An ninh mạng

Mã độc SprySOCKS mở rộng sang Windows với kỹ thuật ẩn mình qua Driver

Các nhà nghiên cứu bảo mật vừa phát hiện hai biến thể Windows mới của SprySOCKS, một loại backdoor trước đây vốn chỉ nhắm vào Linux, với khả năng ẩn mình tinh vi thông qua kernel...

Nguyen Hung
16 Tháng 6, 2026 2 Min Read
2 0

Các chuyên gia bảo mật tại ESET vừa phát hiện hai biến thể Windows mới của SprySOCKS, một loại backdoor trước đây được cho là chỉ nhắm vào hệ điều hành Linux. Hai biến thể này được định danh nội bộ là WIN_DRVWIN_PLUS, cả hai đều hỗ trợ giao thức kết nối TCP, UDP và WebSocket với cấu hình C&C (command-and-control) được mã hóa cứng.

Khả năng ẩn mình qua Kernel Driver

Giống như phiên bản Linux, các biến thể Windows hỗ trợ hơn 30 lệnh khác nhau để thu thập thông tin hệ thống, liệt kê tiến trình, quản lý dịch vụ và thao tác trên tệp tin. Điểm đáng chú ý nhất ở biến thể WIN_DRV là việc sử dụng kernel driver để che giấu các kết nối mạng, tiến trình, tệp tin và khóa registry của mã độc. Ngoài ra, nó còn cho phép chuyển hướng lưu lượng TCP, giúp kẻ tấn công gửi lệnh thông qua các cổng TCP ngẫu nhiên mà không cần mở cổng lắng nghe trực tiếp trên thiết bị nạn nhân.

Chuỗi lây nhiễm và kỹ thuật thực thi

SprySOCKS được cho là công cụ của nhóm tin tặc FishMonger (còn được biết đến với các tên gọi như Earth Lusca, Aquatic Panda), một nhóm gián điệp mạng có liên hệ với Trung Quốc.

  • WIN_DRV: Sử dụng một kernel driver có tên RawWNPF để đạt được sự ẩn mình tối đa, được nạp bởi một driver mã hóa khác là DriverLoader. Chuỗi tấn công thường bắt đầu từ việc khai thác các lỗ hổng N-day trên các nền tảng như Fortinet, GitLab, Microsoft Exchange hoặc Zimbra để thả script, sau đó thực hiện DLL side-loading.
  • WIN_PLUS: Sử dụng phương thức khác biệt bằng cách lợi dụng dịch vụ Windows Print Spooler (spoolsv.exe) để thực thi loader giai đoạn đầu, sau đó tiêm mã độc vào tiến trình svchost.exe.

Dữ liệu cho thấy các biến thể này đã được triển khai trong giai đoạn 2023-2024, nhắm vào các tổ chức chính phủ tại Honduras, Đài Loan, Thái Lan và Pakistan. Thậm chí, các nhà nghiên cứu còn tìm thấy dấu hiệu cho thấy nhóm này có thể đã sử dụng UEFI bootkit để khai thác lỗ hổng CVE-2023-24932 nhằm bypass tính năng bảo mật của Windows Boot Manager.

Việc SprySOCKS mở rộng sang môi trường Windows cho thấy sự phát triển đáng kể trong năng lực đa nền tảng của nhóm FishMonger, đồng thời nhấn mạnh mức độ nguy hiểm khi mã độc kết hợp với các kỹ thuật can thiệp sâu vào nhân hệ điều hành để duy trì sự hiện diện bền bỉ.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept