Lỗ hổng CVE EvilTwin: Water Gamayun Tấn công Nghiêm trọng

Nhóm đe dọa dai dẳng (APT) Water Gamayun gần đây đã tăng cường các hoạt động tấn công, khai thác một lỗ hổng CVE mới được xác định là MSC EvilTwin (CVE-2025-26633) trên các hệ thống Windows. Chiến dịch mã độc này đặc trưng bởi các cuộc tấn công đa giai đoạn, nhắm mục tiêu vào các tổ chức doanh nghiệp và chính phủ.

Mục tiêu chính là đánh cắp thông tin nhạy cảm, thông tin đăng nhập và duy trì quyền truy cập lâu dài vào mạng lưới mục tiêu.

Tổng quan về Chiến dịch Tấn công Mạng của Water Gamayun

Xuất hiện vào năm 2025, các cuộc tấn công của Water Gamayun kết hợp nhiều chiến thuật tinh vi. Nhóm này tận dụng các tệp nhị phân đáng tin cậy và kỹ thuật làm xáo trộn sâu để vượt qua các biện pháp kiểm soát bảo mật hiện đại. Đồng thời, chúng sử dụng các mồi nhử hấp dẫn như tài liệu việc làm giả mạo để lừa người dùng.

Đặc điểm Nổi bật của Chiến dịch

Các nhà phân tích bảo mật từ Zscaler đã xác định rằng chiến dịch này kết hợp một chuỗi các tệp lưu trữ được bảo vệ bằng mật khẩu. Điều này cùng với mã ẩn cửa sổ và thực thi payload theo từng giai đoạn, giúp che giấu dấu vết khỏi người dùng và các công cụ phát hiện tự động. Thông tin chi tiết có thể tham khảo tại báo cáo của Zscaler: Water Gamayun APT Attack.

Nhóm nghiên cứu Zscaler đã quy kết chiến dịch này cho Water Gamayun dựa trên nhiều dấu hiệu mạnh mẽ. Bao gồm việc lạm dụng hiếm gặp lỗ hổng EvilTwin, kỹ thuật làm xáo trộn PowerShell tùy chỉnh và việc sử dụng tài liệu mồi nhử để giảm sự nghi ngờ của nạn nhân.

Chi tiết Lỗ hổng MSC EvilTwin (CVE-2025-26633)

Lỗ hổng CVE-2025-26633, được gọi là MSC EvilTwin, là một điểm yếu nghiêm trọng trong hệ thống Windows. Việc khai thác lỗ hổng CVE này cho phép kẻ tấn công thực thi mã độc trên hệ thống nạn nhân.

Water Gamayun đã tận dụng triệt để lỗ hổng CVE này để thiết lập quyền truy cập ban đầu và mở rộng phạm vi xâm nhập.

Quy trình Tấn công Đa Giai đoạn và Khai thác Lỗ hổng

Phương pháp của Water Gamayun dựa trên một quy trình lây nhiễm nhiều lớp.

Giai đoạn Khởi đầu

Cuộc tấn công bắt đầu khi người dùng thực hiện tìm kiếm trên web và truy cập vào một trang web bị xâm nhập. Trang web này sẽ âm thầm chuyển hướng nạn nhân đến một tên miền giả mạo, sau đó gửi một tệp RAR độc hại.

Tệp này được ngụy trang dưới dạng tệp PDF với tên “hiringassistant.pdf.rar“.

Khai thác Lỗ hổng và Thực thi PowerShell

Khi người dùng mở tệp RAR giả mạo, payload nhúng bên trong sẽ khai thác lỗ hổng CVE MSC EvilTwin. Payload này thả một tệp .msc được tạo sẵn vào đĩa.

Tệp .msc này được tải bởi tiến trình mmc.exe (Microsoft Management Console), kích hoạt các lệnh PowerShell ẩn thông qua việc lạm dụng các lệnh TaskPad snap-in. Kỹ thuật này cho phép thực thi mã từ xa (remote code execution) mà không bị người dùng phát hiện.

# Ví dụ về việc mmc.exe tải tệp .msc độc hạimmc.exe C:\Users\Public\malicious.msc

Tải xuống và Tiếp cận Payload Phụ

Sau khi thiết lập quyền truy cập ban đầu, chuỗi mã độc sử dụng các tệp thực thi có thể tải xuống, giải nén lưu trữ và kỹ thuật inject tiến trình để mở rộng phạm vi. Kịch bản PowerShell giai đoạn đầu tiên sẽ tải xuống các công cụ hợp pháp như UnRAR.exe.

Sau đó, nó truy cập các tệp lưu trữ được bảo vệ bằng mật khẩu chứa các payload bổ sung.

Thiết lập Duy trì và Ẩn dấu

Một kịch bản giai đoạn hai sẽ biên dịch một module .NET để ẩn các cửa sổ mã độc khỏi tầm nhìn. Đồng thời, nó chạy một tệp PDF mồi nhử và thả tệp thực thi loader cuối cùng có tên ItunesC.exe.

Loader này cho phép duy trì quyền truy cập lâu dài bằng cách khởi chạy nhiều phiên bản và ẩn các tín hiệu mạng đến các địa chỉ IP bên ngoài.

Chỉ số Phát hiện và Khuyến nghị An ninh Mạng

Chiến dịch này làm nổi bật cách các kỹ thuật làm xáo trộn nâng cao và thực thi đa giai đoạn có thể né tránh sự phát hiện. Điều này đặt ra thách thức đáng kể cho an ninh mạng.

Để bảo vệ hệ thống khỏi các mối đe dọa mạng như Water Gamayun, các chuyên gia bảo mật cần theo dõi chặt chẽ các chỉ số sau:

• Phần mở rộng tệp hiếm gặp: Giám sát việc tạo hoặc truy cập các tệp có phần mở rộng không phổ biến, đặc biệt là tệp .msc được tạo ra bất thường.
• Sử dụng PowerShell bị mã hóa: Phát hiện các lệnh PowerShell bị mã hóa hoặc được xáo trộn.
• Chuỗi tiến trình đáng ngờ: Theo dõi các chuỗi tiến trình bất thường, ví dụ như mmc.exe khởi chạy các tiến trình PowerShell không mong muốn hoặc các tiến trình con khác.
• Hoạt động mạng tới hạ tầng tương tự: Giám sát lưu lượng mạng đến các địa chỉ IP hoặc tên miền không rõ nguồn gốc, đặc biệt là các kết nối ẩn của ItunesC.exe.

Việc cập nhật các bản vá bảo mật và áp dụng các biện pháp phòng thủ chủ động là cần thiết để giảm thiểu rủi ro từ lỗ hổng CVE và các cuộc tấn công tinh vi khác.