Backdoor.Stupig: Nguy cơ chiếm quyền điều khiển hệ thống nghiêm trọng

Backdoor.Stupig: Nguy cơ chiếm quyền điều khiển hệ thống nghiêm trọng

Một cửa hậu (backdoor) mới cho hệ điều hành Windows đã được phát hiện, hoạt động song song với Daxin, một công cụ gián điệp tinh vi trước đây từng được liên kết với các hoạt động do nhóm ở Trung Quốc thực hiện. Lỗ hổng bảo mật này cho phép kẻ tấn công nhập một tên người dùng đặc biệt tại màn hình đăng nhập Windows để mở một SYSTEM shell với các đặc quyền cao nhất của hệ thống.

Phân tích chuyên sâu về Backdoor.Stupig và Daxin

Cơ chế hoạt động của Backdoor.Stupig

Backdoor.Stupig hoạt động bằng cách ngụy trang như một phần của dịch vụ hỗ trợ bàn phím Windows, thay vì thể hiện hành vi của một chương trình truy cập từ xa thông thường. Nó đăng ký chính nó như một nhà cung cấp bố cục bàn phím (keyboard-layout provider).

Điều này khiến Windows tải một DLL độc hại vào tiến trình winlogon.exe trong quá trình khởi động. Quan trọng hơn, nó trả về dữ liệu bàn phím bình thường, làm cho thiết bị hoạt động như mong đợi và tránh bị phát hiện bởi các biện pháp kiểm tra thông thường.

Khi hoạt động, backdoor theo dõi màn hình đăng nhập để tìm các tên người dùng bắt đầu bằng tiền tố stupig. Nếu kẻ tấn công chỉ nhập tiền tố này, một dấu nhắc lệnh SYSTEM sẽ được khởi chạy trên secure desktop.

Nếu có văn bản theo sau tiền tố, văn bản đó sẽ được thực thi như một lệnh với cùng mức quyền truy cập. Chương trình sau đó chuyển yêu cầu đến tiến trình đăng nhập Windows hợp pháp, tiến trình này sẽ tạo ra một phản hồi đăng nhập không thành công thông thường.

Điều này có nghĩa là các nhà phòng thủ có thể thấy một tên người dùng đăng nhập bất thường nhưng không có dấu hiệu rõ ràng nào trong nhật ký kiểm tra đăng nhập cho thấy một shell đặc quyền đã được tạo ra. Điều này làm cho việc kiểm tra cấp độ màn hình trở nên cực kỳ giá trị đối với kẻ tấn công có quyền truy cập console.

Stupig cũng đặt các hook vào các hàm Windows được sử dụng trong quá trình xác thực và xử lý thông tin xác thực, cho phép nó thu thập thông tin bên trong winlogon.exe. Các nhà nghiên cứu đã tìm thấy một tham chiếu đến một tệp đi kèm có tên msyun.dll, nhưng payload đó không nằm trong số các tạo tác được thu hồi từ môi trường bị ảnh hưởng.

Đặc điểm của Daxin

Daxin là một backdoor cấp nhân (kernel-level) dành cho Windows, lần đầu tiên được phát hiện vào năm 2022, mặc dù các mẫu có niên đại từ năm 2013. Thay vì thiết lập kết nối rõ ràng tới máy chủ điều khiển (C2), nó giám sát lưu lượng TCP đến để tìm các mẫu cụ thể và chiếm quyền điều khiển các kết nối hợp pháp để truyền các chỉ thị được mã hóa.

Cách tiếp cận này cho phép nó trộn lẫn lưu lượng truy cập độc hại vào hoạt động mạng bình thường và làm cho việc giám sát truyền thống kém hiệu quả hơn. Daxin cũng có khả năng chuyển tiếp lệnh qua nhiều thiết bị bị xâm nhập, có khả năng cung cấp cho kẻ điều khiển một lộ trình vào các khu vực mạng bị cô lập không có kết nối Internet trực tiếp.

Cả hai mẫu đều có dấu thời gian biên dịch vào đầu năm 2013, trong khi hệ thống bị ảnh hưởng không bắt đầu cung cấp dữ liệu đo từ xa cho đến ngày 12 tháng 5 năm 2026. Khoảng thời gian này, cùng với lịch sử hoạt động âm thầm và dai dẳng của nhóm, mở ra khả năng cuộc xâm nhập đã ẩn mình trong nhiều năm, có thể là hơn một thập kỷ.

Phát hiện và Triển khai ban đầu

Các nhà nghiên cứu từ Symantec đã xác định được Daxin và Backdoor.Stupig trên cùng một máy chủ trong quá trình điều tra vào tháng 5 năm 2026. Sự kết hợp này gợi ý một chiến dịch kéo dài, mặc dù một liên kết trực tiếp về mã nguồn giữa hai công cụ chưa được xác nhận.

Hoạt động này được phát hiện trên một máy tính bị xâm nhập tại một công ty con của một nhà sản xuất công nghệ cao đa quốc gia có trụ sở tại Đài Loan. Các nhà điều tra tin rằng điểm khởi đầu ban đầu có thể đến từ một cổng single sign-on Digiwin đã lỗi thời, vẫn sử dụng các phiên bản Java Development Kit (JDK) được phát hành từ năm 2009 đến 2011.

Mục tiêu này có giá trị chiến lược cao. Lỗ hổng zero-day vulnerability này cho phép chiếm quyền điều khiển hệ thống.

Backdoor.Stupig không khớp với một họ malware đã biết trong phân tích tương đồng của các nhà nghiên cứu, nhấn mạnh giá trị của việc kiểm tra các module xác thực không quen thuộc. Các tệp malware cũng được phát hiện dưới các tên khác nhau, một sự thay đổi dường như diễn ra sau sự kiện phát hiện đầu tiên.

Tác động Hệ thống và Khả năng Khai thác

Cửa hậu hoạt động trước khi phiên người dùng bình thường bắt đầu, một giai đoạn mà nhiều tổ chức có khả năng hiển thị hạn chế. Thiết kế của nó có thể cho phép kẻ tấn công thực thi lệnh với quyền SYSTEM, tài khoản cục bộ mạnh nhất của Windows.

Đồng thời, nó tạo cơ hội để chặn các thông tin xác thực được nhập trong quá trình đăng nhập. Vì nó được tải bởi một thành phần Windows đáng tin cậy, các kiểm tra điểm cuối thông thường có thể không ngay lập tức phân biệt nó với phần mềm hỗ trợ bàn phím hợp pháp.

Backdoor.Stupig ngụy trang mình như một phần của Windows keyboard support, thay vì hành xử như một chương trình truy cập từ xa thông thường. Nó đăng ký như một nhà cung cấp bố cục bàn phím, khiến Windows tải DLL độc hại vào winlogon.exe trong quá trình khởi động, đồng thời trả về dữ liệu bàn phím bình thường để thiết bị hoạt động như mong đợi.

Một khi hoạt động, backdoor sẽ theo dõi màn hình đăng nhập cho các tên người dùng bắt đầu bằng stupig. Nếu kẻ tấn công chỉ nhập tiền tố này, nó sẽ khởi chạy một dấu nhắc lệnh SYSTEM trên secure desktop; nếu có văn bản theo sau tiền tố, văn bản đó sẽ được thực thi dưới dạng lệnh với cùng mức truy cập.

Chương trình sau đó chuyển yêu cầu đến tiến trình đăng nhập Windows hợp pháp, tạo ra một phản hồi đăng nhập không thành công thông thường. Điều này có nghĩa là các nhà phòng thủ có thể thấy một tên người dùng đăng nhập bất thường nhưng không có lỗ hổng bảo mật rõ ràng nào cho thấy một shell đặc quyền đã được tạo ra, khiến bài kiểm tra cấp độ màn hình trở nên cực kỳ có giá trị đối với kẻ tấn công có quyền truy cập console.

Stupig đặt các hook vào các hàm Windows được sử dụng trong quá trình xác thực và xử lý thông tin xác thực, cho phép nó thu thập thông tin bên trong winlogon.exe. Các nhà nghiên cứu đã tìm thấy một tham chiếu đến một tệp đi kèm có tên msyun.dll, nhưng payload đó không nằm trong số các tạo tác được thu hồi từ môi trường bị ảnh hưởng.

Liên kết với Daxin

Daxin có khả năng chuyển tiếp lệnh qua nhiều thiết bị bị xâm nhập, có thể cung cấp cho kẻ điều khiển một lộ trình vào các khu vực mạng bị cô lập không có kết nối Internet trực tiếp. Cách tiếp cận này có thể hòa trộn lưu lượng truy cập độc hại vào hoạt động mạng thông thường và làm cho việc giám sát truyền thống kém hiệu quả hơn.

Khuyến nghị Bảo mật và Phát hiện

Các tổ chức cần khẩn trương thay thế các cài đặt Java không được hỗ trợ và xem xét các hệ thống single sign-on bị lộ, đặc biệt là các triển khai Digiwin cũ hơn. Khuyến cáo nên kiểm tra các đăng ký bố cục bàn phím và DLL được tải bởi winlogon.exe.

Cần điều tra các lần đăng nhập không thành công sử dụng tên người dùng có tiền tố stupig bất thường và thực hiện quét tìm các chỉ số (IoCs) trên các hệ thống Windows. Việc xem xét các hệ thống thiếu dữ liệu đo từ xa lịch sử cũng quan trọng không kém, vì các cập nhật bản vá cho các backdoor tiềm ẩn có thể chỉ xuất hiện khi việc giám sát được cải thiện.

Điều này bao gồm việc xác thực tất cả các tài sản kế thừa còn lại. Việc sử dụng mã khai thác zero-day luôn tiềm ẩn rủi ro cao cho các tổ chức.

Các chỉ số Compromise (IoCs)

  • Tên tệp: stupig.dll, msyun.dll
  • Tiến trình: winlogon.exe
  • Tên người dùng mẫu: stupig*

Lưu ý: Địa chỉ IP và tên miền đã được làm mờ (ví dụ: [.]) để ngăn chặn việc phân giải hoặc siêu liên kết vô tình. Chỉ khôi phục định dạng đầy đủ trong các nền tảng threat intelligence được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.

Việc tăng cường khả năng phát hiện mối đe dọa và đẩy nhanh quá trình điều tra là rất quan trọng. Tích hợp các giải pháp phân tích hành vi và giám sát an ninh mạng có thể giúp phát hiện sớm các hoạt động bất thường. Các tin tức bảo mật mới nhất thường xuyên cập nhật về các mối đe dọa mới nổi và các kỹ thuật tấn công đang được sử dụng.

Nghiên cứu sâu hơn về các kỹ thuật này và cách phòng chống hiệu quả là cần thiết để bảo vệ hệ thống trước các mối đe dọa mạng ngày càng tinh vi.