Các nhà nghiên cứu của CyberProof đã ghi nhận sự gia tăng đáng kể trong các chiến dịch sử dụng mã độc Remcos (Remote Control & Surveillance Software) trong suốt tháng 9 và tháng 10 năm 2025. Các chiến dịch này khai thác các kỹ thuật fileless tinh vi nhằm né tránh các giải pháp phát hiện và phản hồi điểm cuối (EDR).

Bằng cách tận dụng các script PowerShell bị che giấu cao độ và kỹ thuật process hollowing vào RMClient.exe của Microsoft, những kẻ tấn công đang đạt được khả năng duy trì dai dẳng một cách lén lút và nhắm mục tiêu vào thông tin đăng nhập trình duyệt.

Mặc dù Remcos được quảng cáo là một công cụ truy cập từ xa thương mại hợp pháp cho mục đích giám sát và kiểm thử thâm nhập, nhưng các tác nhân đe dọa tiếp tục tái sử dụng nó cho các hoạt động bất hợp pháp. CyberProof đã cung cấp phân tích sâu về các cuộc tấn công này.

Chi tiết Kỹ thuật Tấn Công Mạng Fileless

Khai Thác Ban Đầu và Kịch Bản Tấn Công

Trong sự cố gần đây nhất, cuộc tấn công bắt đầu bằng một email spear-phishing chứa một tập tin lưu trữ có tên “EFEMMAK TURKEY INQUIRY ORDER NR 09162025.gz.”.

Nạn nhân, bị dụ dỗ bởi chủ đề “đơn đặt hàng” đáng tin cậy, đã tải tập tin xuống qua Microsoft Edge. Sau khi được giải nén, tập tin lưu trữ đã thả một tập tin batch vào thư mục Temp của người dùng với đường dẫn tương tự như sau:

C:Users<username>AppDataLocalTemp0f764ae-38a7-46c6-9b3e-5131512535c7_EFEMMAK TURKEY INQUIRY ORDER NR 09162025.bat

Kỹ Thuật Obfuscation PowerShell và Thực Thi Payload

Tập tin batch này khởi chạy một script PowerShell bị che giấu sử dụng các hàm được đặt tên là ‘Lotusblo’ và ‘Garrots’ để che giấu mục đích thực sự của nó.

Mã PowerShell nhúng đã tạo ra một tiến trình ẩn, sử dụng bộ giải mã chuỗi tùy chỉnh, và gọi các payload được tải xuống một cách động bằng Invoke-Expression. GBHackers đã từng phân tích các hoạt động PowerShell tương tự.

Được cấu hình để áp dụng TLS 1.2 và sử dụng User-Agent tùy chỉnh, script nhắm mục tiêu vào C:Users<username>AppDataRoamingHereni.Gen và đi vào một vòng lặp cố gắng lấy ‘Sluknin.afm’ từ hxxps://icebergtbilisi.ge/Sluknin.afm cứ sau bốn giây cho đến khi thành công.

Sau khi tải xuống, tập tin trải qua giải mã Base64, giải nén GZip và thực thi qua Invoke-Expression.

Process Hollowing và Né Tránh Phát Hiện

Một đoạn mã PowerShell tiếp theo đã lợi dụng msiexec.exe để thực thi giai đoạn tiếp theo:

msiexec.exe /q /i {malicious_parameters}

Lệnh này che giấu các tham số độc hại và thực thi msiexec.exe, sau đó msiexec.exe tự rỗng bộ nhớ của mình để chứa payload của mã độc Remcos bên trong RMClient.exe.

Cách tiếp cận fileless này đã khai thác nhị phân RMClient hợp pháp—có mã SHA-256 hash8f6a3b111f6e0498cb677b175966175bfa53e58c9fb41ddb63c7b7568e24c760 khớp với phân phối Microsoft chính hãng—để che đậy hoạt động độc hại.

Tác động và Thách thức Phát Hiện Xâm Nhập

Đánh Cắp Thông Tin Đăng Nhập

Hệ thống EDR chỉ phát hiện một phần hành vi bất thường khi msiexec.exe cố gắng thực hiện process hollowing vào RMClient.exe, kích hoạt cảnh báo khi RAT thăm dò các tập tin lưu trữ mật khẩu trình duyệt.

Các nhà phân tích của CyberProof xác định rằng instance Remcos được tiêm đã truy cập chủ động các thông tin đăng nhập đã lưu trong các trình duyệt dựa trên Chromium, cho thấy động cơ chính là đánh cắp thông tin đăng nhập thông qua các cuộc tấn công mạng có mục tiêu cơ hội.

Liên Lạc C2 và Các Chỉ Báo Thỏa Hiệp (IOCs)

Sau khi tiêm, phân tích ID tiến trình của msiexec cho thấy việc tạo ra các tập tin có tên ngẫu nhiên trong thư mục Temp và nhiều liên lạc command-and-control (C2). GBHackers cũng thường xuyên đưa tin về các phương thức liên lạc C2 khác nhau.

Các kết nối C2 ban đầu đến các tên miền như icebergtbilisi.ge đã thành công trước khi các lần thử tiếp theo thất bại. Phân tích pháp y mạng xác nhận các yêu cầu GET đến các điểm cuối độc hại sử dụng chuỗi User-Agent tùy chỉnh được nhúng trong PowerShell loader.

Chỉ báo Thỏa hiệp (Indicators of Compromise – IOCs):

• SHA-256 (RMClient.exe hợp pháp bị lợi dụng):8f6a3b111f6e0498cb677b175966175bfa53e58c9fb41ddb63c7b7568e24c760
• Tên miền C2:icebergtbilisi.ge
• URL Payload:hxxps://icebergtbilisi.ge/Sluknin.afm
• Tên tệp tin đính kèm spear-phishing:EFEMMAK TURKEY INQUIRY ORDER NR 09162025.gz
• Đường dẫn tệp tin batch:C:Users<username>AppDataLocalTemp0f764ae-38a7-46c6-9b3e-5131512535c7_EFEMMAK TURKEY INQUIRY ORDER NR 09162025.bat

Truy Lùng Mối Đe Dọa với KQL

Để hỗ trợ các nhà phòng thủ, các nhà nghiên cứu của CyberProof đã chia sẻ một truy vấn Kusto Query Language (KQL) để thu thập các sự kiện liên quan:

DeviceProcessEvents
| where FileName == "RMClient.exe"
| where InitiatingProcessFileName == "msiexec.exe"
| where InitiatingProcessCommandLine contains "AppData\Local\Temp\"
| project Timestamp, DeviceName, InitiatingProcessCommandLine, FileName, FolderPath, SHA256

Truy vấn này cô lập các trường hợp RMClient.exe được khởi chạy bởi msiexec từ các thư mục tạm thời, làm nổi bật hiệu quả các trường hợp lây nhiễm mã độc Remcos fileless tiềm ẩn. Đây là một phương pháp hiệu quả để phát hiện xâm nhập dựa trên hành vi.

CyberProof tiếp tục theo dõi chiến dịch đang phát triển này. Các đánh giá ban đầu cho thấy những kẻ tấn công có thể đã thỏa hiệp các trang web hợp pháp để lưu trữ các payload bổ sung.

Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro Bảo Mật

Do phương pháp fileless làm cho việc phát hiện dựa trên chữ ký truyền thống kém hiệu quả hơn, các tổ chức được khuyến khích tăng cường giám sát hành vi, thực thi chính sách thực thi PowerShell nghiêm ngặt và sử dụng quét bộ nhớ thời gian thực để phát hiện process hollowing bất thường và thực thi mã động.

Việc cập nhật các quy tắc phát hiện và nguồn cấp dữ liệu threat intelligence sẽ được công bố khi có các chỉ số mới xuất hiện, giúp giảm thiểu rủi ro bảo mật từ các cuộc tấn công mạng tinh vi như vậy.