Các nhà nghiên cứu bảo mật tại Đơn vị 42 của Palo Alto Networks đã phát hiện ra biến thể ransomware 4L4MD4R, dựa trên mã nguồn mở Mauri870, trong khi phân tích các sự cố liên quan đến chuỗi khai thác SharePoint này (được gọi là "ToolShell").

Mã độc tống tiền này xuất hiện vào ngày 27/7 vừa qua sau khi giới chuyên môn phát hiện ra một trình tải phần mềm độc hại tải xuống và thực thi mã độc tống tiền từ theinnovationfactory[.]it (145.239.97[.]206).

Trình tải này bị phát hiện sau một nỗ lực khai thác thất bại, tiết lộ các lệnh PowerShell độc hại được thiết kế để vô hiệu hóa chức năng giám sát bảo mật trên các thiết bị mục tiêu.

"Phân tích tải trọng 4L4MD4R cho thấy, nó được đóng gói bằng trình nén tệp miễn phí (UPX) và được viết bằng ngôn ngữ lập trình nguồn mở GoLang. Khi thực thi, mẫu này sẽ giải mã một tải trọng được mã hóa AES trong bộ nhớ, phân bổ bộ nhớ để tải tệp PE đã giải mã và tạo một luồng mới để thực thi tệp đó", đơn vị 42 cho biết.

Phần mềm tống tiền 4L4MD4R mã hóa các tệp trên hệ thống bị xâm nhập và yêu cầu khoản thanh toán 0,005 Bitcoin, đồng thời tạo ra các ghi chú đòi tiền chuộc và danh sách tệp được mã hóa trên các hệ thống bị nhiễm.

Microsoft và Google cũng đã liên kết các cuộc tấn công ToolShell với các tác nhân đe dọa Trung Quốc, trong đó các nhà nghiên cứu bảo mật của Microsoft nêu tên ba nhóm tin tặc gồm Linen Typhoon, Violet Typhoon và Storm-2603.

Cho đến nay, nhiều mục tiêu nổi tiếng đã bị xâm nhập trong chiến dịch này, bao gồm Cơ quan An ninh Hạt nhân Quốc gia Hoa Kỳ, Bộ Giáo dục, Sở Thuế vụ Florida, Đại hội đồng Rhode Island và các mạng lưới chính phủ ở Châu Âu và Trung Đông.

Microsoft cho biết: "Microsoft đã phát hiện hai tác nhân tấn công mạng đến từ Trung Quốc được nêu tên là Linen Typhoon và Violet Typhoon, đang khai thác các lỗ hổng này nhắm mục tiêu vào các máy chủ SharePoint truy cập internet. Ngoài ra, chúng tôi còn phát hiện một tác nhân đe dọa khác có trụ sở tại Trung Quốc, được theo dõi là Storm-2603, đang khai thác các lỗ hổng này. Các cuộc điều tra về các tác nhân khác cũng sử dụng các lỗ hổng này vẫn đang được tiến hành."

Công ty an ninh mạng Eye Security của Hà Lan lần đầu tiên phát hiện ra việc khai thác ToolShell nhắm mục tiêu vào các lỗ hổng như CVE-2025-49706 và CVE-2025-49704 trong các cuộc tấn công zero-day, ban đầu xác định được 54 tổ chức bị xâm nhập, bao gồm các cơ quan chính phủ và các công ty đa quốc gia. Check Point Research sau đó đã phát hiện các dấu hiệu khai thác có từ ngày 07/7/2025, nhắm mục tiêu vào các tổ chức chính phủ, viễn thông và công nghệ trên khắp Bắc Mỹ và Tây Âu.

Microsoft đã vá hai lỗ hổng này bằng bản cập nhật Patch Tuesday tháng 7/2025 và gán hai ID CVE mới (CVE-2025-53770 và CVE-2025-53771) cho các lỗ hổng zero-day bị khai thác để xâm nhập vào các máy chủ SharePoint đã được vá đầy đủ.

Giám đốc Công nghệ Piet Kerkhofs của Eye Security cũng chia sẻ rằng, phạm vi thực tế vượt xa ước tính ban đầu, với dữ liệu của công ty cho thấy những kẻ tấn công đã lây nhiễm phần mềm độc hại vào ít nhất 400 máy chủ trên mạng lưới của ít nhất 148 tổ chức, nhiều tổ chức trong số đó đã bị xâm phạm trong thời gian dài.

Cơ quan An ninh mạng và Cơ sở hạ tầng của Mỹ (CISA) đã bổ sung lỗ hổng thực thi mã từ xa CVE-2025-53770, một phần của chuỗi khai thác ToolShell, vào danh mục các lỗ hổng bị khai thác và yêu cầu các cơ quan liên bang bảo mật hệ thống của họ trong vòng 24 giờ.

Hà Linh