-
09/04/2020
-
101
-
893 bài viết
Lạm dụng ConnectWise, tin tặc tạo mã độc mang chữ ký số hợp pháp
Một chiến dịch tấn công mạng tinh vi vừa được các chuyên gia bảo mật phát hiện, trong đó tin tặc lợi dụng phần mềm truy cập từ xa ConnectWise để cài đặt phần mềm độc hại đã được ký số hợp lệ, qua mặt hầu hết các hệ thống phòng thủ truyền thống.
Kể từ tháng 3/2025, các nhà nghiên cứu ghi nhận sự gia tăng đáng kể của một chiến dịch mới mang tên EvilConwi, trong đó kẻ tấn công sử dụng bản cài ConnectWise đã bị cấu hình lại để triển khai mã độc nhưng vẫn giữ nguyên chữ ký số gốc của nhà phát triển. Đây là một bước tiến nguy hiểm trong việc ngụy trang mã độc dưới dạng phần mềm hợp pháp.
Các mẫu phần mềm này được phân phối chủ yếu qua email lừa đảo (phishing), với đường dẫn đến OneDrive. Khi nạn nhân nhấp vào, họ được dẫn tới một trang Canva giả mạo có nút “View PDF”, thực chất là đường dẫn tải xuống trình cài đặt ConnectWise độc hại.
Đáng chú ý, đến tận tháng 5 năm 2025, nhiều mẫu mã độc trong chiến dịch này vẫn không bị phần mềm diệt virus phát hiện, khiến chúng âm thầm len lỏi vào hệ thống suốt nhiều tháng trời mà không để lại dấu vết rõ ràng.
Người dùng chỉ nhận ra điều bất thường khi xuất hiện những dấu hiệu kỳ lạ: màn hình cập nhật Windows không thể tắt, con trỏ chuột tự động di chuyển, ứng dụng hoạt động mà không rõ lý do. Tất cả đều là biểu hiện của một hệ thống đã bị chiếm quyền điều khiển từ xa. Nhiều nạn nhân không hề hay biết rằng máy tính của họ đã rơi vào tay kẻ tấn công.
Điểm cốt lõi trong chiến dịch EvilConwi là việc tin tặc khai thác kẽ hở trong cơ chế xác thực chữ ký số Authenticode trên Windows, thông qua một kỹ thuật có tên Authenticode stuffing. Đây là một phương pháp tinh vi cho phép chèn nội dung độc hại vào phần mềm hợp pháp mà không làm mất tính xác thực của chữ ký.
Thông qua các công cụ phân tích tùy chỉnh, nhóm nghiên cứu tại G Data đã trích xuất được những đoạn cấu hình ngầm ẩn trong các mẫu phần mềm bị nhiễm. Phân tích cho thấy kẻ tấn công có thể điều chỉnh gần như toàn bộ hành vi của ứng dụng theo ý muốn, cụ thể:
Bằng cách sử dụng lại chứng chỉ hợp lệ, tin tặc có thể:
Trước sự gia tăng của các chiến dịch lợi dụng phần mềm hợp pháp như EvilConwi, các tổ chức và cá nhân cần chủ động triển khai các biện pháp phòng ngừa sớm, thay vì chỉ phản ứng khi sự cố đã xảy ra. Một số khuyến nghị cụ thể bao gồm:
Kể từ tháng 3/2025, các nhà nghiên cứu ghi nhận sự gia tăng đáng kể của một chiến dịch mới mang tên EvilConwi, trong đó kẻ tấn công sử dụng bản cài ConnectWise đã bị cấu hình lại để triển khai mã độc nhưng vẫn giữ nguyên chữ ký số gốc của nhà phát triển. Đây là một bước tiến nguy hiểm trong việc ngụy trang mã độc dưới dạng phần mềm hợp pháp.
Các mẫu phần mềm này được phân phối chủ yếu qua email lừa đảo (phishing), với đường dẫn đến OneDrive. Khi nạn nhân nhấp vào, họ được dẫn tới một trang Canva giả mạo có nút “View PDF”, thực chất là đường dẫn tải xuống trình cài đặt ConnectWise độc hại.
Đáng chú ý, đến tận tháng 5 năm 2025, nhiều mẫu mã độc trong chiến dịch này vẫn không bị phần mềm diệt virus phát hiện, khiến chúng âm thầm len lỏi vào hệ thống suốt nhiều tháng trời mà không để lại dấu vết rõ ràng.
Người dùng chỉ nhận ra điều bất thường khi xuất hiện những dấu hiệu kỳ lạ: màn hình cập nhật Windows không thể tắt, con trỏ chuột tự động di chuyển, ứng dụng hoạt động mà không rõ lý do. Tất cả đều là biểu hiện của một hệ thống đã bị chiếm quyền điều khiển từ xa. Nhiều nạn nhân không hề hay biết rằng máy tính của họ đã rơi vào tay kẻ tấn công.
Điểm cốt lõi trong chiến dịch EvilConwi là việc tin tặc khai thác kẽ hở trong cơ chế xác thực chữ ký số Authenticode trên Windows, thông qua một kỹ thuật có tên Authenticode stuffing. Đây là một phương pháp tinh vi cho phép chèn nội dung độc hại vào phần mềm hợp pháp mà không làm mất tính xác thực của chữ ký.
Thông qua các công cụ phân tích tùy chỉnh, nhóm nghiên cứu tại G Data đã trích xuất được những đoạn cấu hình ngầm ẩn trong các mẫu phần mềm bị nhiễm. Phân tích cho thấy kẻ tấn công có thể điều chỉnh gần như toàn bộ hành vi của ứng dụng theo ý muốn, cụ thể:
- Cho phép cài đặt âm thầm, không yêu cầu xác nhận từ người dùng
- Tự động kết nối về máy chủ điều khiển, sử dụng địa chỉ và cổng mạng đã được cấu hình sẵn
- Ngụy trang thành các ứng dụng phổ biến như Chrome, Zoom, Excel để đánh lừa thị giác
- Vô hiệu hóa biểu tượng khay hệ thống và thông báo kết nối, khiến hoạt động từ xa không bị phát hiện
- Hiển thị màn hình giả cập nhật Windows, giữ cho người dùng không tắt máy, tạo điều kiện duy trì kết nối lâu dài
Bằng cách sử dụng lại chứng chỉ hợp lệ, tin tặc có thể:
- Vượt qua hầu hết các hệ thống phát hiện của phần mềm diệt virus
- Ngụy trang hoàn hảo dưới dạng những ứng dụng phổ biến mà người dùng vốn quen thuộc
- Duy trì quyền truy cập từ xa trong thời gian dài mà không để lại bất kỳ dấu hiệu nào dễ nhận biết
Trước sự gia tăng của các chiến dịch lợi dụng phần mềm hợp pháp như EvilConwi, các tổ chức và cá nhân cần chủ động triển khai các biện pháp phòng ngừa sớm, thay vì chỉ phản ứng khi sự cố đã xảy ra. Một số khuyến nghị cụ thể bao gồm:
- Rà soát toàn bộ phần mềm truy cập từ xa đang được sử dụng, đặc biệt là các bản cài đặt ConnectWise. Nếu không cần thiết, nên gỡ bỏ hoặc giới hạn phạm vi hoạt động của các ứng dụng này.
- Cẩn trọng với các email lạ có đính kèm đường dẫn OneDrive hoặc giả mạo trang Canva, PDF, cập nhật phần mềm... Đây là hình thức lừa đảo phổ biến trong chiến dịch này.
- Thiết lập giám sát hành vi bất thường trên máy trạm, ví dụ như tự động di chuyển chuột, hiện màn hình cập nhật không rõ nguồn gốc, phần mềm khởi chạy trái phép…
- Không hoàn toàn tin tưởng vào chữ ký số hợp lệ, mà cần kết hợp các giải pháp bảo mật nâng cao để phân tích hành vi thực thi của ứng dụng.
- Cập nhật hệ thống và phần mềm diệt virus thường xuyên, đồng thời áp dụng chính sách phân quyền nghiêm ngặt để hạn chế nguy cơ bị kiểm soát từ xa.
Theo G Data, BleepingComputer và Cyber Security News