-
09/04/2020
-
110
-
1.005 bài viết
Chiến dịch Storm-2603: Mã độc vượt diệt virus, đánh úp hệ thống bằng ransomware kép
Storm-2603, một nhóm APT được cho là có liên hệ với Trung Quốc, đang triển khai chiến dịch tấn công tinh vi sử dụng kỹ thuật BYOVD (Bring Your Own Vulnerable Driver) để vô hiệu hóa phần mềm bảo mật, cấy mã độc đa tầng và mã hóa dữ liệu bằng nhiều chủng ransomware cùng lúc. Chiến dịch này được đánh giá có thể gây ảnh hưởng đến các tổ chức tại Việt Nam.
Nhóm lần đầu được ghi nhận khi Microsoft điều tra các vụ tấn công vào hệ thống SharePoint, trong đó kẻ tấn công sử dụng công cụ ToolShell để duy trì quyền kiểm soát. Từ đầu năm 2025, Storm-2603 đã mở rộng phạm vi hoạt động sang Mỹ Latinh và khu vực châu Á - Thái Bình Dương, cho thấy chiến dịch đang được triển khai trên quy mô toàn cầu với mức độ tổ chức cao.
Tại Việt Nam, nguy cơ bị ảnh hưởng là đáng kể khi nhiều cơ quan và doanh nghiệp vẫn sử dụng hệ thống SharePoint on-premises chưa được vá đầy đủ. Đặc biệt, việc nhóm này sử dụng kỹ thuật vô hiệu hóa các lớp bảo vệ đầu cuối có thể khiến các tổ chức dễ trở thành mục tiêu của gián điệp mạng hoặc tấn công tống tiền.
Vũ khí chính trong chiến dịch của Storm-2603 là “Antivirus Terminator” - một công cụ khai thác kỹ thuật BYOVD (Bring Your Own Vulnerable Driver), cho phép kẻ tấn công tải và kích hoạt driver chứa lỗ hổng để thực thi mã ở cấp kernel, từ đó vô hiệu hóa phần mềm diệt virus và thiết lập quyền kiểm soát hệ thống.
Nhóm đã khai thác một driver hợp pháp, có chữ ký số, ban đầu thuộc bộ công cụ “System In-Depth Analysis Toolkit” của công ty Antiy Labs (Trung Quốc), đổi tên thành “ServiceMouse.sys”. Driver này được cài đặt vào máy nạn nhân dưới dạng dịch vụ Windows mang tên “ServiceMouse”, cho phép hacker giao tiếp trực tiếp với nhân hệ điều hành (kernel) và qua các mã điều khiển (IOCTL):
Để duy trì kiểm soát hệ thống sau khi xâm nhập, Storm-2603 sử dụng một hệ thống điều khiển và giám sát (C2) tự phát triển có tên ak47c2, gồm hai biến thể:
Một điểm bất thường trong chiến dịch của Storm-2603 là việc triển khai đồng thời nhiều biến thể ransomware, bao gồm:
Ngoài các công cụ tùy chỉnh, Storm-2603 còn tích hợp nhiều phần mềm mã nguồn mở thông dụng như:
Chiến dịch của Storm-2603 cho thấy một bước tiến đáng báo động trong chiến thuật tấn công mạng hiện đại: Từ việc lợi dụng driver có chữ ký hợp pháp, điều khiển hệ thống từ xa qua nhiều tầng mã hóa, đến việc triển khai mã độc tống tiền đa lớp.
Vì vậy, các chuyên gia WhiteHat cảnh báo đến người dùng, nhất là với các tổ chức, doanh nghiệp và cơ quan nhà nước, cần ngay lập tức đánh giá lại các biện pháp bảo vệ hệ thống, nâng cao khả năng xác thực driver, giám sát hành vi bất thường và cập nhật các giải pháp phòng chống tiên tiến để đối phó hiệu quả với các chiến thuật tấn công tinh vi này, cụ thể:
Nhóm lần đầu được ghi nhận khi Microsoft điều tra các vụ tấn công vào hệ thống SharePoint, trong đó kẻ tấn công sử dụng công cụ ToolShell để duy trì quyền kiểm soát. Từ đầu năm 2025, Storm-2603 đã mở rộng phạm vi hoạt động sang Mỹ Latinh và khu vực châu Á - Thái Bình Dương, cho thấy chiến dịch đang được triển khai trên quy mô toàn cầu với mức độ tổ chức cao.
Tại Việt Nam, nguy cơ bị ảnh hưởng là đáng kể khi nhiều cơ quan và doanh nghiệp vẫn sử dụng hệ thống SharePoint on-premises chưa được vá đầy đủ. Đặc biệt, việc nhóm này sử dụng kỹ thuật vô hiệu hóa các lớp bảo vệ đầu cuối có thể khiến các tổ chức dễ trở thành mục tiêu của gián điệp mạng hoặc tấn công tống tiền.
Vũ khí chính trong chiến dịch của Storm-2603 là “Antivirus Terminator” - một công cụ khai thác kỹ thuật BYOVD (Bring Your Own Vulnerable Driver), cho phép kẻ tấn công tải và kích hoạt driver chứa lỗ hổng để thực thi mã ở cấp kernel, từ đó vô hiệu hóa phần mềm diệt virus và thiết lập quyền kiểm soát hệ thống.
Nhóm đã khai thác một driver hợp pháp, có chữ ký số, ban đầu thuộc bộ công cụ “System In-Depth Analysis Toolkit” của công ty Antiy Labs (Trung Quốc), đổi tên thành “ServiceMouse.sys”. Driver này được cài đặt vào máy nạn nhân dưới dạng dịch vụ Windows mang tên “ServiceMouse”, cho phép hacker giao tiếp trực tiếp với nhân hệ điều hành (kernel) và qua các mã điều khiển (IOCTL):
- 0x99000050: Dùng để kết thúc tiến trình phần mềm diệt virus
- 0x990000D0 và 0x990001D0: Dùng để xóa file và gỡ cài đặt driver
Để duy trì kiểm soát hệ thống sau khi xâm nhập, Storm-2603 sử dụng một hệ thống điều khiển và giám sát (C2) tự phát triển có tên ak47c2, gồm hai biến thể:
- ak47dns: Giao tiếp qua các truy vấn DNS TXT được mã hóa và phân mảnh, ẩn mình trong các truy vấn tới các tên miền giả mạo như update.updatemicfosoft[.]com
- ak47http: Giao tiếp qua các yêu cầu HTTP POST với dữ liệu được mã hóa
Một điểm bất thường trong chiến dịch của Storm-2603 là việc triển khai đồng thời nhiều biến thể ransomware, bao gồm:
- LockBit Black (một trong những ransomware nguy hiểm và phổ biến nhất thế giới)
- Warlock/x2anylock
Ngoài các công cụ tùy chỉnh, Storm-2603 còn tích hợp nhiều phần mềm mã nguồn mở thông dụng như:
- masscan: quét mạng
- PsExec: điều khiển từ xa nội bộ
- nxc: khai thác lỗ hổng
Chiến dịch của Storm-2603 cho thấy một bước tiến đáng báo động trong chiến thuật tấn công mạng hiện đại: Từ việc lợi dụng driver có chữ ký hợp pháp, điều khiển hệ thống từ xa qua nhiều tầng mã hóa, đến việc triển khai mã độc tống tiền đa lớp.
Vì vậy, các chuyên gia WhiteHat cảnh báo đến người dùng, nhất là với các tổ chức, doanh nghiệp và cơ quan nhà nước, cần ngay lập tức đánh giá lại các biện pháp bảo vệ hệ thống, nâng cao khả năng xác thực driver, giám sát hành vi bất thường và cập nhật các giải pháp phòng chống tiên tiến để đối phó hiệu quả với các chiến thuật tấn công tinh vi này, cụ thể:
- Tăng cường kiểm tra và xác minh driver đang chạy trong hệ thống, kể cả khi có chữ ký số
- Giám sát hành vi bất thường ở cấp độ kernel, không chỉ dừng ở quá trình và dịch vụ
- Chặn các tên miền độc hại đã phát hiện:
- updatemicfosoft[.]com
- microsfot[.]org
- Tăng cường giám sát DNS và HTTP POST có mã hóa hoặc cấu trúc bất thường
- Huấn luyện người dùng nội bộ về kỹ thuật tấn công mới, tránh bị lừa mở file độc hại
WhiteHat