-
09/04/2020
-
141
-
1.922 bài viết
Cảnh báo mã độc Kong RAT ẩn trong bộ cài FinalShell và Xshell giả mạo
Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch phát tán mã độc quy mô lớn, tin tặc đã dựng hàng loạt website giả mạo các công cụ quản trị hệ thống phổ biến như FinalShell, Xshell, QuickQ VPN và Clash nhằm lừa nạn nhân tải về các bộ cài chứa mã độc điều khiển từ xa mang tên Kong RAT.
Điểm đáng chú ý là chiến dịch này không sử dụng email lừa đảo hay tập tin đính kèm độc hại như thông thường mà lợi dụng kỹ thuật SEO Poisoning để đưa các website giả mạo xuất hiện ở vị trí cao trên kết quả tìm kiếm, khiến người dùng dễ nhầm tưởng đây là các trang tải phần mềm chính thức.
Tin tặc dựng website giả mạo các công cụ quen thuộc của giới IT
Theo phân tích từ các nhà nghiên cứu bảo mật của eSentire, chiến dịch đã hoạt động liên tục từ khoảng tháng 5/2025 đến tháng 3/2026.
Kẻ tấn công tạo ra nhiều tên miền có giao diện gần như giống hệt website chính thức của các công cụ quản trị máy chủ và kết nối SSH phổ biến. Một số tên miền giả mạo được ghi nhận gồm:
Kẻ tấn công tạo ra nhiều tên miền có giao diện gần như giống hệt website chính thức của các công cụ quản trị máy chủ và kết nối SSH phổ biến. Một số tên miền giả mạo được ghi nhận gồm:
- finalshell-ssh.com
- xshell-cn.com
- quickq-cn.com
Các trang web này được thiết kế với logo, hình ảnh sản phẩm, hướng dẫn cài đặt và nút tải xuống giống bản thật nhằm tạo lòng tin cho người truy cập. Trong một trường hợp được ghi nhận, website giả mạo FinalShell hiển thị cả tùy chọn tải cho Windows và macOS. Tuy nhiên, dù người dùng lựa chọn hệ điều hành nào, hệ thống vẫn tải xuống cùng một tập tin cài đặt chứa mã độc dành cho Windows, cho thấy mục tiêu duy nhất của trang web là phát tán phần mềm độc hại thay vì cung cấp sản phẩm hợp pháp.
SEO Poisoning - khi kết quả tìm kiếm trở thành cái bẫy
Các chuyên gia cho biết chiến dịch tận dụng kỹ thuật SEO Poisoning, tức tối ưu hóa công cụ tìm kiếm theo hướng độc hại. Thay vì gửi liên kết lừa đảo trực tiếp, tin tặc cố gắng đưa website giả lên thứ hạng cao trên Google hoặc các công cụ tìm kiếm phổ biến. Khi người dùng tìm kiếm các từ khóa như "FinalShell download", "Xshell download" hoặc "QuickQ VPN", họ có thể vô tình truy cập vào các trang web giả mạo xuất hiện trong danh sách kết quả.
Do phần lớn người dùng có xu hướng tin tưởng các kết quả nằm ở vị trí đầu tiên nên khả năng bị lừa tải xuống phần mềm độc hại tăng lên đáng kể. Đây là xu hướng tấn công ngày càng phổ biến trong những năm gần đây khi tin tặc chuyển từ các chiến dịch email phishing truyền thống sang việc đầu độc kết quả tìm kiếm nhằm tiếp cận nhiều nạn nhân hơn.
Do phần lớn người dùng có xu hướng tin tưởng các kết quả nằm ở vị trí đầu tiên nên khả năng bị lừa tải xuống phần mềm độc hại tăng lên đáng kể. Đây là xu hướng tấn công ngày càng phổ biến trong những năm gần đây khi tin tặc chuyển từ các chiến dịch email phishing truyền thống sang việc đầu độc kết quả tìm kiếm nhằm tiếp cận nhiều nạn nhân hơn.
Kong RAT hoạt động như thế nào?
Sau khi người dùng tải và chạy bộ cài giả mạo, hệ thống sẽ âm thầm triển khai mã độc Kong RAT. Theo các nhà nghiên cứu, mã độc sử dụng công nghệ .NET 10 NativeAOT, cho phép biên dịch trực tiếp sang mã máy thay vì mã trung gian .NET thông thường. Điều này khiến quá trình phân tích và đảo ngược mã độc trở nên khó khăn hơn đối với các chuyên gia điều tra. Kong RAT không chỉ là một backdoor đơn giản mà là một nền tảng điều khiển từ xa hoàn chỉnh với nhiều chức năng nguy hiểm.
Sau khi xâm nhập thành công, mã độc có thể:
Sau khi xâm nhập thành công, mã độc có thể:
- Ghi lại thao tác bàn phím (keylogger)
- Thực thi lệnh từ xa trên máy nạn nhân
- Tải xuống và chạy tập tin độc hại khác
- Cài đặt thêm plugin mở rộng chức năng
- Khôi phục phiên kết nối bị gián đoạn
- Chuyển đổi máy chủ điều khiển (C2)
- Đánh cắp dữ liệu hệ thống
- Theo dõi hoạt động của người dùng
Mọi giao tiếp giữa máy nạn nhân và máy chủ điều khiển được thực hiện thông qua giao thức TCP tùy chỉnh sử dụng tiêu đề MPK1 và thuật toán nén LZ4 nhằm giảm khả năng bị phát hiện.
Thu thập thông tin người dùng và môi trường làm việc
Ngoài khả năng điều khiển từ xa, Kong RAT còn thực hiện quá trình trinh sát rất kỹ lưỡng trước khi triển khai các hoạt động tiếp theo. Mã độc sử dụng Windows Management Instrumentation (WMI) để kiểm tra sự hiện diện của các phần mềm bảo mật trên thiết bị. Điều này giúp tin tặc đánh giá môi trường mục tiêu và lựa chọn phương thức tấn công phù hợp.
Bên cạnh đó, Kong RAT còn thu thập thông tin về các ứng dụng liên lạc phổ biến đang được cài đặt trên máy như:
Bên cạnh đó, Kong RAT còn thu thập thông tin về các ứng dụng liên lạc phổ biến đang được cài đặt trên máy như:
- WeChat
- QQ
- WeCom
- Telegram
- WhatsApp
Các dữ liệu này có thể được sử dụng để phục vụ hoạt động gián điệp, đánh cắp thông tin hoặc chuẩn bị cho các cuộc tấn công tiếp theo. Đáng chú ý hơn, mã độc còn lợi dụng một dịch vụ CDN hợp pháp của LeTV để xác định địa chỉ IP công cộng và vị trí địa lý của nạn nhân mà không cần truy cập trực tiếp vào hạ tầng do tin tặc vận hành.
Hạ tầng điều khiển đặt tại Hồng Kông
Phân tích lưu lượng mạng cho thấy phần lớn hoạt động điều khiển của chiến dịch được định tuyến thông qua hạ tầng đám mây Alibaba Cloud tại khu vực Hồng Kông. Máy chủ điều khiển và nhận dữ liệu từ nạn nhân cũng được xác định đang sử dụng địa chỉ IP thuộc khu vực này.
Điều này cho thấy chiến dịch được xây dựng có chủ đích, duy trì ổn định trong thời gian dài và tập trung vào nhóm đối tượng sử dụng tiếng Trung hoặc hoạt động trong khu vực châu Á.
Điều này cho thấy chiến dịch được xây dựng có chủ đích, duy trì ổn định trong thời gian dài và tập trung vào nhóm đối tượng sử dụng tiếng Trung hoặc hoạt động trong khu vực châu Á.
Vì sao chiến dịch này đặc biệt nguy hiểm?
Khác với nhiều chiến dịch lừa đảo truyền thống, cuộc tấn công lần này không khai thác lỗ hổng phần mềm hay yêu cầu người dùng mở tệp đính kèm đáng ngờ. Nó nhắm vào một hành động hoàn toàn bình thường: tải về các công cụ quản trị hệ thống quen thuộc.
Đối tượng bị nhắm tới chủ yếu là:
Đối tượng bị nhắm tới chủ yếu là:
- Quản trị viên hệ thống
- Kỹ sư DevOps
- Lập trình viên
- Nhân viên CNTT
- Người dùng thường xuyên quản lý máy chủ từ xa
Đây đều là những nhóm người thường sở hữu tài khoản đặc quyền cao, thông tin truy cập máy chủ hoặc dữ liệu quan trọng của doanh nghiệp. Nếu thiết bị của họ bị nhiễm mã độc, hậu quả có thể không chỉ dừng lại ở một máy tính cá nhân mà còn lan rộng sang toàn bộ hệ thống tổ chức.
Dấu hiệu nhận biết và cảnh báo xâm nhập
Các chuyên gia khuyến nghị theo dõi các tên miền liên quan đến chiến dịch:
- finalshell-ssh.com
- xshell-cn.com
- quickq-cn.com
Nếu phát hiện thiết bị từng truy cập hoặc tải phần mềm từ các địa chỉ này, cần tiến hành kiểm tra toàn diện hệ thống để xác định dấu hiệu nhiễm mã độc.
Người dùng và doanh nghiệp cần làm gì?
Để giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch tương tự, các chuyên gia an ninh mạng khuyến nghị:
- Chỉ tải phần mềm từ website chính thức của nhà phát triển.
- Kiểm tra kỹ tên miền trước khi tải xuống hoặc cài đặt.
- Không tin tưởng tuyệt đối vào thứ hạng tìm kiếm trên Google hoặc các công cụ tìm kiếm khác.
- Xác minh chữ ký số của tập tin cài đặt trước khi thực thi.
- Sử dụng giải pháp bảo mật có khả năng phát hiện phần mềm độc hại nâng cao.
- Giám sát lưu lượng mạng bất thường từ các máy trạm quản trị.
- Triển khai cơ chế quản lý quyền truy cập tối thiểu cho các tài khoản kỹ thuật.
- Thường xuyên rà soát các thiết bị quản trị hệ thống để phát hiện dấu hiệu xâm nhập.
Chiến dịch phát tán Kong RAT cho thấy tin tặc đang ngày càng tinh vi trong việc lợi dụng lòng tin của người dùng đối với các công cụ quen thuộc và kết quả tìm kiếm trên Internet. Thay vì khai thác lỗ hổng kỹ thuật phức tạp, chúng xây dựng các website giả mạo có giao diện chuyên nghiệp, đầu độc kết quả tìm kiếm và phát tán mã độc ngay trong những phần mềm mà giới CNTT sử dụng hằng ngày.
Vụ việc là lời nhắc nhở rằng việc một trang web xuất hiện ở vị trí đầu trên công cụ tìm kiếm không đồng nghĩa với tính hợp pháp. Đối với các lập trình viên, quản trị viên hệ thống và nhân viên CNTT, thói quen xác minh nguồn tải phần mềm và kiểm tra tính xác thực của tập tin cài đặt vẫn là lớp phòng thủ quan trọng nhất trước những chiến dịch tấn công ngày càng khó nhận biết như hiện nay.
Vụ việc là lời nhắc nhở rằng việc một trang web xuất hiện ở vị trí đầu trên công cụ tìm kiếm không đồng nghĩa với tính hợp pháp. Đối với các lập trình viên, quản trị viên hệ thống và nhân viên CNTT, thói quen xác minh nguồn tải phần mềm và kiểm tra tính xác thực của tập tin cài đặt vẫn là lớp phòng thủ quan trọng nhất trước những chiến dịch tấn công ngày càng khó nhận biết như hiện nay.