Một biến thể mã độc GhostSocks mới đã lan truyền âm thầm qua các hệ thống bị xâm nhập, biến thiết bị gia đình và văn phòng thành các proxy dân cư (residential proxies). Các tác nhân đe dọa sử dụng những proxy này để che giấu lưu lượng độc hại của chúng.
Không giống như các mã độc truyền thống chỉ đánh cắp dữ liệu hoặc khóa tệp, GhostSocks chiếm quyền kết nối internet của nạn nhân. Điều này khiến lưu lượng của kẻ tấn công xuất hiện như thể nó đến từ một người dùng thông thường.
Điều này làm cho các công cụ bảo mật gặp khó khăn hơn nhiều trong việc gắn cờ hoạt động này là đáng ngờ, mang lại lợi thế rõ ràng cho kẻ tấn công.
Tổng Quan về Mã Độc GhostSocks
Mã độc GhostSocks lần đầu tiên được quảng cáo trên diễn đàn ngầm xss[.]is, một diễn đàn tội phạm mạng nổi tiếng. Nó được cung cấp dưới dạng Malware-as-a-Service (MaaS), cho phép bất kỳ tội phạm nào trả tiền đều có thể thuê quyền truy cập mà không cần tự xây dựng.
Được viết bằng GoLang, GhostSocks sử dụng giao thức SOCKS5 proxy để tạo kênh liên lạc bí mật trên các thiết bị bị lây nhiễm. Kiến trúc Command-and-Control (C2) dựa trên relay đặt một máy chủ trung gian giữa cơ sở hạ tầng C2 thực của kẻ tấn công và máy bị xâm nhập.
Mối Đe Dọa Mạng: Sự Phổ Biến và Các Liên Kết
Đến năm 2024, GhostSocks công bố quan hệ đối tác với Lumma Stealer, một mã độc đánh cắp thông tin được sử dụng rộng rãi. Kể từ đó, sự chấp nhận và lây lan của nó đã tăng mạnh trên toàn cảnh mối đe dọa mạng.
Các nhà phân tích của Darktrace đã xác định sự gia tăng đều đặn trong hoạt động của GhostSocks trên cơ sở khách hàng của họ từ cuối năm 2025. Nhiều sự cố đã được ghi lại chi tiết, khẳng định mức độ nghiêm trọng của mối đe dọa này. Tham khảo thêm tại Darktrace Blog về GhostSocks.
Liên Kết với Lumma Stealer và Black Basta
Trong một trường hợp đáng chú ý vào tháng 12 năm 2025, Darktrace đã phát hiện GhostSocks hoạt động cùng với Lumma Stealer trong mạng lưới của một khách hàng thuộc lĩnh vực giáo dục. Điều này xác nhận rằng quan hệ đối tác giữa hai họ mã độc này vẫn đang hoạt động, bất chấp những nỗ lực gần đây nhằm phá vỡ cơ sở hạ tầng của Lumma.
Nhóm ransomware Black Basta được cho là đã sử dụng GhostSocks để duy trì quyền truy cập bí mật, dài hạn vào mạng lưới nạn nhân. Điều này biến nó thành một công cụ cho phép truy cập đầy đủ, không chỉ là một công cụ proxy đơn thuần.
Khả Năng Kỹ Thuật và Cơ Chế Né Tránh của GhostSocks
Mã độc GhostSocks đặc biệt nguy hiểm vì nó phục vụ nhiều mục đích tội phạm cùng một lúc. Ngoài việc định tuyến lưu lượng của kẻ tấn công thông qua các kết nối dân cư, nó còn bao gồm một thành phần backdoor.
Thành phần này cho phép các nhà điều hành thực thi các lệnh tùy ý và triển khai thêm các tải trọng độc hại trên các hệ thống bị lây nhiễm.
GhostSocks được xây dựng với tính năng né tránh là một đặc điểm thiết kế cốt lõi. Mã độc này bao bọc các đường hầm SOCKS5 của nó bằng mã hóa Transport Layer Security (TLS).
Điều này cho phép lưu lượng của nó hòa lẫn vào các giao tiếp mạng được mã hóa thông thường, khiến các công cụ dựa trên chữ ký khó có thể xác định nó chỉ thông qua các mẫu lưu lượng.
Cơ Chế Duy Trì Quyền Truy Cập (Persistence)
Các phiên bản GhostSocks sau này đạt được khả năng duy trì quyền truy cập thông qua các khóa Windows registry run keys. Điều này đảm bảo rằng proxy vẫn hoạt động ngay cả sau khi hệ thống khởi động lại, một khả năng không có trong các biến thể trước đó, phản ánh sự phát triển liên tục và chủ động của mã độc này.
Chỉ Số Thỏa Hiệp (IOCs) và Phương Pháp Phát Hiện Xâm Nhập
Trong sự cố tháng 12 năm 2025, dấu hiệu cảnh báo đầu tiên xuất hiện khi một thiết bị bắt đầu kết nối với một điểm cuối sử dụng chứng chỉ SSL tự ký đáng ngờ chưa từng thấy trên mạng đó trước đây.
Điểm cuối retreaw[.]click (159.89.46[.]92) đã bị nhiều nguồn thông tin tình báo mã nguồn mở (OSINT) gắn cờ là một phần của cơ sở hạ tầng C2 của Lumma Stealer.
Trong vòng hai phút, cùng một thiết bị đã tải xuống một tệp thực thi có tên “Renewable.exe” từ IP 86.54.24[.]29. Tệp này đã được nhiều nhà cung cấp OSINT xác nhận là một tải trọng liên quan đến GhostSocks.
Hai ngày sau, các tải trọng bổ sung bao gồm “Setup.exe” và “/vp6c63yoz.exe” đã được tải xuống từ www.lbfs[.]site. Sau đó là tín hiệu C2 tới nhiều điểm cuối bên ngoài hiếm gặp.
Các Chỉ Số Thỏa Hiệp (IOCs)
- Tên miền / IP:
retreaw[.]click159.89.46[.]9286.54.24[.]29www.lbfs[.]site
- Tên tệp thực thi:
Renewable.exeSetup.exe/vp6c63yoz.exe
- Dấu hiệu khác:
- Sử dụng chứng chỉ SSL tự ký đáng ngờ.
- Kết nối tới các điểm cuối bên ngoài hiếm gặp.
Biện Pháp Phòng Ngừa và Cải Thiện An Ninh Mạng
Các nhóm bảo mật nên theo dõi chặt chẽ các kết nối đến các điểm cuối bên ngoài hiếm gặp sử dụng chứng chỉ SSL tự ký. Đây là dấu hiệu cảnh báo đầu tiên có thể phát hiện được trong các trường hợp đã ghi nhận.
Việc kích hoạt khả năng phản ứng tự động được khuyến nghị mạnh mẽ. Chế độ xác nhận thủ công đã làm chậm quá trình ngăn chặn trong các cuộc tấn công được báo cáo, cản trở việc phát hiện xâm nhập kịp thời.
Duy trì các chỉ số thỏa hiệp (IOCs) hiện tại, bao gồm SHA1 file hashes và các tên máy chủ như retreaw[.]click, www.lbfs[.]site và 86.54.24[.]29 là rất quan trọng. Song song đó, việc thực thi các kiểm soát lưu lượng đi ra nghiêm ngặt có thể hạn chế khả năng của mã độc GhostSocks trong việc thiết lập giao tiếp C2 bền vững.
