lỗ hổng CVE trong chuỗi cập nhật phần mềm này không nằm ở một mã CVE cụ thể, mà ở cơ chế cập nhật bị lạm dụng để phát tán payload nhiều giai đoạn. Bề mặt tấn công xuất hiện khi phần mềm đã ký số bằng Dragon Boss Solutions LLC chạy với quyền SYSTEM và âm thầm tải xuống thành phần mới qua kênh update hợp lệ.
Cơ chế tấn công và chuỗi lây nhiễm
Ngày 22/03/2026, cảnh báo bảo mật bắt đầu kích hoạt trên nhiều môi trường managed khi các tệp thực thi ký số bởi Dragon Boss Solutions LLC được phát hiện hoạt động bất thường. Ban đầu chúng trông giống adware thông thường, nhưng thực tế đã dùng cơ chế cập nhật sẵn có để thực hiện tấn công mạng theo nhiều giai đoạn.
Tệp RaceCarTwo.exe được xác định là điểm khởi đầu của chuỗi lây nhiễm. Từ đây, bộ cài Setup.msi được triển khai và gọi script PowerShell ClockRemoval.ps1, thành phần chính có nhiệm vụ vô hiệu hóa phần mềm bảo mật, chặn cài đặt lại và duy trì trạng thái bị kiểm soát trên máy nhiễm.
Thành phần cập nhật hợp lệ bị lạm dụng
Chiến dịch tận dụng Advanced Installer – một công cụ cập nhật hợp pháp – để phát tán payload dạng MSI và PowerShell. Việc này tạo ra lớp ngụy trang hợp lệ, khiến lưu lượng và tiến trình ban đầu khó bị phân biệt với hoạt động cập nhật bình thường.
Điểm đáng chú ý là các executable chạy với full SYSTEM privileges, từ đó có thể tải và triển khai payload để remote code execution theo chuỗi tin cậy của ứng dụng đã ký số, thay vì khai thác một lỗi phần mềm truyền thống.
Cảnh báo CVE và rủi ro bảo mật từ cấu hình cập nhật
Một lỗ hổng CVE rõ ràng không được công bố trong dữ liệu nguồn, nhưng cấu hình cập nhật lại chứa sai sót nghiêm trọng: domain cập nhật chính chromsterabrowser[.]com chưa được đăng ký. Điều này tạo ra nguy cơ bảo mật đặc biệt lớn vì bất kỳ ai đăng ký domain đó đều có thể đẩy payload mới đến toàn bộ endpoint đang chạy biến thể phần mềm này.
Trong 24 giờ giám sát, hệ thống sinkhole ghi nhận 23.565 địa chỉ IP duy nhất kết nối về để tìm hướng dẫn. Con số này cho thấy quy mô hệ thống bị xâm nhập lớn hơn nhiều so với cảnh báo ban đầu.
Thông tin tham chiếu bổ sung có thể xem tại NVD – National Vulnerability Database.
Hành vi của ClockRemoval.ps1
ClockRemoval.ps1 là thành phần trung tâm của cơ chế phá hoại. Script này không chỉ dừng tiến trình bảo mật mà còn thao tác trực tiếp lên registry, tạo scheduled tasks và chặn các đường dẫn tái cài đặt. Đây là mẫu hành vi điển hình của một lỗ hổng CVE bị khai thác qua chuỗi cập nhật, dù bản thân vấn đề nằm ở logic triển khai hơn là bug phần mềm đơn lẻ.
Scheduled tasks được tạo
- ClockSetupWmiAtBoot
- DisableClockServicesFirst
- DisableClockAtStartup
- RemoveClockAtLogon
- RemoveClockPeriodic
Các tác vụ này được chạy với SYSTEM để đảm bảo phần mềm bảo mật bị gỡ bỏ ở boot, startup và mỗi 30 phút. Điều đó khiến an toàn thông tin của máy nhiễm tiếp tục suy giảm ngay cả sau khi khởi động lại.
Can thiệp vào hosts file và Defender exclusions
Script còn chỉnh sửa file hosts của Windows để chuyển hướng domain cập nhật của các hãng bảo mật như Malwarebytes và Kaspersky về 0.0.0.0, từ đó cắt đứt đường tái cài đặt. Đồng thời, nó thêm các ngoại lệ cho Windows Defender với các đường dẫn như DGoogle, EMicrosoft và DDapps.
Đây là dấu hiệu rõ ràng của một cuộc tấn công mạng có chủ đích nhằm vô hiệu hóa lớp phòng thủ trên máy đã nhiễm, thay vì chỉ đơn thuần duy trì truy cập.
IOC và dấu hiệu cần săn tìm
Các IOC dưới đây được trích xuất trực tiếp từ hành vi quan sát được. Khi điều tra phát hiện xâm nhập, cần ưu tiên kiểm tra các dấu hiệu này trên endpoint và hạ tầng quản trị:
- RaceCarTwo.exe – executable ký số, điểm khởi phát chuỗi lây nhiễm
- Setup.msi – gói MSI được dùng để triển khai payload
- ClockRemoval.ps1 – PowerShell script vô hiệu hóa bảo mật
- chromsterabrowser[.]com – domain cập nhật chính
- WMI event subscriptions có tên consumer chứa MbRemoval hoặc MbSetup
- Scheduled tasks trỏ tới các thư mục WMILoad hoặc script ClockRemoval
- Tiến trình ký bởi Dragon Boss Solutions LLC
- Entry trong hosts chặn domain cập nhật AV
- Defender exclusion paths bất thường như DGoogle, EMicrosoft, DDapps
Ảnh hưởng hệ thống và phạm vi lây nhiễm
Trong quá trình giám sát, 12.697 host ở Hoa Kỳ chiếm 53,9% tổng số kết nối, tiếp theo là 2.803 tại Pháp, 2.380 tại Canada, 2.223 tại Vương quốc Anh và 2.045 tại Đức. Dữ liệu này phản ánh mức độ lan rộng của mối đe dọa mạng trên môi trường thực tế.
Trong số các hệ thống bị ảnh hưởng có 324 mạng giá trị cao, gồm 221 trường đại học và cao đẳng, 41 mạng công nghệ vận hành gắn với điện lực và hạ tầng trọng yếu, 35 thực thể chính phủ, 24 trường phổ thông và 3 tổ chức y tế. Ngoài ra còn có nhiều mạng doanh nghiệp thuộc nhóm lớn.
Với hành vi vô hiệu hóa bảo mật, thay đổi hosts và chặn cập nhật, chiến dịch này tạo ra rủi ro an toàn thông tin cao cho cả phát hiện xâm nhập lẫn khôi phục sau sự cố.
Dấu hiệu phòng thủ và kiểm tra CLI
Để kiểm tra nhanh trên endpoint Windows, có thể săn tìm các dấu vết liên quan đến WMI, scheduled task và nội dung hosts. Các lệnh dưới đây hữu ích cho bước triage ban đầu trong phát hiện tấn công:
schtasks /query /fo LIST /v | findstr /i "ClockRemoval MbRemoval MbSetup WMILoad"
wmic /namespace:"\\root\\subscription" path __EventFilter get /format:list
wmic /namespace:"\\root\\subscription" path CommandLineEventConsumer get /format:list
findstr /i "malwarebytes kaspersky 0.0.0.0 DGoogle EMicrosoft DDapps" C:\Windows\System32\drivers\etc\hosts
reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /sNhững kiểm tra này giúp xác định nhanh hệ thống bị xâm nhập, đặc biệt khi tiến trình đã bị ký số và chạy bằng SYSTEM. Nếu phát hiện IOC, cần cô lập máy, vô hiệu hóa scheduled task và rà soát persistence qua WMI ngay lập tức.
Liên hệ kỹ thuật với cập nhật và vá lỗi
Sự cố này cho thấy cập nhật bản vá và chuỗi phân phối phần mềm phải được xác thực chặt chẽ. Khi domain update không được đăng ký hoặc cấu hình update cho phép tải payload tùy ý, một lỗ hổng CVE có thể không cần tồn tại vẫn dẫn đến hệ thống bị tấn công ở quy mô lớn.
Trong thực hành an ninh mạng, cần theo dõi mọi tiến trình ký số có quyền cao, kiểm tra WMI persistence, và rà soát các thay đổi bất thường tại hosts, Defender exclusion và scheduled task. Đây là các điểm bám quan trọng để giảm nguy cơ bảo mật từ các chuỗi cập nhật bị lạm dụng.
