Các nhà nghiên cứu an ninh mạng tại Zscaler ThreatLabz đã phát hiện một biến thể phần mềm độc hại tinh vi mới mang tên YiBackdoor, được ghi nhận lần đầu vào tháng 6 năm 2025. Mã độc YiBackdoor này thể hiện sự phát triển đáng kể trong công nghệ backdoor, chia sẻ nhiều điểm tương đồng về mã nguồn với các họ mã độc đã được biết đến như IcedID và Latrodectus.
Phát hiện này [Zscaler ThreatLabz] làm nổi bật khả năng thích ứng liên tục của các công cụ tội phạm mạng. YiBackdoor sở hữu các tính năng cho phép kẻ tấn công duy trì quyền truy cập dai dẳng vào hệ thống mục tiêu, gây ra mối đe dọa mạng đáng kể cho các tổ chức và người dùng.
YiBackdoor: Một Mối Đe Dọa Mạng Nguy Hiểm Tiềm Ẩn
Triết lý thiết kế của YiBackdoor phản ánh các trojan ngân hàng khét tiếng như Zloader và Qakbot. Các mã độc này thường được tái sử dụng từ công cụ gian lận tài chính thành tác nhân truy cập ban đầu (initial access brokers) cho các hoạt động tấn công ransomware. Mã độc YiBackdoor tiếp tục xu hướng này, cung cấp cho kẻ tấn công khả năng kiểm soát toàn diện sau khi xâm nhập thành công.
Chức Năng Chính và Khả Năng Vận Hành
Chức năng cốt lõi của YiBackdoor tập trung vào việc cung cấp cho kẻ tấn công quyền kiểm soát toàn diện đối với các hệ thống bị nhiễm. Điều này bao gồm khả năng thu thập thông tin hệ thống nhạy cảm, từ cấu hình phần cứng đến các chi tiết về phần mềm và mạng.
Mã độc cũng có thể chụp ảnh màn hình các hoạt động của người dùng, cung cấp cho kẻ tấn công cái nhìn trực quan về môi trường làm việc của nạn nhân. Khả năng này rất hữu ích cho việc trinh sát và thu thập thông tin.
Ngoài ra, YiBackdoor có khả năng thực thi các lệnh tùy ý thông qua cả giao diện Command Prompt và PowerShell. Điều này cho phép kẻ tấn công linh hoạt thực hiện các hành động độc hại. Mã độc còn triển khai các plugin bổ sung để mở rộng khả năng vận hành một cách linh hoạt, tạo thành một nền tảng tấn công đa năng và khó lường.
Cơ Chế Chống Phân Tích Nâng Cao của Mã Độc YiBackdoor
YiBackdoor tích hợp các cơ chế chống phân tích tinh vi được thiết kế đặc biệt để né tránh sự phát hiện của các nhà nghiên cứu bảo mật và các hệ thống phân tích mã độc tự động. Các kỹ thuật này nhằm mục đích kéo dài thời gian tồn tại của mã độc và làm phức tạp quá trình gỡ lỗi cũng như phát hiện xâm nhập.
Giải Quyết API Động và Mã Hóa Chuỗi Ký Tự
Mã độc này sử dụng nhiều lớp che giấu, trong đó nổi bật là cơ chế giải quyết API động. Thay vì gọi trực tiếp các hàm API của hệ điều hành, YiBackdoor sử dụng một hệ thống tra cứu dựa trên hàm băm tùy chỉnh để xác định và gọi các API cần thiết trong thời gian chạy. Điều này làm cho việc phân tích tĩnh trở nên khó khăn hơn đáng kể, vì các nhà nghiên cứu không thể dễ dàng nhận diện các chức năng mà mã độc sẽ thực hiện chỉ bằng cách xem mã nguồn ban đầu.
Ngoài ra, YiBackdoor mã hóa các chuỗi ký tự quan trọng trong thời gian chạy bằng cách sử dụng các phép toán XOR với các khóa 4 byte riêng biệt. Kỹ thuật này khiến việc phân tích chuỗi tĩnh không hiệu quả đối với các nhà nghiên cứu bảo mật, buộc họ phải thực hiện phân tích động phức tạp hơn để hiểu được các chức năng ẩn.
Phát Hiện Môi Trường Ảo Hóa Chuyên Sâu
Mã độc YiBackdoor xác định môi trường ảo hóa một cách có hệ thống bằng cách tận dụng lệnh CPUID với tham số 0x40000000. Điều này giúp phát hiện sự hiện diện của các trình siêu giám sát (hypervisors) phổ biến bao gồm VMware, Xen, KVM, VirtualBox, Microsoft Hyper-V và Parallels.
Đáng chú ý nhất, YiBackdoor triển khai một cơ chế phát hiện hypervisor dựa trên thời gian (timing-based) cực kỳ tinh vi. Cơ chế này đo lường độ trễ thực thi mã đặc trưng của môi trường máy ảo, nơi các hoạt động thường chậm hơn so với hệ thống vật lý.
Kỹ thuật này bao gồm việc gọi SwitchToThread và sau đó là các lệnh RDTSC (Read Time-Stamp Counter) xung quanh các lệnh CPUID. Các lệnh CPUID này có thể kích hoạt các sự kiện thoát khỏi VM (VM exits). Mã độc tính toán thời gian thực thi qua 16 lần lặp để xác định một cách chính xác xem hệ thống có phải là môi trường ảo hóa hay không, từ đó điều chỉnh hành vi của nó.
Mã Hóa Giao Tiếp Mạng Mạnh Mẽ
Giao tiếp mạng của YiBackdoor sử dụng mã hóa TripleDES với các khóa được lấy từ chuỗi cấu hình. Các khóa này được tạo bằng cách sử dụng ngày trong tuần hiện tại làm offset. Điều này đảm bảo các khóa mã hóa tự động xoay vòng hàng ngày, khiến việc phát hiện xâm nhập dựa trên mẫu lưu lượng mạng trở nên cực kỳ khó khăn cho các công cụ giám sát thông thường.
Kỹ Thuật Duy Trì Quyền Truy Cập và Khai Thác của YiBackdoor
Mã độc YiBackdoor thể hiện khả năng tiêm tiến trình (process injection) nâng cao thông qua một kỹ thuật độc đáo. Nó nhắm mục tiêu vào tiến trình svchost.exe của Windows, một tiến trình hệ thống quan trọng thường xuyên được bảo vệ.
Tiêm Mã Nâng Cao vào svchost.exe
Thay vì tạo các tiến trình bị đình chỉ (suspended processes) và tiêm mã vào đó, YiBackdoor tạo một phiên bản svchost.exe mới. Sau đó, nó vá hàm RtlExitUserProcess bằng mã assembly tùy chỉnh. Mã này chuyển hướng luồng thực thi đến điểm vào của mã độc, cho phép nó kiểm soát tiến trình trước khi nó thoát.
Cách tiếp cận này cho phép mã độc thực thi tải trọng của nó ngay khi tiến trình mục tiêu kết thúc. Điều này có khả năng né tránh các sản phẩm bảo mật giám sát các phương pháp tiêm truyền thống hoặc những thay đổi trong hành vi của tiến trình.
Cơ Chế Duy Trì Quyền Kiểm Soát
Để duy trì quyền kiểm soát (persistence), YiBackdoor thiết lập sự hiện diện của mình thông qua khóa registry Windows Run bằng cách tiếp cận nhiều giai đoạn. Đây là một phương pháp phổ biến nhưng được thực hiện một cách tinh vi.
Cụ thể, mã độc sao chép chính nó vào một thư mục có tên ngẫu nhiên, tạo một mục registry trỏ đến regsvr32.exe với đường dẫn DLL độc hại. Sau đó, nó tự xóa tệp gốc để cản trở phân tích pháp y. Việc này làm mất đi bằng chứng ban đầu về sự hiện diện của mã độc.
Tên giá trị registry được tạo bằng các thuật toán giả ngẫu nhiên dựa trên ID bot của từng nạn nhân. Điều này làm cho việc phát hiện thông qua các chữ ký tĩnh trở nên khó khăn hơn cho các giải pháp an ninh mạng truyền thống, yêu cầu các phương pháp phát hiện dựa trên hành vi phức tạp hơn.
Hạ Tầng Điều Khiển và Ra Lệnh (C2) của Mã Độc YiBackdoor
Cơ sở hạ tầng điều khiển và ra lệnh (C2) của YiBackdoor sử dụng các giao thức giao tiếp dựa trên JSON được mã hóa [Gbhackers on Security]. Các khóa mã hóa động này thay đổi hàng ngày, tăng cường khả năng ẩn mình và làm cho việc giám sát lưu lượng C2 trở nên phức tạp.
Giao Thức Giao Tiếp Mã Hóa và Cấu Trúc URL
Mã độc này xây dựng các URL C2 bằng cách kết hợp các chuỗi được mã hóa cứng (hardcoded strings), ID bot được tạo trong thời gian chạy và các tham số cấu hình. Cấu trúc này giúp nó linh hoạt trong việc thay đổi địa chỉ C2. Các URL tuân theo mẫu http(s)://C2/bot_id/uri1/uri2, cho phép kẻ tấn công tổ chức các lệnh và phản hồi một cách có hệ thống.
Các Lệnh Được Hỗ Trợ và Tính Linh Hoạt
YiBackdoor hỗ trợ sáu loại lệnh chính từ máy chủ C2: thu thập thông tin hệ thống, chụp ảnh màn hình, thực thi lệnh tùy ý thông qua CMD và PowerShell [Gbhackers on Security], và quản lý plugin để mở rộng chức năng. Điều này cho thấy tính mô-đun cao của mã độc.
Mỗi phản hồi lệnh được truyền qua các yêu cầu HTTP POST chứa ID tác vụ, chỉ báo trạng thái thực thi và dữ liệu đầu ra được mã hóa Base64. Việc sử dụng Base64 giúp truyền tải dữ liệu nhị phân qua các giao thức dựa trên văn bản.
Cách tiếp cận mô-đun này cho phép kẻ tấn công điều chỉnh khả năng của mã độc sau khi lây nhiễm dựa trên các môi trường và mục tiêu cụ thể. Điều này biến YiBackdoor thành một công cụ linh hoạt cho nhiều kịch bản tấn công khác nhau. Theo thông tin tình báo hiện tại, mã độc YiBackdoor vẫn đang trong giai đoạn phát triển hoặc thử nghiệm hạn chế.
Các nhà nghiên cứu đã quan sát thấy số lượng triển khai tối thiểu và các tệp cấu hình chứa địa chỉ IP localhost, cho thấy quá trình tinh chỉnh liên tục các khả năng hoạt động của mã độc này trước khi được triển khai rộng rãi.
