Tin tặc nghi liên quan Trung Quốc lợi dụng Roundcube để đột nhập các trường đại học, thủ đoạn nguy hiểm thế nào?

Duy Linh
Duy Linh
Phản hồi: 0

Duy Linh

Writer
Một nhóm tin tặc được Proofpoint theo dõi với tên UNK_MassTraction, bị nghi có liên hệ với Trung Quốc, đang lợi dụng các lỗ hổng bảo mật n-ngày trên hệ thống webmail Roundcube để tấn công các khoa vật lý và kỹ thuật của nhiều trường đại học tại Mỹ và Canada.
1783492982317.png

Chiến dịch sử dụng chuỗi tấn công gồm hai giai đoạn, bắt đầu từ trình duyệt của nạn nhân rồi mở rộng sang máy chủ. Ban đầu, nhóm khai thác lỗ hổng Cross-Site Scripting (XSS) mang mã CVE-2024-42009 để thực thi mã JavaScript trên trình duyệt, sau đó đánh cắp thông tin đăng nhập, phiên làm việc và tiếp tục khai thác phía máy chủ nhằm thực thi mã từ xa hoặc cài đặt cửa hậu chỉ tồn tại trong bộ nhớ.

Chuỗi tấn công từ trình duyệt đến máy chủ

Theo Proofpoint, chiến dịch mở đầu bằng các email lừa đảo được gửi từ những tài khoản email đã bị xâm nhập hoặc từ các tên miền giả mạo do chính sách DMARC yếu hoặc không được triển khai. Nội dung email chứa mã HTML khai thác lỗ hổng XSS của Roundcube thông qua hàm onanimationstart.

Khi người dùng mở email trên máy chủ Roundcube dễ bị tấn công, đoạn mã độc sẽ được thực thi ngay trong trình duyệt webmail. Mã JavaScript này đóng vai trò là trình tải cho giai đoạn tiếp theo của cuộc tấn công, được Proofpoint đặt tên là IceCube.

Sau khi thoát khỏi iframe của Roundcube, IceCube thu thập hàng loạt dữ liệu quan trọng gồm tên đăng nhập, mật khẩu, mã xác thực hai yếu tố (2FA), cookie, mã CSRF và các thông tin nhận dạng trình duyệt.

Toàn bộ dữ liệu phiên làm việc sau đó được gửi về máy chủ điều khiển và kiểm soát (C2), tạo điều kiện để kẻ tấn công tiến hành khai thác phía máy chủ.

Proofpoint đánh giá IceCube có mức độ tinh vi cao. Mã nguồn được chia thành nhiều module, có chú thích đầy đủ và tích hợp các cơ chế kích hoạt trì hoãn nhằm tiếp tục khai thác nếu người dùng chuyển trang, đóng tab hoặc đăng xuất. Phần mềm còn có cơ chế xóa dấu vết trên trình duyệt và nhiều phương án dự phòng nhằm duy trì hoạt động.

Các nhà nghiên cứu cũng nhận thấy nhiều dấu hiệu về phong cách lập trình cho thấy tác giả đã sử dụng các mô hình ngôn ngữ hỗ trợ trong quá trình phát triển mã độc.

Sau khi có được thông tin phiên làm việc, nhóm tin tặc tiếp tục khai thác lỗ hổng giải mã dữ liệu trong quá trình phân tích cú pháp Crypt_GPG_Engine, được theo dõi với mã CVE-2025-49113, để chuyển hướng sang tấn công máy chủ thư.

Bắt đầu từ tháng 5/2026, Proofpoint ghi nhận UNK_MassTraction liên tục khai thác lỗ hổng CVE-2024-42009 trong các chiến dịch nhắm vào hệ thống Roundcube.
1783493071897.png

Chuỗi lây nhiễm UNK_MassTraction (Nguồn: Proofpoint).
IceCube tạo các payload PHP được tuần tự hóa. Khi được giải tuần tự hóa, chúng sẽ kích hoạt đường dẫn thực thi thông qua hàm __destruct(), gọi các tiện ích hệ thống và triển khai một webshell nhỏ mang tên SquareShell.

VShell giúp mở rộng xâm nhập vào mạng nghiên cứu

SquareShell được cài vào tệp plugins/newmail_notifier/mail_preview.php, đồng thời chỉnh sửa dấu thời gian của tệp để giống với các thành phần hợp pháp. Webshell này cho phép thực thi mã từ xa thông qua nhiều hàm PHP phổ biến như system, passthru, exec, shell_exec, assert và popen.

Nếu việc triển khai SquareShell không thành công, chuỗi tấn công sẽ chuyển sang sử dụng tập lệnh shell để tải và thực thi trình tải ELF phù hợp với kiến trúc của hệ thống, sau đó nạp VShell trực tiếp vào bộ nhớ.

VShell là phần mềm độc hại được viết bằng ngôn ngữ Go và từng xuất hiện trong các cuộc tấn công nhằm vào Linux, macOS và Windows. Trong chiến dịch này, nó được sử dụng như một cửa hậu hoạt động trong bộ nhớ.

Trình tải sẽ ngụy trang tên tiến trình thành các tiến trình hệ thống vô hại, chẳng hạn kworker/0:2, kiểm tra các dấu hiệu đang tồn tại để tránh thực thi nhiều lần, sau đó kết nối tới máy chủ C2 và sử dụng hàm fexecve() để tải cũng như thực thi cửa hậu.

Khả năng giao tiếp tương tác và chuyển tiếp cổng giúp VShell trở thành công cụ hiệu quả để mở rộng quyền truy cập từ máy chủ thư bị xâm nhập sang các mạng nghiên cứu nội bộ.

Proofpoint cho biết nhiều dấu hiệu cho thấy chiến dịch có khả năng liên quan đến Trung Quốc, bao gồm các thành phần tiếng Trung được nhúng trong HTML, việc tái sử dụng hạ tầng VPS từng được các tác nhân có liên hệ với Trung Quốc sử dụng, cũng như việc lựa chọn các mục tiêu học thuật có giá trị cao như vật lý thiên văn, vật lý hạt và các lĩnh vực có khả năng liên quan đến an ninh quốc gia.
1783493155462.png

Tập lệnh bash tải VShell (Nguồn: Proofpoint).
Ngoài ra, việc sử dụng VShell cũng tương đồng với các chiến dịch gián điệp mạng trước đây có liên quan đến Trung Quốc. Tuy nhiên, Proofpoint nhấn mạnh hiện chưa có bằng chứng trực tiếp xác nhận mối liên hệ giữa các chiến dịch này.

Các chuyên gia bảo mật khuyến nghị coi các máy chủ Roundcube kết nối Internet là những điểm truy cập biên có mức độ rủi ro cao.

Những biện pháp cần triển khai ngay gồm vá các lỗ hổng CVE-2024-42009 và CVE-2025-49113; áp dụng nghiêm ngặt DMARC và đồng bộ DMARC để hạn chế email giả mạo; thay đổi thông tin đăng nhập và vô hiệu hóa các phiên đang hoạt động khi nghi ngờ bị lộ; kiểm tra sự xuất hiện của webshell tại plugins/newmail_notifier/mail_preview.php; đồng thời giám sát các dấu hiệu của VShell trong bộ nhớ và lưu lượng C2 bất thường.

Proofpoint cũng cho biết đã phối hợp chia sẻ thông tin và mẫu mã độc với các cơ quan chính phủ cùng đối tác trong ngành. Đơn vị này nhận định các tác nhân đe dọa nhiều khả năng sẽ tiếp tục cải tiến phương thức khai thác và cơ chế phát tán mã độc, vì vậy các tổ chức cần chuẩn bị cho nguy cơ các chiến dịch tương tự tiếp tục diễn ra.

Các chỉ báo xâm nhập (IOC) đáng chú ý
  • Email bị xâm nhập: jpcontreras@newfield[.]cl (ghi nhận từ tháng 5/2026).
  • Địa chỉ IP: 45.150.109[.]151, 194.213.18[.]133 dùng để phát tán mã JavaScript IceCube và điều khiển từ xa; 45.86.229[.]111 là máy chủ C2 của VShell.
  • URL phát tán IceCube:
    • hxxps://45.150.109[.]151.sslip.io:23088/app/js/jquery.min.js
    • hxxps://194.213.18[.]133.sslip.io:23088/app/js/jquery.min.js
    • hxxps://45.150.109[.]151.sslip.io:23088
    • hxxps://194.213.18[.]133.sslip.io:23088
  • URL phân phối VShell:
    • hxxp://45.86.229[.]111/slw:8080
  • Mã băm SHA-256 của IceCube:
    • a02f124c5ce4180bd130a62ee03262f399c33491de3aed36e0b15155ae4926c0
Lưu ý, các địa chỉ IP và tên miền trên đã được cố ý vô hiệu hóa bằng ký hiệu [.] nhằm tránh việc phân giải hoặc tạo liên kết ngoài ý muốn. Chúng chỉ nên được khôi phục khi phân tích trong các nền tảng tình báo mối đe dọa như MISP, VirusTotal hoặc hệ thống SIEM.
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
http://textlink.linktop.vn/?adslk=aHR0cHM6Ly93d3cudm5yZXZpZXcudm4vdGhyZWFkcy90aW4tdGFjLW5naGktbGllbi1xdWFuLXRydW5nLXF1b2MtbG9pLWR1bmctcm91bmRjdWJlLWRlLWRvdC1uaGFwLWNhYy10cnVvbmctZGFpLWhvYy10aHUtZG9hbi1uZ3V5LWhpZW0tdGhlLW5hby44NzExNy8=
Top