Monero (XMR), một loại tiền điện tử tập trung vào quyền riêng tư, đã chứng kiến sự tăng trưởng ấn tượng vào đầu năm 2025, tăng 45% từ $196 lên $285 vào tháng 5, với đỉnh điểm đáng chú ý vào tháng 4. Sự tăng vọt này trùng hợp với một vụ trộm Bitcoin gây chú ý tại Hoa Kỳ, nơi tài sản bị đánh cắp được cho là đã chuyển đổi thành Monero bởi một cá nhân duy nhất, thu hút sự chú ý đến đồng tiền kỹ thuật số ẩn danh này.
Trong bối cảnh tăng trưởng tài chính, công cụ đào Monero hợp pháp XMRig đã nhận được các bản cập nhật tối ưu hóa đáng kể vào tháng 4. Những cải tiến này không chỉ thu hút người dùng hợp pháp mà còn tiềm ẩn nguy cơ hấp dẫn các tác nhân đe dọa khai thác khả năng của nó. Tuy nhiên, một làn sóng biến thể XMRig độc hại mới đã xuất hiện, thể hiện các chuỗi tấn công tinh vi và nhắm mục tiêu đến nhiều quốc gia hơn, bao gồm Nga, Bỉ, Hy Lạp và Trung Quốc, khác với các phiên bản năm 2023 chủ yếu ảnh hưởng đến Nga, Azerbaijan và Uzbekistan.
Sự Trỗi Dậy Của Các Biến Thể XMRig Độc Hại
Sự phát triển của mối đe dọa XMRig này tận dụng một cách tiếp cận đa giai đoạn, áp dụng các kỹ thuật Living Off the Land Binaries and Scripts (LOLBAS) để thực thi payload, né tránh phát hiện và thiết lập quyền duy trì truy cập bằng cách sử dụng các công cụ Windows có sẵn như PowerShell.
Chiến dịch mã độc XMRig mới nhất bắt đầu với một vector lây nhiễm ban đầu chưa xác định. Tuy nhiên, hành vi độc hại của nó được kích hoạt khi tiến trình svchost.exe tạo một tiến trình cmd để thực thi một file batch, được gọi là 1.cmd. Theo báo cáo, script này kiểm tra sự tồn tại của một file đánh dấu (check.txt) trong thư mục %APPDATA%\Temp để tránh việc tái lây nhiễm. Sau đó, nó sửa đổi các cài đặt registry của Windows Defender để loại trừ đường dẫn C:\ khỏi quá trình quét, nhằm vô hiệu hóa khả năng phát hiện của Defender đối với các thành phần mã độc.
Tiếp theo, 1.cmd tải về một script thứ hai, S2.bat, từ miền đáng ngờ notif[.]su. Miền này là một trang web mới được đăng ký với tỷ lệ phát hiện bởi các công cụ chống virus tối thiểu tại thời điểm khám phá ban đầu. Script S2.bat được thực thi ẩn đối với người dùng thông qua PowerShell.
Phân Tích Chuỗi Tấn Công Và Kỹ Thuật Đã Sử Dụng
Giai Đoạn Khởi Tạo và Vô Hiệu Hóa Bảo Mật
File S2.bat tiếp tục củng cố quyền kiểm soát bằng cách vô hiệu hóa các dịch vụ Windows quan trọng và các tác vụ theo lịch trình liên quan đến cập nhật để ngăn chặn các bản vá hệ thống có thể gỡ bỏ mã độc. Các dịch vụ bị vô hiệu hóa bao gồm:
- Wuauserv (Windows Update Service)
- BITS (Background Intelligent Transfer Service)
- TrustedInstaller
Việc vô hiệu hóa các dịch vụ này đảm bảo hệ thống không thể tự động cập nhật, qua đó duy trì môi trường thuận lợi cho mã độc hoạt động mà không bị gián đoạn bởi các bản vá bảo mật.
Thiết Lập Duy Trì Quyền Truy Cập và Khai Thác
Sau khi vô hiệu hóa các biện pháp bảo mật, S2.bat tiến hành tải về một công cụ đào XMRig độc hại (miner.exe) từ cùng miền notif[.]su. Công cụ đào này tự cài đặt với các cơ chế duy trì quyền truy cập vĩnh viễn, bao gồm việc thêm một mục nhập vào registry tại đường dẫn HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DJKONTAH. Mục nhập này đảm bảo rằng mã độc sẽ tự động chạy mỗi khi người dùng đăng nhập vào hệ thống.
Đáng chú ý, miner.exe còn thả một driver WinRing0 hợp pháp. Driver này thường được sử dụng để tương tác với phần cứng cấp thấp và có thể được lạm dụng để leo thang đặc quyền (privilege escalation), cho phép mã độc thực hiện các hành động yêu cầu quyền cao hơn trên hệ thống. Kỹ thuật này giúp mã độc hoạt động hiệu quả hơn và khó bị gỡ bỏ hơn.
IOCs (Indicators of Compromise) Liên Quan
Các chỉ số tấn công sau đây có thể giúp phát hiện và ngăn chặn biến thể XMRig này:
- Miền liên lạc (C2 domain):
notif[.]su - Đường dẫn file đánh dấu:
%APPDATA%\Temp\check.txt - Entry registry duy trì quyền truy cập:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DJKONTAH - Tên file mã độc (ví dụ):
miner.exe,1.cmd,S2.bat - Tên driver bị thả:
WinRing0
Để kiểm tra các dịch vụ Windows đã bị vô hiệu hóa, người dùng có thể sử dụng các lệnh CLI sau trong Command Prompt (với quyền quản trị):
sc qc Wuauserv
sc qc BITS
sc qc TrustedInstaller
Nếu thấy START_TYPE là DISABLED, đó có thể là dấu hiệu dịch vụ đã bị vô hiệu hóa. Để kiểm tra sự tồn tại của mục nhập registry duy trì quyền truy cập, sử dụng:
reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v DJKONTAH
Nếu mục nhập tồn tại và trỏ đến một file khả nghi, đó là một IOC quan trọng.
Đánh Giá Về Tính Phức Tạp và Hiệu Quả
Điều đáng chú ý là các script được sử dụng trong chiến dịch này thiếu sự che giấu (obfuscation), với các bình luận rõ ràng bằng văn bản thường. Điều này gợi ý rằng chúng có thể được tạo ra bởi các mô hình ngôn ngữ lớn (LLMs) hoặc bởi những “script kiddies” thiếu kinh nghiệm. Tuy nhiên, chính sự đơn giản này đã chứng tỏ hiệu quả đáng ngạc nhiên với tỷ lệ phát hiện thấp trên các nền tảng như VirusTotal trong giai đoạn khám phá ban đầu.
Thông tin tình báo nguồn mở chỉ ra rằng miền notif[.]su đã bị gỡ bỏ vài tuần sau khi các bản cập nhật cho các file mã độc ngừng lại vào giữa tháng 4 năm 2025. Biến thể XMRig này là một ví dụ rõ ràng về việc ngay cả mã độc cơ bản với các hành vi không bị che giấu vẫn có thể vượt qua các biện pháp phòng thủ thông qua các chiến thuật LOLBAS, tận dụng chính các công cụ và tính năng của hệ điều hành để thực hiện mục đích độc hại.
Biện Pháp Phát Hiện và Phòng Ngừa
Các giải pháp bảo mật nâng cao như Extended Detection and Response (XDR) của G DATA có khả năng phát hiện các hoạt động đáng ngờ dựa trên phân tích hành vi, mang lại khả năng bảo vệ quan trọng. XDR vượt xa việc chỉ dựa vào chữ ký, thay vào đó tập trung vào các chuỗi hành vi bất thường của tiến trình, thay đổi hệ thống và lưu lượng mạng.
Người dùng và tổ chức nên duy trì cảnh giác cao độ đối với các dấu hiệu lây nhiễm. Các dấu hiệu này có thể bao gồm lưu lượng mạng đáng ngờ đến các miền như notif[.]su, sự xuất hiện của các file không mong muốn trong các thư mục hệ thống (ví dụ: %APPDATA%\Temp hoặc thư mục cài đặt của các ứng dụng hợp pháp), hoặc sự giảm sút đáng kể về hiệu suất hệ thống không rõ nguyên nhân (đặc biệt là đối với các hoạt động liên quan đến CPU hoặc GPU do việc đào tiền điện tử).
Việc thường xuyên kiểm tra các dịch vụ Windows, các tác vụ theo lịch trình và các mục nhập registry khởi động là rất quan trọng để phát hiện sớm các cơ chế duy trì quyền truy cập. Áp dụng chính sách bảo mật chặt chẽ, cập nhật hệ điều hành và phần mềm bảo mật định kỳ, cũng như đào tạo người dùng về các mối đe dọa lừa đảo (phishing) và kỹ thuật xã hội cũng là những biện pháp phòng ngừa thiết yếu.
