Nhóm tin tặc người Nga mang tên EncryptHub đang lợi dụng một lỗ hổng bảo mật đã được vá trong Microsoft Windows để phát tán những phần mềm độc hại nguy hiểm.

Các chuyên gia tại Trustwave SpiderLabs vừa qua đã phát hiện một chiến dịch tấn công của EncryptHub. Chúng kết hợp kỹ nghệ xã hội (Social Engineering) và khai thác lỗ hổng trong Microsoft Management Console (MMC) – được biết đến với tên gọi CVE-2025-26633 hay MSC EvilTwin. Mục đích là kích hoạt quy trình lây nhiễm thông qua một tập tin Microsoft Console (MSC) giả mạo.

Theo các nhà nghiên cứu Nathaniel Morales và Nikita Kazymirskyi của Trustwave, đây là một phần của làn sóng tấn công rộng lớn, sử dụng cả kỹ xảo tâm lý và khai thác kỹ thuật để vượt qua các lớp phòng thủ bảo mật, chiếm quyền kiểm soát hệ thống nội bộ.

EncryptHub, còn được biết đến với các tên gọi LARVA-208 và Water Gamayun, là một nhóm hacker người Nga nổi lên từ giữa năm 2024. Với tốc độ hoạt động cao, nhóm này nổi tiếng với việc sử dụng nhiều phương thức khác nhau để lây nhiễm phần mềm đánh cắp thông tin (stealer malware) vào hệ thống của nạn nhân. Các chiêu trò của chúng bao gồm: giả mạo lời mời làm việc, đánh giá hồ sơ năng lực, thậm chí xâm nhập vào các trò chơi trên Steam.

Trước đây, vào tháng 3 năm 2025, Trend Micro đã ghi nhận việc nhóm này lợi dụng CVE-2025-26633 để phát tán hai backdoor có tên SilentPrism và DarkWisp.

Trong đợt tấn công mới nhất, nhóm tin tặc giả danh nhân viên bộ phận IT, gửi yêu cầu kết nối Microsoft Teams đến nạn nhân. Mục tiêu là thiết lập kết nối từ xa và triển khai các payload độc hại bằng lệnh PowerShell.

Trong số các tập tin được thả xuống có hai tập tin MSC trùng tên, một vô hại và một độc hại. Tập tin độc hại sẽ lợi dụng CVE-2025-26633, dẫn đến việc thực thi tập tin MSC giả mạo khi tập tin thật được khởi chạy.

Tập tin MSC này sẽ tải và thực thi một script PowerShell khác từ máy chủ bên ngoài. Script này thu thập thông tin hệ thống, thiết lập cơ chế duy trì sự hiện diện trên máy chủ và liên lạc với máy chủ điều khiển (C2) của EncryptHub để nhận và thực thi các payload độc hại, bao gồm cả một phần mềm đánh cắp thông tin có tên Fickle Stealer.

Các nhà nghiên cứu cho biết, script này nhận các lệnh đã được mã hóa AES từ kẻ tấn công, giải mã chúng và thực thi các payload trực tiếp trên máy bị nhiễm.

Ngoài ra, nhóm tin tặc còn triển khai một trình tải (loader) viết bằng ngôn ngữ Go có tên SilentCrystal. Trình tải này lợi dụng Brave Support, một nền tảng hợp pháp liên kết với trình duyệt web Brave, để lưu trữ các phần mềm độc hại giai đoạn tiếp theo – một kho lưu trữ ZIP chứa hai tập tin MSC để vũ khí hóa CVE-2025-26633.

Điều đáng chú ý là việc tải lên các tập tin đính kèm trên nền tảng Brave Support bị hạn chế đối với người dùng mới. Điều này cho thấy những kẻ tấn công bằng cách nào đó đã có được quyền truy cập trái phép vào một tài khoản có quyền tải lên để thực hiện hành vi này.

Một số công cụ khác được triển khai bao gồm backdoor Golang hoạt động ở cả chế độ máy khách và máy chủ để gửi metadata hệ thống đến máy chủ C2, cũng như thiết lập cơ sở hạ tầng C2 bằng cách sử dụng giao thức đường hầm proxy SOCKS5.

Ngoài ra, có bằng chứng cho thấy những kẻ tấn công tiếp tục dựa vào các chiêu trò liên quan đến hội nghị video. Lần này, chúng thiết lập các nền tảng giả mạo như RivaTalk để lừa nạn nhân tải xuống một trình cài đặt MSI.

Việc chạy trình cài đặt này dẫn đến việc phân phối một số tập tin: tập tin nhị phân trình cài đặt Early Launch Anti-Malware (ELAM) hợp pháp từ Symantec được sử dụng để sideload một DLL độc hại, đến lượt nó khởi chạy một lệnh PowerShell để tải xuống và chạy một script PowerShell khác.

Script này được thiết kế để thu thập thông tin hệ thống và gửi nó đến máy chủ C2, đồng thời chờ các hướng dẫn PowerShell được mã hóa, sau đó được giải mã và thực thi để cung cấp cho kẻ tấn công toàn quyền kiểm soát hệ thống. Phần mềm độc hại cũng hiển thị một thông báo pop-up “System Configuration” giả mạo như một chiêu trò, đồng thời khởi chạy một tác vụ nền để tạo lưu lượng truy cập trình duyệt giả mạo bằng cách thực hiện các yêu cầu HTTP đến các trang web phổ biến để trộn lẫn các liên lạc C2 với hoạt động mạng bình thường.

Trustwave kết luận: “Nhóm tin tặc EncryptHub là một đối thủ có nguồn lực dồi dào và khả năng thích ứng cao, kết hợp kỹ nghệ xã hội, lạm dụng các nền tảng đáng tin cậy và khai thác các lỗ hổng hệ thống để duy trì sự hiện diện và kiểm soát”.

Việc chúng sử dụng các nền tảng hội nghị video giả mạo, cấu trúc lệnh được mã hóa và bộ công cụ phần mềm độc hại đang phát triển nhấn mạnh tầm quan trọng của các chiến lược phòng thủ nhiều lớp, thông tin tình báo về mối đe dọa liên tục và đào tạo nâng cao nhận thức cho người dùng.

Giải thích thuật ngữ:

• Kỹ nghệ xã hội (Social Engineering): Là phương pháp tấn công lợi dụng tâm lý con người để lừa đảo, dụ dỗ nạn nhân tiết lộ thông tin hoặc thực hiện hành động có lợi cho kẻ tấn công.
• Backdoor: Một phương pháp bí mật để vượt qua xác thực hoặc mã hóa thông thường trong một hệ thống máy tính, một sản phẩm, một hệ thống nhúng (như một thiết bị gia dụng) hoặc trong một thuật toán.
• Payload: Phần có hại của phần mềm độc hại, chẳng hạn như virus hoặc worm—chức năng gây ra các hành động có hại.
• Máy chủ điều khiển (C2): Là một máy chủ hoặc hệ thống máy tính mà kẻ tấn công sử dụng để điều khiển và chỉ đạo các máy tính bị nhiễm phần mềm độc hại.
• SOCKS5 proxy tunneling protocol: Một giao thức cho phép bạn định tuyến lưu lượng truy cập mạng của mình thông qua một máy chủ từ xa, ẩn địa chỉ IP của bạn và mã hóa dữ liệu của bạn.
• DLL (Dynamic Link Library): Một loại tập tin chứa mã và dữ liệu mà nhiều chương trình có thể sử dụng đồng thời để tiết kiệm bộ nhớ và tài nguyên hệ thống.