lỗ hổng CVE trong Microsoft Exchange tiếp tục bị khai thác trong một cuộc xâm nhập nhắm vào hạ tầng năng lượng, với dấu hiệu triển khai web shell, backdoor và cơ chế bám trụ nhiều lớp. Hoạt động kéo dài từ cuối tháng 12/2025 đến cuối tháng 2/2026, cho thấy một chiến dịch có chủ đích, không phải truy cập ngẫu nhiên.
Lỗ hổng CVE và chuỗi khai thác trên Microsoft Exchange
Điểm khởi đầu của vụ việc là một máy chủ Microsoft Exchange chưa được vá. Nhóm tấn công đã tận dụng chuỗi khai thác ProxyNotShell, gồm hai lỗ hổng CVE được theo dõi là CVE-2022-41040 và CVE-2022-41082.
Theo mô tả kỹ thuật, cặp lỗ hổng CVE này cho phép remote code execution trên các máy chủ Exchange chưa cập nhật bản vá. Mục tiêu ban đầu là ghi một web shell vào thư mục có thể truy cập công khai thông qua tiến trình Microsoft Exchange IIS worker process.
Tham khảo thêm từ NVD: https://nvd.nist.gov/
Diễn tiến xâm nhập và dấu vết kỹ thuật
Hoạt động đầu tiên được ghi nhận vào 25/12/2025. Sau đó, trong các ngày tiếp theo, nhiều web shell bổ sung được thả xuống hệ thống để duy trì quyền truy cập và hỗ trợ thực thi lệnh từ xa.
Các tên tệp được quan sát gồm:
- key.aspx
- log.aspx
- errorFE_.aspx
- signout_.aspx
Những web shell này đóng vai trò làm foothold ổn định, cho phép tải payload tiếp theo và điều phối các bước xâm nhập sau đó.
Các giai đoạn hoạt động
Chiến dịch được thực hiện qua ba đợt hoạt động riêng biệt. Sau mỗi lần bị phát hiện hoặc gỡ bỏ, kẻ tấn công quay lại cùng máy chủ Exchange đã bị xâm nhập.
- Đợt 1: Thả web shell và triển khai Deed RAT.
- Đợt 2: Triển khai Terndoor qua kỹ thuật hijack binary hợp pháp.
- Đợt 3: Tái sử dụng Deed RAT đã chỉnh sửa với địa chỉ command-and-control giả mạo.
Việc thay đổi malware giữa các đợt cho thấy chiến thuật thích nghi theo phản ứng phòng thủ, thay vì hành vi khai thác một lần rồi rời đi.
Kỹ thuật DLL sideloading và né phát hiện
Điểm đáng chú ý là DLL sideloading được biến thể hóa để che giấu loader của Deed RAT. Tệp LMIGuardianDll.dll được đặt cạnh một binary hợp pháp của LogMeIn và được sideload trong quá trình khởi động bình thường.
Payload chính của Deed RAT được lưu trong tệp mã hóa .hamachi.lng, sau đó giải mã trong bộ nhớ bằng AES-128 và RC4. Cách triển khai này giảm khả năng phát hiện khi quét tĩnh trên đĩa.
Không giống sideloading thông thường, mẫu này chia logic qua hai hàm export là Init và ComMain. Mã độc chỉ chạy khi ứng dụng chủ gọi đúng chuỗi hàm nội bộ.
Điều này khiến sandbox hoặc công cụ phân tích từng phần có thể không ghi nhận hành vi độc hại nếu không mô phỏng đầy đủ luồng thực thi.
Backdoor Deed RAT và Terndoor
Deed RAT và Terndoor là hai họ backdoor được triển khai ở các giai đoạn khác nhau. Tệp và binary bị ngụy trang theo ứng dụng LogMeIn Hamachi để giảm nghi ngờ trong môi trường máy chủ.
Trong đợt hai, Terndoor được đưa vào bằng cách hijack binary hợp pháp deskband_injector64.exe. Nỗ lực này bị chặn, nhưng dấu vết pháp chứng cho thấy mã độc đã cố cài đặt kernel driver.
Trong đợt ba, nhóm này quay lại với một biến thể Deed RAT dùng miền sentinelonepro[.]com làm C2. Miền này được ngụy trang để giảm khả năng bị phát hiện trong nhật ký mạng.
Ảnh hưởng hệ thống và dấu hiệu phát hiện xâm nhập
Chuỗi hành vi ghi nhận cho thấy ảnh hưởng trực tiếp đến máy chủ Exchange và các thành phần hệ thống liên quan. Các chỉ dấu có thể dùng để phát hiện xâm nhập gồm:
- Tiến trình IIS worker process ghi web shell vào thư mục public.
- Binary không ký số patch hàm Windows API trong bộ nhớ.
- Kết nối HTTPS ra ngoài tới miền giả mạo nhà cung cấp bảo mật.
- Phiên RDP bất thường dùng tài khoản quản trị miền.
- Hoạt động PowerShell nối tiếp với tải tệp mới xuống máy chủ.
Những dấu hiệu này phù hợp với một cuộc tấn công mạng duy trì quyền truy cập, mở rộng điều khiển từ xa và chuẩn bị cho các giai đoạn sau.
IOC trích xuất từ nội dung
Các IOC dưới đây được trình bày theo đúng nội dung gốc, trong đó IP và domain đã được làm mờ:
- Web shell: key.aspx
- Web shell: log.aspx
- Web shell: errorFE_.aspx
- Web shell: signout_.aspx
- Loader DLL: LMIGuardianDll.dll
- Encrypted payload: .hamachi.lng
- Binary bị hijack: deskband_injector64.exe
- C2 giả mạo: sentinelonepro[.]com
Hướng dẫn giám sát và giảm thiểu rủi ro bảo mật
Các biện pháp trong nội dung gốc tập trung vào cập nhật bản vá Exchange và kiểm tra dấu hiệu bám trụ trên máy chủ. Việc ưu tiên là vá toàn bộ máy chủ Exchange và thay đổi ngay các thông tin xác thực đã lộ.
Cần theo dõi:
- Ghi web shell qua IIS worker process.
- Binary không ký số patch API trong bộ nhớ.
- Lưu lượng HTTPS ra miền giả mạo nhà cung cấp bảo mật.
- Phiên RDP lạ bằng tài khoản quản trị miền.
- Chuỗi hành vi PowerShell kèm tải file mới.
Trong bối cảnh này, bản vá bảo mật cho Exchange là ưu tiên trực tiếp để giảm nguy cơ bảo mật từ các lỗ hổng CVE đã biết và hạn chế remote code execution trên hệ thống chưa được cập nhật.
Mã khai thác và nguồn tham chiếu
Chuỗi khai thác được mô tả xoay quanh ProxyNotShell, nhưng nội dung gốc không cung cấp mã khai thác hoàn chỉnh. Với nhu cầu tra cứu trạng thái lỗ hổng và thông tin xác thực, có thể đối chiếu thêm tại các nguồn công khai như CISA hoặc NVD.
Việc theo dõi IOC, web shell, DLL sideloading và hành vi remote code execution là trọng tâm để phát hiện tấn công trên các hệ thống Exchange chưa được vá.
