Nguy hiểm: Tấn công Cryptojacking tinh vi qua lỗ hổng CVE

Một chiến dịch khai thác tiền điện tử tinh vi đã xuất hiện, nhắm mục tiêu vào các hệ thống thông qua thiết bị lưu trữ ngoài và có khả năng xâm nhập cả các môi trường air-gapped. Đây là một biến thể mới của tấn công cryptojacking, ưu tiên khai thác Monero trong khi thiết lập các cơ chế duy trì để chống lại việc loại bỏ và tối đa hóa lợi nhuận.

Không giống như các hoạt động cryptojacking thông thường, chiến dịch này sử dụng khai thác cấp độ kernel và khả năng lây lan theo kiểu sâu (worm-like propagation). Cuộc tấn công bắt đầu thông qua các gói phần mềm lậu được ngụy trang thành trình cài đặt bộ phần mềm văn phòng hợp pháp, mở đường cho cuộc tấn công cryptojacking phức tạp này.

Kiến Trúc Đa Giai Đoạn Của Mã Độc Cryptojacking

Khi được thực thi, mã độc triển khai nhiều thành phần hoạt động phối hợp để duy trì sự lây nhiễm và tối đa hóa sản lượng khai thác Monero. Hoạt động này có các quy trình giám sát (watchdog processes) tạo ra một kiến trúc tự phục hồi, trong đó việc chấm dứt một thành phần sẽ kích hoạt các thành phần khác phục hồi nó trong vòng vài giây, đảm bảo sự bền bỉ của tấn công cryptojacking.

Phương Thức Lây Lan Qua Thiết Bị Lưu Trữ Ngoài

Điểm đặc biệt đáng lo ngại của mối đe dọa mạng này là phương pháp lây lan của nó. Các nhà phân tích của Trellix đã xác định chiến dịch vào cuối năm 2025, phát hiện một hoạt động chủ động theo dõi các ổ đĩa ngoài mới kết nối. Khi người dùng cắm USB flash drive hoặc ổ cứng ngoài, mã độc sẽ tự động sao chép vào thiết bị và tạo các thư mục ẩn với các shortcut đánh lừa.

Cơ chế này cho phép di chuyển ngang qua các mạng và có thể xâm nhập các hệ thống air-gapped thông qua việc truyền phương tiện vật lý, vượt qua các hàng rào bảo mật truyền thống.

Kiến trúc của mã độc thể hiện sự tách biệt rõ ràng giữa logic điều khiển và logic thực thi. Thành phần điều khiển (controller) xử lý việc giám sát và ra quyết định, trong khi vẫn nhẹ để tránh kích hoạt phần mềm bảo mật. Các thành phần tải trọng riêng biệt xử lý các hoạt động khai thác tài nguyên chuyên sâu và các hành động phòng thủ tích cực, bao gồm chấm dứt các công cụ bảo mật hoặc tiến trình Windows Explorer hợp pháp để duy trì tấn công cryptojacking.

Kỹ Thuật Khai Thác Kernel Trong Tấn Công Cryptojacking

Thành phần kỹ thuật tiên tiến nhất liên quan đến kỹ thuật Bring Your Own Vulnerable Driver (BYOVD). Mã độc thả tệp WinRing0x64.sys, một driver hợp pháp nhưng chứa lỗ hổng CVE-2020-14979. Lỗ hổng này cho phép giành được đặc quyền kernel Ring 0, vượt qua lớp trừu tượng phần cứng của hệ điều hành.

Thông qua quyền truy cập kernel, mã độc sửa đổi các thanh ghi đặc biệt của CPU (CPU Model Specific Registers) để vô hiệu hóa các bộ lấy trước phần cứng (hardware prefetchers) gây cản trở hiệu quả của thuật toán khai thác RandomX. Tối ưu hóa này làm tăng hashrate khai thác Monero từ 15 đến 50 phần trăm. Kỹ thuật này đạt được cải thiện hiệu suất mà không cần viết driver độc hại, thay vào đó lợi dụng chữ ký số hợp lệ của driver cũ dễ bị tổn thương.

Để biết thêm chi tiết về lỗ hổng này, bạn có thể tham khảo tại: NVD – CVE-2020-14979.

Chu Kỳ Vận Hành Có Kế Hoạch Và Dọn Dẹp

Chiến dịch tấn công cryptojacking này còn kết hợp các kiểm soát thời gian với logic được mã hóa cứng kiểm tra ngày hệ thống so với ngày 23 tháng 12 năm 2025. Trước thời hạn này, mã độc tiếp tục các quy trình lây nhiễm. Tuy nhiên, sau thời hạn, nó sẽ kích hoạt chế độ dọn dẹp (cleanup mode), chấm dứt các thành phần và xóa các tệp đã thả, cho thấy một chu kỳ hoạt động đã được lên kế hoạch và có thời gian giới hạn.

Biện Pháp Phòng Ngừa Để Đảm Bảo An Toàn Thông Tin

Các tổ chức cần thực hiện các biện pháp để bảo vệ hệ thống trước loại tấn công cryptojacking tinh vi này và các mối đe dọa tương tự. Đảm bảo an toàn thông tin là ưu tiên hàng đầu để chống lại các chiến dịch khai thác tiền điện tử.

• Thực thi Danh sách Chặn Driver Dễ Bị Tổn Thương (Vulnerable Driver Blocklist) của Microsoft: Sử dụng Windows Defender Application Control (WDAC) để ngăn chặn các driver dễ bị tổn thương tải, bao gồm cả WinRing0x64.sys.
• Triển khai Chính sách Kiểm soát Thiết bị (Device Control Policies): Hạn chế hoặc vô hiệu hóa việc sử dụng phương tiện di động để cắt đứt vector lây lan kiểu sâu của mã độc và ngăn chặn tấn công cryptojacking qua USB.
• Cấu hình Lọc Web (Web Filtering): Chặn các kết nối ra bên ngoài tới các pool khai thác tiền điện tử cấp người tiêu dùng không hợp pháp.
• Đào tạo Nâng cao Nhận thức An ninh (Security Awareness Training): Nâng cao nhận thức cho người dùng về các rủi ro liên quan đến phần mềm lậu và tầm quan trọng của việc chỉ cài đặt phần mềm từ các nguồn đáng tin cậy.

Bằng cách áp dụng các biện pháp bảo mật toàn diện này, các tổ chức có thể giảm thiểu đáng kể rủi ro bị ảnh hưởng bởi chiến dịch tấn công cryptojacking này và các mối đe dọa mạng tương tự.