Xâm nhập mạng nghiêm trọng Notepad++: Khai thác lỗ hổng và mã độc
Chiến dịch xâm nhập mạng tinh vi đã nhắm mục tiêu vào cơ sở hạ tầng lưu trữ chính thức của Notepad++. Vụ việc diễn ra từ tháng 6 đến tháng 12 năm 2025, do một nhóm tấn công có tổ chức thực hiện. Các mục tiêu chính bao gồm người dùng trong các cơ quan chính phủ, công ty viễn thông và lĩnh vực hạ tầng quan trọng, cho thấy mức độ nghiêm trọng và chiến lược của cuộc tấn công.
Phân tích chiến dịch xâm nhập mạng vào Notepad++
Kẻ tấn công đã giành quyền truy cập thông qua việc thỏa hiệp môi trường của nhà cung cấp dịch vụ lưu trữ chung. Điều này cho phép chúng chặn lưu lượng truy cập hướng đến máy chủ cập nhật của Notepad++.
Sau đó, chúng đã chuyển hướng lưu lượng này đến cơ sở hạ tầng độc hại do chúng kiểm soát. Khả năng này cho phép triển khai một cuộc xâm nhập mạng có chủ đích và hiệu quả cao.
Việc chiếm quyền kiểm soát cấp độ hạ tầng này đã kích hoạt hoạt động nhắm mục tiêu chọn lọc nạn nhân. Các nạn nhân chủ yếu nằm ở Đông Nam Á, tuy nhiên chiến dịch cũng mở rộng sang Nam Mỹ, Hoa Kỳ và Châu Âu.
Notepad++: Mục tiêu chiến lược và rủi ro bảo mật
Notepad++ là một trình chỉnh sửa mã nguồn mở nhẹ, được sử dụng rộng rãi. Các đối tượng sử dụng chính bao gồm quản trị viên hệ thống, kỹ sư mạng và nhân viên DevOps trong môi trường doanh nghiệp, làm cho nó trở thành một mục tiêu có giá trị cao.
Những chuyên gia này thường xuyên dựa vào công cụ này để sửa đổi cấu hình máy chủ, phân tích nhật ký hệ thống và kiểm tra mã trên các hệ thống an toàn. Nơi mà các ứng dụng lớn hơn không thực tế hoặc không được phép cài đặt. Việc chiếm quyền kiểm soát một công cụ tiện ích như vậy mang lại cho kẻ tấn công một điểm truy cập đặc biệt.
Các nhà phân tích của Palo Alto Networks Unit 42 đã xác định rằng việc thỏa hiệp công cụ này đã cho phép kẻ tấn công vượt qua các biện pháp phòng thủ ngoại vi hiện có. Chúng cũng có thể giành quyền truy cập quản trị ngầm vào cơ sở hạ tầng mạng cốt lõi thông qua các phiên làm việc của người dùng đặc quyền. Đây là một dạng xâm nhập mạng sâu vào hệ thống. Chi tiết về vụ xâm nhập hạ tầng Notepad++ được báo cáo bởi Unit 42 đã nhấn mạnh mức độ nguy hiểm của cuộc tấn công này.
Kỹ thuật khai thác lỗ hổng và chuỗi lây nhiễm
Lỗ hổng WinGUp và phát tán phần mềm độc hại
Cuộc tấn công đã khai thác các kiểm soát xác minh không đầy đủ. Đây là một lỗ hổng CVE tiềm tàng trong các phiên bản cũ của WinGUp, thành phần cập nhật của Notepad++. Việc thiếu xác minh đầy đủ cho phép kẻ tấn công thay thế các bản cập nhật hợp pháp bằng phiên bản độc hại.
Khi các nạn nhân được nhắm mục tiêu cố gắng cập nhật phần mềm của họ, họ đã vô tình tải xuống một trình cài đặt NSIS độc hại. Trình cài đặt này được đặt tên là update.exe, ngụy trang thành một bản cập nhật hợp pháp.
Tệp update.exe độc hại này sau đó đã khởi tạo một chuỗi lây nhiễm phức tạp trên hệ thống của nạn nhân. Đây là một bước quan trọng trong quá trình xâm nhập mạng của chúng, cho phép triển khai mã độc một cách âm thầm.
Các biến thể tấn công và triển khai mã độc
Các nhà nghiên cứu của Unit 42 đã phát hiện hai chuỗi tấn công riêng biệt được sử dụng trong chiến dịch này. Mỗi chuỗi có phương pháp triển khai mã độc khác nhau và tinh vi.
- Biến thể tiêm script Lua: Sử dụng kỹ thuật tiêm script Lua để phân phối mã độc Cobalt Strike beacon.
- Biến thể DLL Sideloading: Sử dụng kỹ thuật DLL sideloading để triển khai backdoor Chrysalis.
Trình cài đặt độc hại đã lạm dụng một thành phần Bitdefender hợp pháp có tên BluetoothService.exe. Mục đích là để tải một thư viện độc hại, log.dll.
Thư viện log.dll sau đó chịu trách nhiệm giải mã và thực thi backdoor tùy chỉnh Chrysalis. Phương pháp này cho phép kẻ tấn công thiết lập quyền kiểm soát mà không bị phát hiện dễ dàng, qua đó củng cố khả năng xâm nhập mạng.
Kỹ thuật chống phát hiện của Backdoor Chrysalis
Backdoor Chrysalis đã áp dụng các kỹ thuật lẩn tránh tiên tiến để tránh bị các công cụ bảo mật phát hiện, gây khó khăn cho việc nhận diện và loại bỏ trong môi trường doanh nghiệp.
Kẻ tấn công đã tận dụng framework bảo vệ mã Microsoft Warbird. Chúng cũng sử dụng các phương pháp băm API tùy chỉnh để giảm thiểu đáng kể khả năng phát hiện của phần mềm diệt virus truyền thống. Những kỹ thuật này giúp che giấu hành vi độc hại và duy trì hoạt động trong thời gian dài.
Mục tiêu cuối cùng là thiết lập và duy trì quyền kiểm soát từ xa liên tục trên các hệ thống bị lây nhiễm, cho phép kẻ tấn công thực hiện các hoạt động gián điệp hoặc phá hoại trong thời gian dài. Điều này củng cố vị thế xâm nhập mạng của kẻ tấn công mà không bị phát hiện.
Trong biến thể tiêm script Lua, kẻ tấn công triển khai các script độc hại bằng cách sử dụng API EnumWindowStationsW. API này được dùng để tiêm shellcode và phân phối mã độc Cobalt Strike beacon, một công cụ phổ biến trong các cuộc tấn công tinh vi. Các cuộc tấn công Cobalt Strike thường được ghi nhận là rất hiệu quả trong việc thiết lập và duy trì quyền truy cập.
Chỉ số thỏa hiệp (Indicators of Compromise – IOCs)
Hoạt động bổ sung được quan sát thấy từ tháng 8 đến tháng 11 năm 2025 đã cho thấy giao tiếp liên tục với các máy chủ Command-and-Control (C2). Giao tiếp này là bằng chứng rõ ràng về sự kiểm soát từ xa của kẻ tấn công sau khi thực hiện xâm nhập mạng.
Các địa chỉ IP của máy chủ C2 được xác định là mục tiêu cần chặn trong các hệ thống phòng thủ:
45.76.155[.]20245.77.31[.]210
Kẻ tấn công đã luân chuyển giữa các máy chủ để duy trì quyền truy cập liên tục vào các hệ thống bị xâm nhập. Đây là chiến thuật phổ biến trong các chiến dịch xâm nhập mạng dài hạn nhằm tránh bị phát hiện và khó bị chặn hoàn toàn.
Các beacon thành công đến máy chủ độc hại thường xảy ra trong vòng vài giây sau khi tải xuống payload độc hại, cho thấy hiệu quả của chuỗi lây nhiễm. Giao tiếp này sau đó tiếp tục trong một thời gian dài, khẳng định sự kiểm soát bền vững và khả năng thu thập thông tin.
Biện pháp khắc phục và cải thiện bảo mật của Notepad++
Notepad++ đã phản ứng nhanh chóng bằng cách phát hành phiên bản 8.9.1, tích hợp các biện pháp bảo mật nâng cao nhằm chống lại các cuộc tấn công tương tự trong tương lai.
Các cải tiến này bao gồm xác minh chứng chỉ và chữ ký số của các trình cài đặt được tải xuống, đảm bảo tính toàn vẹn và nguồn gốc của phần mềm. Đồng thời, có cả ký XML cho các phản hồi từ máy chủ cập nhật, ngăn chặn việc giả mạo các thông báo cập nhật.
Để tăng cường hơn nữa bảo mật và giảm thiểu rủi ro bị xâm nhập mạng trong tương lai, các nhà phát triển đã di chuyển sang một nhà cung cấp dịch vụ lưu trữ mới. Nhà cung cấp này áp dụng các thực tiễn bảo mật mạnh mẽ hơn và có cơ sở hạ tầng được bảo vệ tốt hơn.
Notepad++ cũng có kế hoạch thực thi các quy trình xác minh chặt chẽ hơn, bắt đầu từ phiên bản 8.9.2. Đây là một cam kết quan trọng nhằm đảm bảo an toàn cho người dùng bằng cách tăng cường kiểm tra tất cả các thành phần liên quan đến cập nhật và cài đặt, qua đó hạn chế tối đa các lỗ hổng CVE tiềm ẩn.
