rồi chạy lệnh PowerShell. Đây là kỹ thuật social engineering quen thuộc, nhưng trong chiến dịch này, hậu quả không dừng ở một callback đơn lẻ.
Sau khi lệnh đầu tiên chạy, hệ thống bị xâm nhập được cấu hình thêm cơ chế tự khởi động lại tác vụ độc hại. Điều này biến một thao tác người dùng thành một nguy cơ bảo mật kéo dài, thay vì chỉ là một sự cố thực thi lệnh ngắn hạn.
ClickFix Kết Hợp PySoxy
Nhóm nghiên cứu tại ReliaQuest ghi nhận trong tháng 4/2026 rằng đây là trường hợp đầu tiên quan sát thấy ClickFix được ghép với PySoxy. Cấu trúc này tạo ra một chuỗi truy cập bền vững nhờ có nhiều lớp, nhiều điểm bám khác nhau trên máy nạn nhân.
Điểm đáng chú ý là khi các kiểm soát an ninh chặn một kênh outbound, chuỗi vẫn có thể tái thực thi nhờ tác vụ đã được cài sẵn. Đây là một dấu hiệu điển hình của mối đe dọa mạng có khả năng phục hồi sau khi bị can thiệp một phần.
Luồng Thực Thi Ban Đầu
Chiến dịch bắt đầu từ một website bị chiếm quyền, hiển thị thông báo giả nhằm dụ người dùng chạy lệnh PowerShell trên máy của họ. Sau khi lệnh này được dán và thực thi, kẻ tấn công tiến hành cài một scheduled task để gọi lại script giai đoạn tiếp theo.
Script được lưu trong thư mục C:\ProgramData và được lập lịch chạy lại khoảng mỗi 40 phút. Đây là cơ chế duy trì quyền truy cập đơn giản nhưng hiệu quả, vì nó không phụ thuộc hoàn toàn vào một phiên kết nối duy nhất.
PySoxy Tạo Kênh Truy Cập Thứ Hai
PySoxy được triển khai sau khi môi trường đã được khảo sát và xác nhận có thể liên lạc tới máy staging. Từ đó, kẻ tấn công tải xuống mã bytecode Python đã biên dịch và chạy với các tham số proxy trỏ tới một địa chỉ IP bên ngoài khác.
Về mặt vận hành, PySoxy cung cấp một đường truy cập độc lập, tách biệt với chuỗi PowerShell ban đầu. Nếu một kênh bị vô hiệu hóa, kênh còn lại vẫn có thể tiếp tục duy trì truy cập.
Chuỗi Lệnh Và Cơ Chế Duy Trì
Trong sự cố này, endpoint controls đã chặn cả hai kênh truy cập của kẻ tấn công. Tuy nhiên, một scheduled task đã được tạo trước đó vẫn cố gắng khởi chạy lại script độc hại trong nhiều giờ.
Điều đó cho thấy việc chặn kết nối mạng không đồng nghĩa với việc cuộc tấn công mạng đã kết thúc. Nếu tác vụ, script hoặc bytecode còn tồn tại, chuỗi xâm nhập có thể được tái kích hoạt.
Hành Vi Tìm Kiếm Mục Tiêu Sau Xâm Nhập
Sau khi có được quyền thực thi ban đầu, kẻ tấn công dùng các công cụ tích hợp sẵn của Windows để thu thập thông tin môi trường. Các thao tác bao gồm:
- Liệt kê group memberships.
- Xác định domain controllers.
- Ánh xạ các máy khác trong mạng.
Chỉ sau khi xác nhận có thể liên lạc tới máy staging, PySoxy mới được đưa vào chuỗi. Cách triển khai này cho thấy chiến dịch không chỉ là thực thi lệnh ngẫu nhiên, mà là một quá trình reconnaissance có tổ chức.
IOC Và Dấu Hiệu Cần Theo Dõi
IOC được trích xuất từ nội dung gốc tập trung chủ yếu vào hành vi và artefact trên host. Các địa chỉ IP và domain trong tài liệu gốc đã bị làm mờ, vì vậy cần chỉ rã trong môi trường tình báo an toàn như SIEM, MISP hoặc VirusTotal.
- Scheduled task được tạo gần thời điểm có hoạt động PowerShell bất thường.
- Script được đặt trong C:\ProgramData.
- Python bytecode (.pyc) xuất hiện ở vị trí không chuẩn.
- Tham số proxy gắn với Python như -ssl, -remote_ip, -remote_port.
- Hoạt động PowerShell bất thường ngay trước khi tác vụ được tạo.
Hành Vi Kỹ Thuật Của PySoxy
PySoxy là một công cụ Python SOCKS5 proxy. Trong ngữ cảnh chiến dịch này, nó được dùng để thiết lập một kênh liên lạc thứ hai, khiến việc vô hiệu hóa một phiên điều khiển không đủ để dừng hoàn toàn truy cập trái phép.
Chỉ dấu nổi bật là các file .pyc và lệnh thực thi Python với tham số proxy. Khi rà soát sự cố, những artefact này cần được xem là điểm kiểm tra ưu tiên, đặc biệt nếu chúng nằm trong các thư mục bất thường.
Lệnh Và Tham Số Cần Tìm
python.exe ... -ssl ... -remote_ip <IP> -remote_port <PORT>Việc phát hiện các chuỗi tham số kiểu này có thể hỗ trợ phát hiện tấn công sớm. Ngoài ra, cần tìm các file script được staging từ thư mục không chuẩn và các tiến trình Python không rõ nguồn gốc.
Ảnh Hưởng Đến Hệ Thống
Ảnh hưởng chính của chiến dịch là thiết lập một remote access có khả năng tồn tại lâu hơn callback đầu tiên. Khi script được lập lịch lại liên tục, hệ thống có thể bị duy trì trạng thái bị kiểm soát trong nhiều giờ nếu không xử lý triệt để artefact trên host.
Đây không phải một sự cố chỉ dừng ở kết nối mạng. Nó liên quan đến persistence, scheduled task, script staging và Python proxy tooling cùng lúc, làm tăng rủi ro an toàn thông tin đối với máy bị tác động.
Khuyến Nghị Ứng Phó
Trong các sự cố tương tự, cần coi ClickFix như một xâm nhập trái phép đầy đủ, không phải chỉ là lỗi người dùng. Mục tiêu xử lý là loại bỏ toàn bộ chuỗi thực thi, không chỉ chặn C2.
- Cô lập hoàn toàn máy bị ảnh hưởng.
- Rà soát tất cả scheduled tasks được tạo gần thời điểm nghi vấn.
- Ưu tiên kiểm tra các tác vụ trỏ tới script trong ProgramData.
- Xóa script giai đoạn, runtime Python và file bytecode còn sót lại.
- Kiểm tra tiến trình PowerShell, lịch sử lệnh và artefact proxy.
Khi cần đối chiếu dấu hiệu kỹ thuật với tài liệu tham chiếu, có thể xem thêm tại NVD để chuẩn hóa cách theo dõi lỗ hổng CVE và mapping IOC trong quá trình điều tra.
Những Điểm Cần Ưu Tiên Khi Điều Tra
Trọng tâm của phân tích này là cách một lỗ hổng zero-day hay một cảnh báo CVE không phải lúc nào cũng là nguồn rủi ro duy nhất; trong nhiều trường hợp, chuỗi xâm nhập thực tế lại bắt đầu từ social engineering và persistence cơ bản. Với ClickFix, vấn đề cốt lõi là sự kết hợp giữa lừa người dùng, PowerShell, scheduled task và công cụ proxy Python.
Vì vậy, các đội phát hiện xâm nhập cần ưu tiên kiểm tra cả artefact trên đĩa, tác vụ định kỳ, và tiến trình Python bất thường. Nếu bỏ sót một thành phần, chuỗi tấn công có thể tái khởi động ngay cả sau khi kết nối mạng đã bị ngắt.
