-
09/04/2020
-
108
-
964 bài viết
Chiến dịch GhostContainer âm thầm xâm nhập hạ tầng chính phủ và công nghệ tại châu Á
Theo báo cáo do Kaspersky công bố giữa tháng 7/2025, một chiến dịch mã độc tinh vi mang tên GhostContainer đang âm thầm diễn ra nhắm vào các máy chủ Microsoft Exchange trong các cơ quan chính phủ và doanh nghiệp công nghệ tại châu Á. Chiến dịch lợi dụng lỗ hổng tồn tại trên các máy chủ Exchange chưa được vá để cài backdoor, duy trì quyền kiểm soát hệ thống trong thời gian dài mà không bị phát hiện.
GhostContainer được ghi nhận là khai thác lỗ hổng CVE-2020-0688, một lỗi deserialization tồn tại trong Exchange Control Panel. Lỗ hổng này đã bị công bố từ lâu, tuy nhiên nhiều hệ thống vẫn chưa vá, trở thành mục tiêu lý tưởng cho các nhóm APT. Bằng cách khai thác lỗ hổng này, mã độc cấy tệp độc hại có tên App_Web_Container_1.dll vào hệ thống và bắt đầu thực thi chuỗi hoạt động tấn công được lập trình sẵn.
Kiến trúc của GhostContainer gồm ba lớp, mỗi lớp đảm nhận một vai trò riêng biệt trong việc duy trì quyền truy cập, che giấu hoạt động và tạo kênh liên lạc ẩn:
Ngay khi được thực thi, GhostContainer tiến hành vô hiệu hóa các cơ chế bảo vệ của hệ thống như Antimalware Scan Interface và nhật ký sự kiện Windows bằng cách ghi đè các hàm trong thư viện amsi.dll và ntdll.dll. Mã độc cũng trích xuất khóa ASP.NET validation key từ cấu hình máy chủ Exchange, sau đó sử dụng thuật toán SHA-256 để tạo khóa AES 32 byte phục vụ mã hóa liên lạc với máy chủ điều khiển. Nhờ vậy, toàn bộ luồng lệnh và dữ liệu phản hồi đều được mã hóa, khiến việc phát hiện trở nên khó khăn hơn.
GhostContainer hỗ trợ đến mười bốn lệnh điều khiển khác nhau, từ thực thi shellcode, chạy dòng lệnh, tải mã .NET, cho tới đọc ghi tệp, tải dữ liệu từ xa và gửi yêu cầu HTTP POST đồng thời đến nhiều địa chỉ. Mã độc được triển khai dưới dạng thư viện .NET động (DLL), được cấy vào thư mục ứng dụng web của Exchange và thực thi như một thành phần hợp pháp trong môi trường ASP.NET. Cách thức này giúp GhostContainer dễ dàng hòa mình vào hạ tầng hợp pháp, tránh bị chú ý và tồn tại bền vững trong hệ thống. Chiến dịch cũng cho thấy dấu hiệu rõ ràng của việc tái sử dụng và tinh chỉnh công cụ mã nguồn mở: mã độc chứa chuỗi XML định danh trùng với ExchangeCmdPy.py, trong khi web proxy được triển khai dựa trên biến thể Neo-reGeorg. Việc tận dụng các công cụ sẵn có không chỉ rút ngắn thời gian phát triển mà còn giúp hành vi tấn công ẩn mình tốt hơn, khó bị phát hiện bởi các giải pháp chống mã độc truyền thống.
Một đặc điểm đáng lo ngại của chiến dịch này là GhostContainer không thiết lập kênh liên lạc cố định ra ngoài. Thay vào đó, kẻ tấn công truy cập vào máy chủ Exchange từ bên ngoài, gửi các lệnh điều khiển được ngụy trang hoàn toàn trong lưu lượng truy cập hợp pháp, cho phép họ duy trì quyền kiểm soát hệ thống mà không cần hạ tầng C2 rõ ràng. Cách tiếp cận này không chỉ tăng tính ẩn mình mà còn làm giảm khả năng phát hiện qua phân tích lưu lượng mạng.
Theo phân tích từ Kaspersky, ít nhất hai mục tiêu đã bị xâm nhập thành công, bao gồm một cơ quan chính phủ và một tập đoàn công nghệ lớn tại châu Á. Việc lựa chọn Exchange làm mục tiêu cho thấy mức độ am hiểu sâu sắc của kẻ tấn công về hạ tầng CNTT trong môi trường doanh nghiệp và chính phủ. GhostContainer không đơn thuần là một mã độc thông thường mà là sản phẩm của một nhóm APT có kỹ năng cao, được trang bị đầy đủ công cụ, hiểu rõ cách vận hành của hệ thống Exchange và biết cách ẩn mình trong lòng hạ tầng số.
Chiến dịch GhostContainer là lời nhắc mạnh mẽ rằng các lỗ hổng N-day không thể bị xem nhẹ, đặc biệt là với các hệ thống lõi như Microsoft Exchange. Trong bối cảnh nhiều tổ chức vẫn chưa áp dụng đầy đủ các bản vá bảo mật, việc duy trì cơ chế giám sát chặt chẽ và phân tích hành vi bất thường trong ứng dụng nội bộ là tuyến phòng thủ cuối cùng trước các mối đe dọa tinh vi như GhostContainer.
GhostContainer được ghi nhận là khai thác lỗ hổng CVE-2020-0688, một lỗi deserialization tồn tại trong Exchange Control Panel. Lỗ hổng này đã bị công bố từ lâu, tuy nhiên nhiều hệ thống vẫn chưa vá, trở thành mục tiêu lý tưởng cho các nhóm APT. Bằng cách khai thác lỗ hổng này, mã độc cấy tệp độc hại có tên App_Web_Container_1.dll vào hệ thống và bắt đầu thực thi chuỗi hoạt động tấn công được lập trình sẵn.
Kiến trúc của GhostContainer gồm ba lớp, mỗi lớp đảm nhận một vai trò riêng biệt trong việc duy trì quyền truy cập, che giấu hoạt động và tạo kênh liên lạc ẩn:
- Thành phần đầu tiên trong kiến trúc của GhostContainer là Stub, bộ khởi động chịu trách nhiệm kích hoạt toàn bộ quy trình tấn công. Khi được thực thi, Stub tiến hành kiểm tra môi trường hệ thống, xác định điều kiện thích hợp để nạp các thành phần kế tiếp mà không bị phát hiện. Nó đóng vai trò như một trình điều phối trung tâm, đảm bảo mã độc khởi chạy an toàn, đúng lúc và có thể tránh được các biện pháp phát hiện dựa trên hành vi hoặc sandbox.
- Thành phần thứ hai có tên App_Web_843e75cf5b63, được thiết kế chuyên biệt để thực hiện kỹ thuật tiêm trang ảo (virtual page injection). Mục tiêu của lớp này là tạo ra các vùng mã giả (ghost page) trong bộ nhớ mà không tồn tại trên hệ thống tệp vật lý, từ đó giúp mã độc né tránh được cơ chế giám sát của hệ điều hành và phần mềm bảo mật. Cách tiếp cận này cho phép GhostContainer tồn tại bền vững mà không để lại dấu hiệu rõ rệt, một chiến thuật phổ biến trong các chiến dịch APT cần duy trì chỗ đứng lâu dài.
- Thành phần cuối cùng, App_Web_8c9b251fb5b3, hoạt động như một web proxy kết hợp công cụ tạo đường hầm TCP, được phát triển dựa trên biến thể của Neo-reGeorg mã nguồn mở. Nó cho phép GhostContainer thiết lập kênh liên lạc ngụy trang hoàn toàn bằng cách sử dụng các HTTP header tùy biến như Qprtfva và Dzvvlnwkccf để truyền lệnh điều khiển. Nhờ đó, kẻ tấn công có thể tương tác với máy chủ bị xâm nhập mà không cần hạ tầng C2 cố định, làm cho lưu lượng độc hại trông không khác gì các phiên truy cập web hợp lệ, một thủ thuật đánh lừa hệ thống phát hiện mạng cực kỳ hiệu quả.
Ngay khi được thực thi, GhostContainer tiến hành vô hiệu hóa các cơ chế bảo vệ của hệ thống như Antimalware Scan Interface và nhật ký sự kiện Windows bằng cách ghi đè các hàm trong thư viện amsi.dll và ntdll.dll. Mã độc cũng trích xuất khóa ASP.NET validation key từ cấu hình máy chủ Exchange, sau đó sử dụng thuật toán SHA-256 để tạo khóa AES 32 byte phục vụ mã hóa liên lạc với máy chủ điều khiển. Nhờ vậy, toàn bộ luồng lệnh và dữ liệu phản hồi đều được mã hóa, khiến việc phát hiện trở nên khó khăn hơn.
GhostContainer hỗ trợ đến mười bốn lệnh điều khiển khác nhau, từ thực thi shellcode, chạy dòng lệnh, tải mã .NET, cho tới đọc ghi tệp, tải dữ liệu từ xa và gửi yêu cầu HTTP POST đồng thời đến nhiều địa chỉ. Mã độc được triển khai dưới dạng thư viện .NET động (DLL), được cấy vào thư mục ứng dụng web của Exchange và thực thi như một thành phần hợp pháp trong môi trường ASP.NET. Cách thức này giúp GhostContainer dễ dàng hòa mình vào hạ tầng hợp pháp, tránh bị chú ý và tồn tại bền vững trong hệ thống. Chiến dịch cũng cho thấy dấu hiệu rõ ràng của việc tái sử dụng và tinh chỉnh công cụ mã nguồn mở: mã độc chứa chuỗi XML định danh trùng với ExchangeCmdPy.py, trong khi web proxy được triển khai dựa trên biến thể Neo-reGeorg. Việc tận dụng các công cụ sẵn có không chỉ rút ngắn thời gian phát triển mà còn giúp hành vi tấn công ẩn mình tốt hơn, khó bị phát hiện bởi các giải pháp chống mã độc truyền thống.
Một đặc điểm đáng lo ngại của chiến dịch này là GhostContainer không thiết lập kênh liên lạc cố định ra ngoài. Thay vào đó, kẻ tấn công truy cập vào máy chủ Exchange từ bên ngoài, gửi các lệnh điều khiển được ngụy trang hoàn toàn trong lưu lượng truy cập hợp pháp, cho phép họ duy trì quyền kiểm soát hệ thống mà không cần hạ tầng C2 rõ ràng. Cách tiếp cận này không chỉ tăng tính ẩn mình mà còn làm giảm khả năng phát hiện qua phân tích lưu lượng mạng.
Theo phân tích từ Kaspersky, ít nhất hai mục tiêu đã bị xâm nhập thành công, bao gồm một cơ quan chính phủ và một tập đoàn công nghệ lớn tại châu Á. Việc lựa chọn Exchange làm mục tiêu cho thấy mức độ am hiểu sâu sắc của kẻ tấn công về hạ tầng CNTT trong môi trường doanh nghiệp và chính phủ. GhostContainer không đơn thuần là một mã độc thông thường mà là sản phẩm của một nhóm APT có kỹ năng cao, được trang bị đầy đủ công cụ, hiểu rõ cách vận hành của hệ thống Exchange và biết cách ẩn mình trong lòng hạ tầng số.
Chiến dịch GhostContainer là lời nhắc mạnh mẽ rằng các lỗ hổng N-day không thể bị xem nhẹ, đặc biệt là với các hệ thống lõi như Microsoft Exchange. Trong bối cảnh nhiều tổ chức vẫn chưa áp dụng đầy đủ các bản vá bảo mật, việc duy trì cơ chế giám sát chặt chẽ và phân tích hành vi bất thường trong ứng dụng nội bộ là tuyến phòng thủ cuối cùng trước các mối đe dọa tinh vi như GhostContainer.
WhiteHat