Vào tháng 8 năm 2025, Đơn vị Phản ứng Mối đe dọa (TRU) của eSentire đã xác định một **mối đe dọa mạng** mới nổi: một botnet phức tạp có tên là NightshadeC2 botnet. Botnet này sử dụng một kỹ thuật sáng tạo gọi là “UAC Prompt Bombing” để né tránh Windows Defender và xâm phạm các hệ thống bảo mật điểm cuối. Sự xuất hiện của NightshadeC2 botnet đánh dấu một bước tiến đáng kể trong các chiến thuật né tránh của phần mềm độc hại.
Kỹ thuật “UAC Prompt Bombing” Độc đáo của NightshadeC2
Tính năng nổi bật nhất của NightshadeC2 botnet là **kỹ thuật UAC Prompt Bombing** mới lạ. Kỹ thuật này buộc người dùng phải liên tục phê duyệt các cửa sổ nhắc nhở User Account Control (UAC) cho đến khi họ đồng ý.
Cơ chế Hoạt động và Tầm ảnh hưởng
Loader dựa trên .NET của phần mềm độc hại thực hiện một vòng lặp liên tục, thực thi các lệnh PowerShell để thêm ngoại lệ cho Windows Defender đối với payload cuối cùng. Nếu người dùng từ chối lời nhắc UAC, hệ thống sẽ trở nên ngày càng khó sử dụng do các lời nhắc tiếp tục xuất hiện vô thời hạn.
Hiệu quả Chống lại Môi trường Sandbox
Cách tiếp cận này đặc biệt hiệu quả chống lại các môi trường sandbox phân tích phần mềm độc hại. Các hệ thống có dịch vụ Windows Defender bị vô hiệu hóa sẽ tạo ra các mã thoát khác 0. Điều này làm cho các môi trường phân tích tự động bị mắc kẹt trong vòng lặp thực thi, ngăn chặn việc phân phối payload. Các nhà nghiên cứu TRU đã xác nhận thành công việc bỏ qua nhiều giải pháp sandbox, bao gồm Joe Sandbox, CAPEv2, Hatching Triage và Any.Run, chỉ bằng kỹ thuật tương đối đơn giản này.
Cấu trúc và Biến thể của NightshadeC2 botnet
NightshadeC2 botnet hoạt động thông qua cả hai biến thể dựa trên C và Python, mỗi biến thể giao tiếp với các framework Command and Control (C2) chưa xác định.
Biến thể C-based
Biến thể C chủ yếu sử dụng các cổng TCP 7777, 33336, 33337 và 443. Nó cung cấp chức năng toàn diện, bao gồm khả năng reverse shell thông qua Command Prompt và PowerShell, tải xuống/thực thi DLL và file thực thi, cơ chế tự xóa, các tính năng điều khiển từ xa, chụp màn hình, triển khai trình duyệt web ẩn và keylogging mở rộng với việc thu thập nội dung clipboard.
C2 phản hồi bằng passphrase được mã hóa RC4 để xác nhận khóa chính xác, sau đó client gửi thông tin dấu vân tay của thiết bị nạn nhân. Ngoài ra, một số biến thể còn có khả năng đánh cắp thông tin đăng nhập nhắm mục tiêu vào các trình duyệt dựa trên Gecko và Chromium.
Biến thể Python-based
Biến thể Python, mà các nhà nghiên cứu tin rằng có thể đã được chuyển đổi bằng cách sử dụng các Mô hình Ngôn ngữ Lớn (LLMs), có chức năng giảm bớt. Nó giới hạn ở các hoạt động tự xóa, tải xuống/thực thi và khả năng reverse shell. Cách tiếp cận tinh gọn này có khả năng đóng vai trò là cơ chế né tránh, vì phân tích VirusTotal cho thấy ít nhà cung cấp bảo mật phát hiện thành công các biến thể dựa trên Python hơn.
Phương thức Lây nhiễm và Xâm nhập Ban đầu
NightshadeC2 botnet chủ yếu lây lan thông qua hai vector riêng biệt.
Tấn công Social Engineering (ClickFix)
Phương pháp đầu tiên sử dụng chiến thuật lừa đảo xã hội ClickFix, trình bày cho nạn nhân các trang xác minh CAPTCHA giả mạo theo chủ đề các dịch vụ hợp pháp như booking.com. Người dùng nhận được hướng dẫn để thực thi các lệnh độc hại thông qua Windows Run Prompt, khởi động chuỗi lây nhiễm.
Phần mềm Hợp pháp bị Trojan hóa
Phương pháp phân phối thứ hai liên quan đến các phiên bản phần mềm ứng dụng hợp pháp bị trojan hóa. Các nhà nghiên cứu TRU đã xác định các phiên bản bị xâm nhập của Advanced IP Scanner, Express VPN, HyperSecure VPN, CCleaner và tiện ích tìm kiếm Everything. Cách tiếp cận này khai thác sự tin tưởng của người dùng vào các thương hiệu phần mềm quen thuộc để đạt được sự xâm nhập hệ thống ban đầu.
Cơ chế Duy trì, Thăm dò và Thu thập Dữ liệu
Duy trì Quyền truy cập
Sau khi cài đặt thành công, NightshadeC2 botnet thiết lập khả năng duy trì thông qua nhiều cơ chế đăng ký Windows, bao gồm các mục nhập Winlogon, RunOnce và Active Setup.
Thu thập Thông tin Ban đầu
Phần mềm độc hại thực hiện trinh sát ban đầu bằng cách truy vấn ip-api.com để thu thập dữ liệu vị trí địa lý của nạn nhân và thông tin trạng thái VPN. Điều này có khả năng để tránh các môi trường nghiên cứu bảo mật và sandbox phân tích.
Thu thập Dữ liệu (Keylogging và Clipboard)
Khả năng keylogging và thu thập clipboard của botnet hoạt động thông qua các cửa sổ ẩn được tạo với các tên lớp cụ thể như “IsabellaWine”. Phần mềm độc hại đăng ký trình nghe định dạng clipboard và cài đặt các hook bàn phím cấp thấp để thu thập dữ liệu nhập của người dùng trên tất cả các ứng dụng.
Dữ liệu đã thu thập được lưu trữ trong các file nhật ký ẩn với các tên biến như “JohniiDepp” cho các quy trình có quyền cao và “LuchiiSvet” (tiếng Nga có nghĩa là “RaysLight”) cho các ngữ cảnh người dùng tiêu chuẩn.
Bộ Lệnh Điều khiển Mở rộng và Các Kỹ thuật Bỏ qua UAC Khác
Bộ Lệnh Điều khiển Mở rộng
NightshadeC2 botnet triển khai một bộ lệnh mở rộng hỗ trợ nhiều hoạt động độc hại khác nhau. Chúng bao gồm các cơ chế giữ kết nối (keep-alive), thiết lập reverse shell, khả năng tải lên/tải xuống tệp, di chuyển máy chủ C2, tự xóa, tạo màn hình nền ẩn, chức năng chụp màn hình và các tính năng điều khiển từ xa cho phép sao chép/dán và mô phỏng nhập liệu bàn phím/chuột.
Các Phương pháp Bỏ qua UAC Bổ sung
Ngoài **kỹ thuật UAC Prompt Bombing**, các nhà nghiên cứu TRU đã xác định thêm hai phương pháp bỏ qua UAC khác được sử dụng bởi các chiến dịch NightshadeC2.
- Phương pháp đầu tiên sử dụng một lỗ hổng năm 2019 khai thác hành vi máy chủ RPC triển khai các tính năng UAC.
- Kỹ thuật thứ hai, nhắm mục tiêu vào các hệ thống cũ hơn Windows 11, thao tác tác vụ theo lịch trình DiskCleanup thông qua sửa đổi registry và các quy trình LOLBin (Living Off The Land Binary) để leo thang đặc quyền mà không cần tương tác với người dùng.
Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)
Dựa trên nghiên cứu của eSentire, các chỉ số thỏa hiệp liên quan đến NightshadeC2 botnet bao gồm:
- Cổng TCP C2:
- Biến thể C-based: 7777, 33336, 33337, 443
- Biến thể Python-based: 80
- Tên lớp cửa sổ ẩn: IsabellaWine
- Tên file nhật ký ẩn: JohniiDepp (quy trình đặc quyền), LuchiiSvet (người dùng tiêu chuẩn)
- URL trinh sát: ip-api.com
- Các phần mềm hợp pháp bị trojan hóa: Advanced IP Scanner, Express VPN, HyperSecure VPN, CCleaner, Everything search utility
Biện pháp Phát hiện và Phòng ngừa
eSentire đã phát triển các quy tắc YARA toàn diện để phát hiện cả biến thể C và Python của NightshadeC2 botnet. Để tăng cường **an ninh mạng**, công ty bảo mật này khuyến nghị các tổ chức thực hiện một số biện pháp phòng thủ.
- Vô hiệu hóa Windows Run prompt thông qua Group Policy Objects.
- Triển khai các giải pháp Antivirus thế hệ tiếp theo (Next-Generation Antivirus) với khả năng Endpoint Detection and Response (EDR).
- Thiết lập các chương trình đào tạo nhận thức về lừa đảo (Phishing) và bảo mật toàn diện.
Sự phát hiện của NightshadeC2 botnet nhấn mạnh sự tinh vi ngày càng tăng của các chiến dịch phần mềm độc hại hiện đại và tầm quan trọng của các phương pháp bảo mật đa lớp. Các tổ chức phải luôn cảnh giác trước các chiến thuật lừa đảo xã hội, đồng thời duy trì bảo vệ điểm cuối mạnh mẽ và các chương trình giáo dục người dùng để chống lại các mối đe dọa dai dẳng tiên tiến này. Bạn có thể tìm hiểu thêm chi tiết về nghiên cứu này tại blog của eSentire.
