-
09/04/2020
-
122
-
1.295 bài viết
Water Gamayun lợi dụng lỗ hổng MSC EvilTwin, tấn công doanh nghiệp và cơ quan nhà nước
Một nhóm tin tặc có tên Water Gamayun đang gia tăng các cuộc tấn công tinh vi nhắm vào các tổ chức doanh nghiệp và cơ quan nhà nước, khai thác lỗ hổng mới được phát hiện trong Windows mang tên MSC EvilTwin (CVE-2025-26633). Chiến dịch này nổi bật với khả năng xâm nhập sâu, đánh cắp thông tin nhạy cảm và duy trì quyền truy cập lâu dài vào hệ thống mạng.
Các chuyên gia an ninh mạng cho biết chiến thuật của nhóm Water Gamayun rất tinh vi, kết hợp nhiều giai đoạn tấn công. Kẻ tấn công bắt đầu bằng việc dẫn người dùng tới các trang web bị xâm nhập hoặc trang giả mạo. Tại đây, nạn nhân được yêu cầu tải về một tệp RAR giả dạng PDF có tên “hiringassistant.pdf.rar”. Khi mở tệp này, payload bên trong sẽ khai thác lỗ hổng MSC EvilTwin thông qua một tệp ".msc" được tạo sẵn. Tệp ".msc" này được thực thi bởi chương trình "mmc.exe", khởi chạy các lệnh PowerShell ẩn thông qua tính năng "TaskPad snap-in".
Phương pháp tấn công của Water Gamayun rất khó phát hiện. Các chuyên gia ghi nhận chiến dịch sử dụng nhiều lớp mã hóa, tệp lưu trữ có mật khẩu và mã độc chạy ẩn để qua mặt cả người dùng lẫn phần mềm bảo mật. Sau khi xâm nhập, chuỗi tấn công tiếp tục tải xuống các tệp thực thi, giải nén tệp lưu trữ, tiêm mã vào tiến trình hợp pháp và triển khai loader cuối cùng có tên "ItunesC.exe. Loader" giúp malware duy trì sự tồn tại lâu dài, chạy nhiều tiến trình ẩn và gửi tín hiệu mạng đến các địa chỉ IP bên ngoài mà nạn nhân không hề hay biết.
Nhóm Water Gamayun được nhận diện nhờ việc lạm dụng lỗ hổng MSC EvilTwin hiếm gặp, sử dụng PowerShell obfuscation riêng biệt và các tài liệu mồi nhử giả dạng hợp pháp. Các chuyên gia cảnh báo, phương thức đa giai đoạn và che giấu cửa sổ ứng dụng của chiến dịch này khiến việc phát hiện trở nên khó khăn, đòi hỏi các tổ chức cần theo dõi các phần mở rộng tệp bất thường, lệnh PowerShell mã hóa, chuỗi tiến trình đáng ngờ và hoạt động mạng lạ.
Tác động của chiến dịch này không chỉ giới hạn ở doanh nghiệp mà còn ảnh hưởng tới bảo mật thông tin cá nhân của người dùng trong mạng nội bộ, nguy cơ rò rỉ mật khẩu, dữ liệu nhạy cảm và mất quyền kiểm soát hệ thống là rất cao.
Chuyên gia an ninh mạng WhiteHat khuyến cáo:
Các chuyên gia an ninh mạng cho biết chiến thuật của nhóm Water Gamayun rất tinh vi, kết hợp nhiều giai đoạn tấn công. Kẻ tấn công bắt đầu bằng việc dẫn người dùng tới các trang web bị xâm nhập hoặc trang giả mạo. Tại đây, nạn nhân được yêu cầu tải về một tệp RAR giả dạng PDF có tên “hiringassistant.pdf.rar”. Khi mở tệp này, payload bên trong sẽ khai thác lỗ hổng MSC EvilTwin thông qua một tệp ".msc" được tạo sẵn. Tệp ".msc" này được thực thi bởi chương trình "mmc.exe", khởi chạy các lệnh PowerShell ẩn thông qua tính năng "TaskPad snap-in".
Phương pháp tấn công của Water Gamayun rất khó phát hiện. Các chuyên gia ghi nhận chiến dịch sử dụng nhiều lớp mã hóa, tệp lưu trữ có mật khẩu và mã độc chạy ẩn để qua mặt cả người dùng lẫn phần mềm bảo mật. Sau khi xâm nhập, chuỗi tấn công tiếp tục tải xuống các tệp thực thi, giải nén tệp lưu trữ, tiêm mã vào tiến trình hợp pháp và triển khai loader cuối cùng có tên "ItunesC.exe. Loader" giúp malware duy trì sự tồn tại lâu dài, chạy nhiều tiến trình ẩn và gửi tín hiệu mạng đến các địa chỉ IP bên ngoài mà nạn nhân không hề hay biết.
Nhóm Water Gamayun được nhận diện nhờ việc lạm dụng lỗ hổng MSC EvilTwin hiếm gặp, sử dụng PowerShell obfuscation riêng biệt và các tài liệu mồi nhử giả dạng hợp pháp. Các chuyên gia cảnh báo, phương thức đa giai đoạn và che giấu cửa sổ ứng dụng của chiến dịch này khiến việc phát hiện trở nên khó khăn, đòi hỏi các tổ chức cần theo dõi các phần mở rộng tệp bất thường, lệnh PowerShell mã hóa, chuỗi tiến trình đáng ngờ và hoạt động mạng lạ.
Tác động của chiến dịch này không chỉ giới hạn ở doanh nghiệp mà còn ảnh hưởng tới bảo mật thông tin cá nhân của người dùng trong mạng nội bộ, nguy cơ rò rỉ mật khẩu, dữ liệu nhạy cảm và mất quyền kiểm soát hệ thống là rất cao.
Chuyên gia an ninh mạng WhiteHat khuyến cáo:
- Luôn kiểm tra nguồn tải xuống tệp, đặc biệt với các tài liệu được gửi qua email hoặc trang web không xác thực.
- Cập nhật hệ điều hành và phần mềm bảo mật lên phiên bản mới nhất để giảm thiểu nguy cơ khai thác lỗ hổng.
- Kiểm soát quyền truy cập và theo dõi các tiến trình bất thường trong hệ thống nội bộ.
- Đào tạo nhân viên nhận diện các email giả mạo và tài liệu mồi nhử.
WhiteHat