-
09/04/2020
-
110
-
1.053 bài viết
Chiến dịch PipeMagic Storm-2460 khai thác Help Index Files lây lan mã độc và chiếm quyền
Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch tấn công tinh vi mới, trong đó nhóm tin tặc Storm-2460 đã tìm ra cách biến tập tin Microsoft Help Index (.mshi) - vốn chỉ dùng để hỗ trợ người dùng tra cứu tài liệu, thành công cụ lây lan phần mềm độc hại. Mục tiêu cuối cùng của chiến dịch là phát tán PipeMagic backdoor bằng cách khai thác lỗ hổng CVE-2025-29824 trong hệ điều hành Windows, rồi triển khai mã độc tống tiền.
Chiến dịch PipeMagic của Storm-2460 dùng Microsoft Help Index Files (.mshi) làm loader để triển khai backdoor, khai thác CVE-2025-29824 (CLFS) nhằm nâng cao đặc quyền và triển khai ransomware. Mẫu độc hại "metafile.mshi" chứa mã C# mã hóashellcode bằng RC4 và được thực thi qua MSBuild, sau đó shellcode giải mã và chạy bằng WinAPI.
Khai thác CVE-2025-29824 cho phép cấp quyền và đẩy payload vào các tiến trình hệ thống, sử dụng công cụ procdump để lấy LSASS và trích xuất credentials, kết thúc bằng mã hóa dữ liệu và thông báo ransomware với các tập tin mở rộng ngẫu nhiên và thư mục đòi tiền. Hoạt động có liên kết với gia đình ransomware RansomEXX và nhắm tới các tổ chức ở Saudi Arabia và Brazil, đồng thời mở rộng phương thức phân phối và biện pháp né detection. Các chỉ số đáng chú ý gồm domain và hash liên quan (metafile.mshi, chatgpt.exe, googleupdate.dll, v.v.).
PipeMagic là chiến dịch backdoor nguy hiểm với kỹ thuật tinh vi, có khả năng gây ảnh hưởng nghiêm trọng tới tổ chức sử dụng Windows, trong đó có Việt Nam dù chưa ghi nhận nạn nhân cụ thể.
Chiến dịch được Microsoft và các hãng bảo mật truy vết về nhóm Storm-2460. Lần này, nhóm đã nâng cấp PipeMagic với cách thức phát tán hoàn toàn mới. Người dùng hoặc quản trị viên có thể vô tình mở file trợ giúp bị cài bẫy. Còn tin tặc thì ngày càng khai thác tinh vi hơn bằng các công cụ hợp pháp của Windows (MSBuild, procdump, API Winlogon), khiến việc phát hiện khó khăn. Lỗ hổng CLFS cũng là một trong những thành phần cốt lõi của Windows, nên mức độ nguy hiểm càng cao.
Thay vì dùng email lừa đảo hay các tệp thực thi thông thường, Storm-2460 đã lợi dụng tập tin trợ giúp ".mshi". Đây là một phương thức rất khó đoán, bởi các file trợ giúp vốn ít khi bị nghi ngờ và thường được người dùng Windows tin tưởng.
Vậy, Cách tấn công được thực hiện ra sao?
Chiến dịch PipeMagic của Storm-2460 dùng Microsoft Help Index Files (.mshi) làm loader để triển khai backdoor, khai thác CVE-2025-29824 (CLFS) nhằm nâng cao đặc quyền và triển khai ransomware. Mẫu độc hại "metafile.mshi" chứa mã C# mã hóashellcode bằng RC4 và được thực thi qua MSBuild, sau đó shellcode giải mã và chạy bằng WinAPI.
Khai thác CVE-2025-29824 cho phép cấp quyền và đẩy payload vào các tiến trình hệ thống, sử dụng công cụ procdump để lấy LSASS và trích xuất credentials, kết thúc bằng mã hóa dữ liệu và thông báo ransomware với các tập tin mở rộng ngẫu nhiên và thư mục đòi tiền. Hoạt động có liên kết với gia đình ransomware RansomEXX và nhắm tới các tổ chức ở Saudi Arabia và Brazil, đồng thời mở rộng phương thức phân phối và biện pháp né detection. Các chỉ số đáng chú ý gồm domain và hash liên quan (metafile.mshi, chatgpt.exe, googleupdate.dll, v.v.).
PipeMagic là chiến dịch backdoor nguy hiểm với kỹ thuật tinh vi, có khả năng gây ảnh hưởng nghiêm trọng tới tổ chức sử dụng Windows, trong đó có Việt Nam dù chưa ghi nhận nạn nhân cụ thể.
Chiến dịch được Microsoft và các hãng bảo mật truy vết về nhóm Storm-2460. Lần này, nhóm đã nâng cấp PipeMagic với cách thức phát tán hoàn toàn mới. Người dùng hoặc quản trị viên có thể vô tình mở file trợ giúp bị cài bẫy. Còn tin tặc thì ngày càng khai thác tinh vi hơn bằng các công cụ hợp pháp của Windows (MSBuild, procdump, API Winlogon), khiến việc phát hiện khó khăn. Lỗ hổng CLFS cũng là một trong những thành phần cốt lõi của Windows, nên mức độ nguy hiểm càng cao.
Thay vì dùng email lừa đảo hay các tệp thực thi thông thường, Storm-2460 đã lợi dụng tập tin trợ giúp ".mshi". Đây là một phương thức rất khó đoán, bởi các file trợ giúp vốn ít khi bị nghi ngờ và thường được người dùng Windows tin tưởng.
Vậy, Cách tấn công được thực hiện ra sao?
- Tập tin độc hại khởi đầu: Tin tặc tạo ra một file có tên "metafile.mshi" chứa mã C# bị làm rối và một chuỗi dữ liệu dài ở dạng hexa.
- Thực thi qua MSBuild: File này khi chạy sẽ gọi tiện ích MSBuild - công cụ chính thống của Microsoft dùng để biên dịch code để kích hoạt payload.
- Giải mã và chạy shellcode: Mã C# bên trong có nhiệm vụ giải mã shellcode bị mã hóa bằng thuật toán RC4, sau đó chạy shellcode này thông qua hàm API Windows.
- Khai thác lỗ hổng CVE-2025-29824: Shellcode tiếp tục khai thác lỗ hổng đặc biệt nghiêm trọng trong Windows Common Log File System (CLFS), cho phép tin tặc leo thang đặc quyền (từ người dùng thường lên quyền quản trị hệ thống).
- Trong quá trình khai thác, tin tặc tạo ra tập tin BLF đáng ngờ tại "C:\ProgramData\SkyPDF\PDUDrv.blf".
- Chiếm quyền và triển khai ransomware: Sau khi có toàn quyền hệ thống, mã độc:
- Tiêm payload vào tiến trình nhạy cảm như "winlogon.exe".
- Dùng công cụ hợp pháp "procdump.exe" để lấy cắp mật khẩu từ bộ nhớ LSASS.
- Cuối cùng triển khai ransomware, mã hóa dữ liệu, đổi tên file sang phần mở rộng ngẫu nhiên và thả ghi chú tống tiền "!READ_ME_REXX2!.txt".
- Độ nguy hiểm: Rất cao, vì đây là sự kết hợp giữa kỹ thuật phát tán mới lạ và việc khai thác zero-day nguy hiểm. Một khi tệp .mshi được mở, toàn bộ hệ thống Windows có thể bị chiếm quyền.
- Đối tượng bị tấn công: Nhiều lĩnh vực như CNTT, tài chính, bất động sản, bán lẻ. Các nghiên cứu cho thấy mục tiêu trải rộng ở nhiều khu vực, đặc biệt tại Saudi Arabia, Brazil và không loại trừ khả năng lan rộng toàn cầu.
- Liên kết ransomware: Có dấu hiệu kết nối tới RansomEXX, một họ ransomware khét tiếng, thông qua các tên miền ".onion" trong ghi chú tống tiền.
- Cập nhật bản vá ngay: Microsoft đã phát hành bản vá cho CVE-2025-29824 vào tháng 4/2025. Người dùng và doanh nghiệp cần cập nhật Windows khẩn cấp.
- Thận trọng với tệp ".mshi": Đây không phải là định dạng thường xuyên phải mở, nên nếu gặp file lạ dạng ".mshi" thì tuyệt đối không được chạy.
- Giám sát hành vi: Các công cụ bảo mật cần theo dõi việc gọi MSBuild bất thường hoặc sự xuất hiện của file "PDUDrv.blf".
- Sao lưu dữ liệu: Duy trì bản sao lưu định kỳ để giảm thiểu rủi ro bị gián đoạn hoạt động khi ransomware tấn công.
- Đào tạo nhận thức: Cảnh báo nhân viên về nguy cơ file “trợ giúp giả mạo”, vốn có thể được phát tán qua email hoặc tải từ Internet.
WhiteHat