Một phần mềm độc hại backdoor mới được phát hiện, có tên là MLTBackdoor, đang gây chú ý trong cộng đồng an ninh mạng nhờ một chuỗi tấn công đa giai đoạn được thiết kế tinh vi. Phát hiện vào tháng 5 năm 2026, mối đe dọa này nổi bật với khả năng ẩn mình khỏi các công cụ bảo mật trong khi âm thầm thiết lập một chỗ đứng vững chắc trên các máy bị nhiễm. Phần mềm độc hại MLTBackdoor được các nhà nghiên cứu tại Zscaler ThreatLabz phân tích và cho thấy nó có khả năng cao liên quan đến các tác nhân đe dọa sử dụng ransomware.
Tổng quan về MLTBackdoor
MLTBackdoor được thiết kế đặc biệt để giúp kẻ tấn công giành quyền kiểm soát hệ thống và di chuyển sâu hơn vào mạng lưới của nạn nhân. Khả năng che giấu của nó là một yếu tố nguy hiểm chính. Khoảng 95% mã của MLTBackdoor bao gồm các phép toán toán học không cần thiết, mục đích duy nhất là gây khó khăn cho các nhà phân tích bảo mật.
Kỹ thuật che giấu và làm rối mã
Ngoài ra, mã độc này sử dụng kỹ thuật control flow flattening. Kỹ thuật này biến các hàm đơn giản thành một mê cung phức tạp, cực kỳ khó theo dõi hoặc đảo ngược kỹ thuật. Điều này làm tăng đáng kể thời gian và nguồn lực cần thiết để phân tích và hiểu rõ hoạt động của MLTBackdoor.
Thuật toán tạo tên miền (DGA)
MLTBackdoor còn được trang bị thuật toán tạo tên miền (DGA) có khả năng tạo ra một tên miền lệnh và kiểm soát (C2) mới mỗi ngày. Điều này có nghĩa là ngay cả khi các đội ngũ an ninh mạng đóng chặn thành công một tên miền C2, phần mềm độc hại vẫn có thể âm thầm chuyển sang một tên miền mới mà không bị gián đoạn hoạt động.
Chuỗi tấn công đa giai đoạn
Quá trình lây nhiễm bắt đầu với một thứ có vẻ đơn giản: một chiêu bài ClickFix được lưu trữ trên một trang web liên quan đến ô tô. Ngay khi người dùng sao chép, dán và chạy các lời nhắc giả mạo này, toàn bộ chuỗi tấn công sẽ được kích hoạt.
Kích hoạt và Tải xuống
Lệnh chạy nền sẽ âm thầm tạo một thư mục, tải xuống một tệp nén được ngụy trang từ một tên miền do DGA tạo ra. Sau đó, nó sử dụng một tệp hợp pháp của Microsoft Defender có tên mpextms.exe để tải bên (sideload) backdoor thực tế vào hệ thống.
Chiến thuật ẩn mình này, sử dụng tệp hệ thống đáng tin cậy, giúp phần mềm độc hại vượt qua các công cụ bảo mật cơ bản. Bên trong tệp nén được tải xuống có hai tệp: data.bin và endpointdlp.dll.
endpointdlp.dll sẽ giải mã tệp data.bin được mã hóa bằng RC4, tiết lộ payload giai đoạn thứ hai, chính là MLTBackdoor. Sau khi cài đặt, phần mềm độc hại thực hiện cập nhật tự động và tái sử dụng tên tệp endpointdlp.dll, thêm một lớp ngụy trang nữa trên máy bị nhiễm.
Tương tác với máy chủ C2
Khi hoạt động, MLTBackdoor giao tiếp qua cổng 443 bằng một giao thức nhị phân được mã hóa tùy chỉnh. Nó ngụy trang lưu lượng truy cập của mình để trông giống như hoạt động hệ thống thông thường, sử dụng một chuỗi user-agent kiểu Microsoft và một đường dẫn API cố định để hòa nhập. Điều này làm cho các công cụ giám sát mạng khó phát hiện bất kỳ kết nối đáng ngờ nào.
Khả năng ẩn mình và kiểm tra môi trường
MLTBackdoor thực hiện tổng cộng mười lần kiểm tra môi trường riêng biệt trước khi thực hiện bất kỳ hành động quan trọng nào. Nó quét các máy ảo, trình gỡ lỗi, các công cụ phân tích cụ thể và trình điều khiển sandbox. Nó thậm chí còn kiểm tra xem RAM hệ thống có dưới hai gigabyte hay số lượng bộ xử lý chỉ có một.
Tất cả các kiểm tra này được ghi lại trong một bitmask và được gửi âm thầm đến máy chủ của kẻ tấn công trong lần kiểm tra đầu tiên. Điều này cung cấp cho kẻ tấn công một bức tranh toàn diện về môi trường mục tiêu.
Chức năng của Backdoor
Bên cạnh khả năng ẩn mình, phần mềm độc hại còn đi kèm với một bộ lệnh tích hợp đầy đủ chức năng. Nó có thể:
- Tải xuống và tải lên tệp.
- Liệt kê các thư mục.
- Xóa, đổi tên hoặc tạo thư mục.
Beacon Object File Loader
Tính năng mạnh mẽ nhất của nó là trình tải Beacon Object File (BOF). Tính năng này cho phép kẻ tấn công đẩy các mô-đun mã tùy chỉnh trực tiếp vào bộ nhớ của phần mềm độc hại. Điều này có nghĩa là khả năng của nó có thể được mở rộng bất cứ lúc nào mà không cần ghi tệp vào đĩa, làm cho việc phát hiện trở nên khó khăn hơn nữa.
Khuyến nghị bảo mật
Các đội ngũ an ninh mạng được khuyến cáo mạnh mẽ nên chặn tất cả các chỉ số xâm nhập (IoC) đã biết và giám sát việc sử dụng bất thường các tệp nhị phân hợp pháp của Microsoft. Các tổ chức nên cập nhật các quy tắc phát hiện mối đe dọa cho các cuộc tấn công kỹ thuật xã hội kiểu ClickFix.
Cần theo dõi các kết nối đi đáng ngờ trên cổng 443 mang các chuỗi user-agent không phổ biến, vì đây có thể là dấu hiệu sớm của một cuộc tấn công mạng đang hoạt động liên quan đến MLTBackdoor.
Chỉ số xâm nhập (IoCs)
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: `[.]`) để ngăn chặn việc phân giải hoặc tạo siêu liên kết ngẫu nhiên. Chỉ nên sử dụng chúng trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- IP & Domains: (Được cung cấp trong báo cáo gốc, cần kiểm tra kỹ trước khi sử dụng)
- Tên tệp:
data.bin,endpointdlp.dll - Tên tiến trình:
mpextms.exe(được sử dụng để tải bên) - Cổng giao tiếp: 443
- Giao thức: Custom encrypted binary protocol
