Giới an ninh mạng toàn cầu đang đối mặt với một mối đe dọa kép mới khi các nhà nghiên cứu vừa công bố chi tiết về ChaosBot, một backdoor thế hệ mới được viết bằng ngôn ngữ lập trình Rust, song song với sự xuất hiện của một biến thể ransomware cùng tên, Chaos Ransomware, với những tính năng phá hoại và đánh cắp tài chính vô cùng nguy hiểm. ChaosBot cho phép kẻ tấn công thực hiện do thám và thực thi lệnh tùy ý trên các máy chủ bị xâm nhập, mở đường cho những cuộc tấn công sâu rộng hơn.
ChaosBot: Backdoor Lợi Dụng Discord Làm Bàn Đạp Tấn Công
Theo một báo cáo kỹ thuật từ công ty an ninh mạng eSentire, ChaosBot lần đầu được phát hiện vào cuối tháng 9 năm 2025 trong một cuộc tấn công nhắm vào khách hàng thuộc lĩnh vực dịch vụ tài chính. Phần mềm độc hại này đã thể hiện khả năng xâm nhập và lây lan một cách tinh vi qua hai con đường chính.
Đầu tiên, kẻ tấn công đã lợi dụng thông tin đăng nhập bị rò rỉ của một tài khoản Cisco VPN và một tài khoản Active Directory có đặc quyền cao. Từ đó, chúng sử dụng công cụ quản trị hệ thống của Windows (WMI) để thực thi lệnh từ xa, tiến hành triển khai và kích hoạt ChaosBot trên nhiều hệ thống trọng yếu trong mạng lưới của nạn nhân. Con đường thứ hai là thông qua các chiến dịch phishing, nơi kẻ tấn công gửi đi các tin nhắn chứa file Windows Shortcut (.LNK) độc hại. Khi người dùng cả tin mở file này, một lệnh PowerShell sẽ được thực thi âm thầm để tải về và chạy ChaosBot. Để che giấu hành vi và đánh lạc hướng người dùng, một file PDF mồi nhử giả dạng một văn bản tài chính quan trọng sẽ được hiển thị ngay sau đó.
Sau khi được thực thi thành công, ChaosBot sử dụng một kỹ thuật lẩn tránh phổ biến là DLL Sideloading. Một file DLL độc hại có tên msedge_elf.dll sẽ được nạp và thực thi bởi một tiến trình hợp pháp của trình duyệt Microsoft Edge là identity_helper.exe.
Điểm đặc biệt và đáng lo ngại nhất của ChaosBot là việc nó lạm dụng nền tảng giao tiếp phổ biến Discord làm kênh Giao tiếp và Điều khiển (C2). Nhóm tấn công, hoạt động dưới các bí danh “chaos_00019” và “lovebb0024”, sẽ tạo một kênh Discord riêng có tên trùng với tên máy tính của nạn nhân. Backdoor sau đó sẽ kết nối tới kênh này để chờ nhận lệnh và gửi lại kết quả thực thi. Thông qua kênh Discord, kẻ tấn công có thể ra các lệnh như shell để thực thi lệnh tùy ý, scr để chụp ảnh màn hình, download để tải tệp xuống, hay upload để lấy cắp dữ liệu từ máy nạn nhân.
Để duy trì quyền truy cập lâu dài và bền bỉ vào mạng nội bộ, ChaosBot còn tải về một công cụ fast reverse proxy (FRP), tạo ra một đường hầm reverse proxy giúp kẻ tấn công có thể kết nối vào hệ thống từ xa bất cứ lúc nào. Các biến thể mới nhất của ChaosBot còn được trang bị những kỹ thuật lẩn tránh tinh vi như vô hiệu hóa Event Tracing for Windows (ETW) để ngăn chặn việc ghi lại nhật ký hệ thống, và khả năng Anti-VM bằng cách kiểm tra địa chỉ MAC để tự động thoát nếu phát hiện đang chạy trong môi trường ảo hóa.
Chaos Ransomware: Khi Tống Tiền Biến Thành Phá Hoại Dữ Liệu
Trong một diễn biến liên quan nhưng không kém phần nguy hiểm, các nhà nghiên cứu từ Fortinet FortiGuard Labs đã phân tích một biến thể mới của Chaos Ransomware, được viết bằng ngôn ngữ C++. Phiên bản này đã được bổ sung hai tính năng cực kỳ nguy hiểm, biến nó từ một công cụ tống tiền đơn thuần thành một vũ khí phá hoại dữ liệu và đánh cắp tài chính.
Tính năng đáng sợ nhất là khả năng phá hủy dữ liệu. Thay vì chỉ mã hóa, Chaos-C++ được lập trình để xóa vĩnh viễn các file có dung lượng lớn hơn 1.3 GB. Điều này có nghĩa là ngay cả khi nạn nhân chấp nhận trả tiền chuộc, những dữ liệu quan trọng như các bản sao lưu lớn, video, hay cơ sở dữ liệu sẽ không thể nào khôi phục được. Trong khi đó, các file nhỏ hơn 50 MB sẽ bị mã hóa hoàn toàn, và các file có dung lượng từ 50 MB đến 1.3 GB sẽ được bỏ qua, có lẽ là để tăng tốc độ lây nhiễm.
Không chỉ dừng lại ở đó, ransomware này còn có khả năng đánh cắp tiền điện tử thông qua kỹ thuật Clipboard Hijacking. Nếu phát hiện nó đã từng chạy trên máy tính trước đây, thay vì mã hóa, nó sẽ chuyển sang chế độ theo dõi clipboard. Khi người dùng sao chép một địa chỉ ví Bitcoin, phần mềm độc hại sẽ ngay lập tức thay thế nó bằng địa chỉ ví của kẻ tấn công, nhằm mục đích chiếm đoạt các giao dịch tiền điện tử của nạn nhân.
Khuyến Nghị An Toàn
Sự trỗi dậy của ChaosBot và biến thể Chaos Ransomware mới cho thấy tội phạm mạng đang liên tục nâng cấp vũ khí, sử dụng các ngôn ngữ lập trình hiện đại như Rust để tăng hiệu suất và độ khó trong việc phân tích, đồng thời lạm dụng các nền tảng hợp pháp như Discord để che giấu hoạt động.
Để bảo vệ hệ thống trước những mối đe dọa này, các quản trị viên hệ thống và người dùng cuối cần hành động quyết liệt. Trước hết, cần nâng cao cảnh giác với các hình thức lừa đảo, đặc biệt thận trọng với các email và tin nhắn chứa file đính kèm lạ, nhất là các file .LNK. Bên cạnh đó, việc quản lý định danh và truy cập chặt chẽ, áp dụng nguyên tắc đặc quyền tối thiểu cho các tài khoản là vô cùng quan trọng. Đồng thời, các tổ chức cần giám sát mạng để phát hiện các luồng dữ liệu bất thường, đặc biệt là các kết nối tới những dịch vụ như Discord từ các máy chủ quan trọng. Cuối cùng, việc sao lưu dữ liệu thường xuyên và lưu trữ các bản sao lưu một cách tách biệt dạng offline hoặc air-gapped là biện pháp cốt yếu để đảm bảo khả năng phục hồi khi đối mặt với các cuộc tấn công phá hoại.
