Tin tức bảo mật mới ghi nhận một chiến dịch xâm nhập nhắm vào hệ thống Windows, trong đó nhóm tấn công đã sửa đổi tệp lõi termsrv.dll để cho phép nhiều phiên Remote Desktop Protocol (RDP) đồng thời trên cùng một máy nạn nhân. Kỹ thuật này giúp kẻ tấn công hoạt động nền trong khi người dùng hợp lệ vẫn đăng nhập, làm tăng đáng kể rủi ro bảo mật và độ khó phát hiện.
Tin bảo mật mới nhất về kỹ thuật sửa đổi termsrv.dll
Hoạt động này được theo dõi từ ít nhất năm 2014 và tăng cường trong giai đoạn nửa cuối năm 2025 đến đầu năm 2026. Báo cáo của Securelist mô tả việc nhóm này mở rộng bộ công cụ và duy trì truy cập dai dẳng trong các mạng bị xâm nhập. Nguồn tham khảo: Securelist report.
Điểm đáng chú ý của lỗ hổng CVE-theo-ngữ cảnh ở đây là không phải một CVE công khai cụ thể, mà là việc lạm dụng và chỉnh sửa thành phần hệ thống Windows để đạt remote code execution theo nghĩa vận hành, thông qua thay đổi hành vi của dịch vụ RDP. Cách tiếp cận này tránh phụ thuộc vào công cụ bên thứ ba lộ liễu và làm giảm khả năng bị cảnh báo bởi giám sát tiêu chuẩn.
Cách thức xâm nhập và triển khai
Vector ban đầu thường là email phishing chứa tệp ZIP với shortcut độc hại. Khi người dùng mở shortcut, một script PowerShell được tải từ máy chủ ngoài và thực thi âm thầm. Script này thiết lập cơ chế bám trụ, tải tài liệu mồi để đánh lạc hướng, xóa dấu vết lây nhiễm và triển khai các payload gồm backdoor VBCloud cùng công cụ trinh sát PowerShower.
Trong giai đoạn sau khi vào được mạng nội bộ, kẻ tấn công di chuyển ngang và kích hoạt script rdp_new.ps1 để sửa đổi termsrv.dll trên Windows 10. Mục tiêu là loại bỏ giới hạn một phiên RDP mặc định, từ đó cho phép kết nối từ xa mà không buộc người dùng hiện tại phải đăng xuất.
Chuỗi hành động của script
Script được mô tả thực hiện các bước chính sau:
- Thêm quy tắc Windows Firewall để cho phép lưu lượng RDP.
- Giảm mức độ kiểm soát truy cập từ xa trước khi vá tệp hệ thống.
- Chiếm quyền sở hữu termsrv.dll và cấp toàn quyền sửa đổi.
- Thay thế một chuỗi byte cụ thể để bỏ hạn chế một phiên.
- Khởi động lại dịch vụ RDP để thay đổi có hiệu lực.
Đây là một kỹ thuật đặc biệt nguy hiểm vì nó nhắm vào tệp DLL hệ thống đáng tin cậy thay vì một công cụ bên thứ ba dễ bị phát hiện hơn. Việc thay đổi thành phần mặc định khiến nhiều cơ chế giám sát thông thường khó nhận diện ngay.
Ảnh hưởng hệ thống và cơ chế ẩn mình
Sau khi bản vá trái phép được áp dụng, kẻ tấn công có thể kết nối RDP trong khi người dùng hợp lệ vẫn tiếp tục làm việc. Hai phiên hoạt động song song làm giảm khả năng bị nghi ngờ ngay lập tức, đặc biệt trong môi trường có giám sát chưa đủ sâu đối với thay đổi trên file hệ thống.
Nhóm này cũng triển khai reverse SSH tunnel như một kênh dự phòng. Máy bị chiếm quyền khởi tạo kết nối SSH ra ngoài đến máy chủ do kẻ tấn công kiểm soát, giúp vượt qua nhiều quy tắc chặn kết nối vào. Vì kết nối đi từ trong mạng ra ngoài, nó thường trông giống lưu lượng hợp lệ đối với một số hệ thống phát hiện tấn công.
Để duy trì các kênh này, script VBS được thực thi thông qua PAExec hoặc PsExec và được lập lịch bằng Windows Task Scheduler nhằm tự khởi động lại. Ngoài ra, RevSocks và Tor cũng được sử dụng để che giấu đường truyền, bao gồm truy cập RDP qua các địa chỉ .onion.
Kỹ thuật RDP modification và tác động tới phát hiện xâm nhập
Việc sửa đổi termsrv.dll làm thay đổi cách dịch vụ Remote Desktop xử lý phiên đăng nhập. Theo thiết kế mặc định, Windows giới hạn một phiên RDP đồng thời. Khi giới hạn này bị gỡ bỏ, kẻ tấn công có thêm khả năng thao tác hậu khai thác mà không cắt kết nối của người dùng đang làm việc.
Điều này đặt ra thách thức lớn cho phát hiện xâm nhập vì thay đổi xảy ra trên một thành phần hệ thống hợp lệ. Nếu không có kiểm tra toàn vẹn tệp, cảnh báo đối với thay đổi thuộc tính file, hay giám sát hành vi dịch vụ RDP, sự cố có thể tồn tại lâu trong môi trường bị xâm nhập.
Trong bối cảnh tin tức an ninh mạng này, trọng tâm không phải khai thác CVE theo kiểu truyền thống mà là kỹ thuật hậu xâm nhập nhằm duy trì truy cập và giảm dấu hiệu bất thường. Điều đó khiến các biện pháp giám sát hành vi và kiểm tra cấu hình trở nên quan trọng hơn so với chỉ dựa vào chữ ký.
Chỉ số phát hiện và giám sát cần ưu tiên
Các chỉ số quan trọng để theo dõi trong môi trường Windows bị nghi ngờ gồm thay đổi bất thường ở file hệ thống, tác vụ theo lịch và lưu lượng outbound không giải thích được. Đây là các tín hiệu phù hợp cho hệ thống IDS, SIEM và điều tra máy chủ.
- termsrv.dll bị sửa đổi hoặc đổi quyền sở hữu bất thường.
- Quy tắc Windows Firewall mới cho phép RDP xuất hiện ngoài thay đổi chuẩn.
- Tác vụ theo lịch chứa VBS hoặc PowerShell lạ.
- Kết nối SSH outbound không mong đợi từ máy trạm hoặc máy chủ nội bộ.
- Lưu lượng qua Tor, RevSocks hoặc đích
.onion.
Nhà nghiên cứu cũng lưu ý các địa chỉ IP và tên miền trong báo cáo đã được defang để tránh vô tình phân giải. Nếu cần phân tích, chỉ nên refang trong môi trường threat intelligence có kiểm soát như MISP, VirusTotal hoặc SIEM.
Kiểm tra nhanh trên hệ thống Windows
Để rà soát môi trường, có thể kiểm tra sự tồn tại và trạng thái của các yếu tố liên quan bằng CLI:
icacls C:\Windows\System32\termsrv.dll
sc query termservice
schtasks /query /fo LIST /v
netsh advfirewall firewall show rule name=all
Get-ChildItem -Path C:\Windows\System32 -Filter termsrv.dll | Format-List *Các lệnh trên giúp đối chiếu quyền truy cập file, trạng thái dịch vụ RDP, tác vụ theo lịch và quy tắc firewall. Trong điều tra sự cố, nên so sánh hash tệp với bản sạch đã biết và kiểm tra mốc thời gian sửa đổi.
Khuyến nghị phòng thủ và cập nhật bản vá
Với kỹ thuật này, trọng tâm phòng thủ nằm ở kiểm soát thay đổi hệ thống và phát hiện hành vi sau khi xâm nhập. Các tổ chức nên theo dõi chặt chẽ bất kỳ thay đổi nào đối với termsrv.dll, xem xét cấu hình Windows Firewall và kiểm tra tác vụ theo lịch chứa PowerShell hoặc VBS lạ.
Phần mạng cũng cần chú ý đến kết nối SSH outbound không quen thuộc, cũng như chặn các miền độc hại ở biên. Nếu có khả năng, áp dụng baseline cho file hệ thống và cảnh báo khi phát sinh sai lệch về hash hoặc quyền truy cập.
Trong trường hợp môi trường có nhiều máy trạm từ xa, việc theo dõi phiên RDP đồng thời, hoạt động đăng nhập bất thường và các thay đổi cấu hình liên quan đến dịch vụ Remote Desktop là cần thiết. Cơ chế này bổ sung trực tiếp cho năng lực bảo mật thông tin và giảm nguy cơ bị duy trì truy cập lén trong thời gian dài.
