TencShell là một mối đe dọa mạng mới được phát hiện, cho thấy cách các tác nhân tấn công tái sử dụng công cụ offensive công khai để tạo ra chuỗi xâm nhập phức tạp hơn mà không cần phát triển mã độc từ đầu. Khung này có khả năng cung cấp remote code execution và điều khiển từ xa đầy đủ trên hệ thống đã bị xâm nhập.
TencShell Và Chuỗi Xâm Nhập Ban Đầu
TencShell được ghi nhận triển khai trên một doanh nghiệp sản xuất có hoạt động khu vực tại nhiều quốc gia. Cuộc xâm nhập bị chặn tại site ở India và lần theo dấu vết đến một người dùng bên thứ ba có kết nối hợp lệ với môi trường nội bộ của khách hàng.
Điều này cho thấy kẻ tấn công đã lợi dụng một kết nối đáng tin cậy như một điểm trung chuyển. Trong bối cảnh cảnh báo CVE và tin tức bảo mật, kiểu lạm dụng truy cập hợp lệ này thường làm giảm khả năng phát hiện sớm của hệ thống giám sát.
Theo phân tích của Cato Networks, hoạt động bị chặn vào tháng 04/2026 trước khi kẻ tấn công thiết lập được quyền điều khiển bền vững. Nguồn tham khảo: Cato Networks Blog.
Kiến Trúc Khung Mã Độc TencShell
TencShell được phát triển từ Rshell, một framework mã nguồn mở cho mục đích offensive security. Bản tùy biến đã thay đổi mẫu giao tiếp để giả mạo lưu lượng API kiểu Tencent, giúp các request độc hại hòa lẫn vào lưu lượng web thông thường.
Tên gọi của khung được ghép từ “Tenc” cho các đường dẫn C2 giống Tencent và “Shell” cho hành vi truy cập từ xa cốt lõi. Cách đặt tên này phản ánh mục tiêu chính: duy trì hệ thống bị tấn công ở trạng thái điều khiển kín đáo trong thời gian dài.
Phần đáng chú ý trong threat intelligence này là việc dùng công cụ công khai để tạo thành một khung operator hoàn chỉnh. Nó làm giảm đáng kể chi phí triển khai so với phát triển malware riêng.
Chức Năng Kỹ Thuật Của TencShell
TencShell không chỉ dừng ở khả năng thực thi lệnh. Các module mã nguồn được khôi phục cho thấy implant hỗ trợ chụp màn hình, phát luồng màn hình trực tiếp qua WebSocket, và mô phỏng bàn phím, chuột theo thời gian thực.
- SendInput: mô phỏng đầu vào bàn phím/chuột.
- MouseClick: thao tác click chuột trực tiếp.
- KeyTap: nhập phím theo sự kiện.
- GetScreenWebSocket: truyền ảnh màn hình qua WebSocket.
Chuỗi chức năng này cho phép kẻ vận hành tương tác như đang ngồi trực tiếp trên máy nạn nhân. Trong một mối đe dọa mạng như vậy, dữ liệu phiên làm việc và thao tác người dùng trở thành mục tiêu khai thác rất rõ ràng.
Truy Xuất Browser Artifact
Implant còn có các routine chuyên biệt để truy cập browser artifact từ Chrome và Microsoft Edge. Opcode được phục hồi cho thấy khả năng đọc và xóa session đã lưu, dữ liệu đăng nhập, và cookies.
Khả năng này tạo ra rủi ro trực tiếp về đánh cắp dữ liệu và chiếm quyền phiên đăng nhập. Khi browser artifact bị trích xuất, thông tin rò rỉ có thể bao gồm token phiên, tài khoản ứng dụng và dữ liệu xác thực đã lưu.
UAC Bypass Và Leo Thang Quyền
Một module UAC bypass, được ghi nhận dưới opcode UAC_BYPASS, cho phép nâng quyền mà không kích hoạt hộp thoại bảo mật chuẩn của Windows. Điều này hỗ trợ kẻ tấn công duy trì quyền cao hơn trên hệ thống bị xâm nhập.
Tính năng này đặc biệt nguy hiểm khi kết hợp với các thành phần khác như SOCKS5 proxying, DLL loading và persistence. Trong ngữ cảnh rủi ro bảo mật, đây là dấu hiệu của một implant được thiết kế cho truy cập kín đáo, không phải khai thác ngắn hạn.
Chuỗi Phân Phối Nhiều Giai Đoạn
Cuộc tấn công theo một mô hình multi-stage rõ ràng. Sau khi có initial access, kẻ tấn công thực thi một dropper giai đoạn đầu có kích thước nhẹ, được thiết kế để tải payload tiếp theo trong im lặng và dùng User-Agent giả để hòa lẫn vào lưu lượng bình thường.
Dropper sau đó tải về một file có vẻ giống font web với đuôi .woff. Đây là cách ngụy trang phổ biến để request tải tài nguyên trông như một hoạt động hợp lệ của trình duyệt.
Bên trong file .woff là Donut shellcode, một công cụ mã nguồn mở có thể nạp payload Windows trực tiếp vào bộ nhớ. Cách này giảm dấu vết trên đĩa và làm khó quá trình phát hiện tấn công.
Thực Thi Trong Bộ Nhớ
Sau khi tải về, shellcode được nạp vào vùng nhớ, đánh dấu là executable và khởi chạy qua một thread mới trong tiến trình gốc. Donut sau đó map TencShell vào bộ nhớ theo cơ chế reflective, hoàn tất chuỗi thực thi.
// Minh họa luồng thực thi khái quát
1. Initial access
2. Dropper giai đoạn đầu
3. Tải file .woff ngụy trang
4. Giải mã Donut shellcode trong bộ nhớ
5. Reflective load TencShell
6. Kết nối command-and-controlVới mô hình này, việc phát hiện xâm nhập cần tập trung vào hành vi hơn là chỉ dựa trên tên file hoặc phần mở rộng. Các request tải .woff ngoài ngữ cảnh trình duyệt là một tín hiệu đáng lưu ý.
IOC Và Dấu Hiệu Cần Truy Vết
Nội dung nguồn không cung cấp danh sách IP, domain hay hash cụ thể. Tuy vậy, các IOC hành vi sau có thể được trích xuất để phục vụ phát hiện tấn công trong SIEM hoặc EDR.
- Outbound request đến endpoint lạ với mẫu giao tiếp giống web/API hợp lệ.
- .woff được tải trong ngữ cảnh không bình thường của trình duyệt.
- Registry run key giả mạo tên OneDriveHealthTask.
- Hoạt động screen capture hoặc stream màn hình qua WebSocket.
- Thao tác SendInput, MouseClick, KeyTap bất thường.
- Truy cập dữ liệu đăng nhập, session và cookies của Chrome hoặc Edge.
- Sử dụng SOCKS5 không được ủy quyền trong tiến trình lạ.
Các dấu hiệu này phù hợp để xây dựng rule săn tìm trong IDS hoặc EDR, đặc biệt khi kết hợp với kiểm tra persistence và lưu lượng outbound bất thường. Đây là một phần quan trọng của an toàn thông tin khi đối phó với các khung mã độc dạng operator.
Ảnh Hưởng Hệ Thống
TencShell được thiết kế cho điều khiển từ xa lâu dài thay vì khai thác nhanh. Ảnh hưởng kỹ thuật chính bao gồm chiếm quyền tương tác hệ thống, đọc dữ liệu trình duyệt, leo thang đặc quyền và duy trì persistence qua registry.
Khi implant đã bám trụ, kẻ tấn công có thể điều hướng sang các bước tiếp theo như trích xuất dữ liệu, thao tác phiên đăng nhập hoặc dùng proxy để mở rộng truy cập. Điều này làm tăng nguy cơ bảo mật cho toàn bộ môi trường nội bộ liên quan.
Nếu doanh nghiệp có mô hình làm việc từ xa hoặc tích hợp bên thứ ba, TencShell cho thấy rủi ro đến từ chính các kết nối hợp lệ. Trong các kịch bản như vậy, cập nhật bản vá là cần thiết nhưng chưa đủ; giám sát hành vi là lớp kiểm soát bắt buộc.
Điểm Cần Giám Sát Trên Hệ Thống Windows
Để tăng khả năng phát hiện xâm nhập, cần ưu tiên theo dõi các điểm sau trong Windows endpoint và telemetry mạng:
- Tiến trình tạo thread mới sau khi tải tài nguyên có đuôi .woff.
- Vùng nhớ được đánh dấu executable sau khi giải mã shellcode.
- Autorun registry liên quan đến OneDriveHealthTask.
- Truy cập bất thường vào profile của Chrome và Edge.
- WebSocket outbound không phù hợp với ứng dụng gốc.
- Giao tiếp C2 có mẫu giống API hợp lệ nhưng đích đến không quen thuộc.
Đây là các chỉ báo hữu ích để xây dựng truy vấn săn tìm trong EDR và SIEM. Với mối đe dọa mạng kiểu TencShell, việc phát hiện sớm phụ thuộc nhiều vào correlation giữa hành vi fileless, registry persistence và lưu lượng mạng.
Tham Chiếu Kỹ Thuật
Thông tin nền về lỗ hổng CVE và dữ liệu định danh có thể đối chiếu thêm qua NVD: https://nvd.nist.gov/. Dù nội dung này không gắn với một CVE cụ thể, việc đối chiếu nguồn uy tín vẫn cần thiết khi chuẩn hóa threat intelligence trong hệ thống giám sát.
Trong bối cảnh tin tức an ninh mạng, TencShell là ví dụ điển hình của một framework điều khiển từ xa được ngụy trang tốt, tận dụng delivery nhiều tầng, thực thi trong bộ nhớ và persistence để duy trì truy cập bền vững.
