Một chiến dịch tấn công tinh vi đang lợi dụng phần mềm truy cập từ xa đáng tin cậy để nhắm mục tiêu vào người dùng thông thường và doanh nghiệp. Kẻ tấn công đã nhúng mã độc AsyncRAT vào các trình cài đặt phần mềm giả mạo, cho phép nó vượt qua các kiểm tra bảo mật cơ bản. Chiến dịch này sử dụng kỹ thuật DLL sideloading và một công cụ truy cập từ xa hợp pháp là ScreenConnect, gây khó khăn cho nạn nhân trong việc phát hiện bất thường. Đây là một mối đe dọa mạng cần được quan tâm.
Chiến dịch Tấn công Tinh vi: AsyncRAT Lợi dụng DLL Sideloading và ScreenConnect
Hoạt động tấn công này đã được các nhà phân tích bảo mật phát hiện thông qua một cảnh báo ban đầu từ nhóm Quản lý Phát hiện và Phản ứng của Kaspersky. Ban đầu, chỉ có một cảnh báo đáng ngờ, nhưng sau đó đã mở ra một bức tranh toàn cảnh lớn hơn về quy mô của chiến dịch. Cuộc điều tra đã truy vết hoạt động này tới hơn 90 trang web giả mạo. Mỗi trang web được thiết kế để trông giống như trang tải xuống của các chương trình miễn phí phổ biến.
Mạo danh và Phân phối Mã độc
Các trang web này giả mạo các công cụ như OBS Studio, DNS Jumper, Bandicam và DS4Windows. Mục tiêu là lừa người dùng tải xuống mã độc thay vì phần mềm thực tế. Các kỹ thuật được sử dụng làm cho việc phát hiện tấn công trở nên khó khăn hơn, đặc biệt là việc sử dụng các công cụ truy cập từ xa hợp pháp.
Kẻ tấn công đã đăng ký các tên miền bằng mười ngôn ngữ khác nhau và sử dụng các thủ thuật tối ưu hóa công cụ tìm kiếm (SEO) để đẩy các trang web giả mạo lên vị trí cao trong kết quả tìm kiếm. Điều này cho phép nạn nhân tìm thấy các trang web độc hại này mà không cần nhận email lừa đảo (phishing).
Kỹ thuật Tấn công Tinh vi
Cuộc tấn công bắt đầu khi người dùng tải xuống một trình cài đặt có vẻ bình thường, ví dụ như tệp có tên obs-studio-windows-x64.zip. Bên trong tệp này chứa một tệp thực thi hợp pháp, được ký bởi Microsoft, nhưng được đổi tên để trông giống như trình cài đặt thật. Tệp này đi kèm với một thư viện độc hại có tên install.res.1033.dll.
DLL Sideloading
Khi trình cài đặt giả mạo được thực thi, nó sẽ tải thư viện độc hại thông qua kỹ thuật DLL sideloading. Đây là một kỹ thuật lạm dụng phần mềm đáng tin cậy để thực thi mã ẩn một cách lặng lẽ. Quá trình này cài đặt ScreenConnect ở chế độ nền, trong khi chương trình miễn phí thật cài đặt bình thường, khiến nạn nhân không nhận thấy bất kỳ điều gì bất thường.
Một khi ScreenConnect đã hoạt động, nó sẽ tạo ra một tập lệnh PowerShell. Tập lệnh này thêm các loại trừ vào Microsoft Defender và vô hiệu hóa các lời nhắc Kiểm soát Tài khoản Người dùng (UAC), dọn đường cho các cuộc tấn công tiếp theo. Sau đó, nó thả một tệp VBScript, giải mã một payload ẩn bằng khóa XOR trước khi tải nó vào bộ nhớ.
Process Hollowing
Payload được giải mã sau đó được tiêm vào một tiến trình Windows hợp pháp có tên RegAsm.exe thông qua kỹ thuật process hollowing. Điều này cho phép AsyncRAT chạy dưới vỏ bọc của một thành phần hệ thống đáng tin cậy. Một tác vụ được lên lịch có tên MasterPackager.Updater duy trì sự tồn tại của chuỗi tấn công này, chạy lại sau mỗi hai phút, ngay cả sau khi hệ thống khởi động lại.
Cơ sở hạ tầng và Thời gian Hoạt động
Các nhà nghiên cứu đã lập bản đồ cơ sở hạ tầng backend của chiến dịch thành hai cụm chính, trải rộng trên ba địa chỉ IP. Một cụm ban đầu sử dụng các mồi nhử theo chủ đề trò chơi trước khi chuyển sang ngụy trang các trang web của mình thành freeware vào tháng 1 năm 2026. Cụm còn lại tập trung hoàn toàn vào các cổng thông tin phần mềm giả mạo ngay từ đầu.
Hồ sơ tên miền cho thấy hoạt động này bắt đầu vào khoảng tháng 10 năm 2025 và tạm dừng hoạt động vào cuối tháng 3 năm 2026. Tuy nhiên, nhiều trang web lừa đảo vẫn còn hoạt động cho đến ngày nay. Điều này cho phép kẻ tấn công xây dựng một mạng lưới tên miền trông giống hệt nhau, bao phủ các công cụ hàng ngày, trình phát media và các tựa game.
Mục tiêu và Ảnh hưởng
Mục tiêu có khả năng nhất của chiến dịch này là đánh cắp thông tin đăng nhập hàng loạt. Điều này cung cấp cho kẻ tấn công một điểm truy cập mà họ có thể bán trên các thị trường dark web sau này. Các hệ thống bị xâm nhập có thể đóng vai trò là điểm khởi đầu cho các cuộc tấn công lớn hơn, do đó, các đội ngũ bảo mật được khuyến khích coi thông tin đăng nhập bị rò rỉ là một dấu hiệu cảnh báo sớm.
Việc sử dụng các công cụ truy cập từ xa như ScreenConnect, thường được cho phép theo mặc định trong các chính sách bảo mật tại nơi làm việc, giúp kẻ tấn công di chuyển trong mạng mà không gây ra cảnh báo. AsyncRAT cho phép kẻ tấn công đánh cắp thông tin đăng nhập và duy trì quyền truy cập dài hạn vào các hệ thống tại nhà và doanh nghiệp.
Các Chỉ số Tấn công (Indicators of Compromise – IoCs)
Các chỉ số sau đây có thể giúp phát hiện và ứng phó với chiến dịch này:
- Mã độc: AsyncRAT
- Kỹ thuật: DLL Sideloading, Process Hollowing, Lạm dụng ScreenConnect
- Tác nhân: Sử dụng các trang web giả mạo, SEO để phát tán.
- IP Backend:
172.233.239.94,172.233.239.95,172.233.239.96(Cần kiểm tra lại và làm sạch định dạng cho môi trường thực tế). - Các tên miền liên quan: (Danh sách đầy đủ sẽ có trong báo cáo gốc, các ví dụ có thể bao gồm các tên miền giả mạo phần mềm phổ biến).
Lưu ý: Địa chỉ IP và tên miền được cố tình làm sạch (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết ngoài ý muốn. Chỉ làm sạch theo định dạng này khi sử dụng trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Biện pháp Phòng ngừa và Ứng phó
Để giảm thiểu rủi ro, các nhóm bảo mật nên thực thi các biện pháp kiểm soát chặt chẽ đối với các ứng dụng được phép chạy và chặn cài đặt các gói MSI từ các nguồn không xác định. Việc giám sát liên tục các dịch vụ quản trị từ xa và tác vụ theo lịch mới có thể phát hiện hoạt động này trước khi nó lan rộng.
Đào tạo người dùng về cách xác minh nguồn phần mềm và tránh các trang tải xuống không chính thức cũng là rất quan trọng, vì các công cụ tìm kiếm không phải lúc nào cũng đáng tin cậy. Việc lọc lưu lượng truy cập đầu ra tới các tên miền và địa chỉ IP không quen thuộc sẽ bổ sung thêm một lớp phòng thủ chống lại giao tiếp với máy chủ chỉ huy và kiểm soát.
Chiến dịch này, được phát hiện ban đầu qua một sự cố đơn lẻ, đã mở ra cánh cửa cho một hoạt động quy mô lớn hơn, đa ngôn ngữ, được xây dựng dựa trên các trình cài đặt freeware được ngụy trang. Mặc dù chiến dịch có thể đã tạm dừng hoạt động, các cơ sở hạ tầng và phương pháp tấn công vẫn còn tiềm ẩn và có thể được tái sử dụng.
Để tìm hiểu sâu hơn về kỹ thuật tấn công này, bạn có thể tham khảo báo cáo chi tiết tại Securelist.










