Skip to main content

Command Palette

Search for a command to run...

GigaWiper: Khi một backdoor "lai ghép" ba dòng mã độc thành một cỗ máy phá hoại theo yêu cầu

Updated
16 min readView as Markdown
GigaWiper: Khi một backdoor "lai ghép" ba dòng mã độc thành một cỗ máy phá hoại theo yêu cầu

Tổng Quan

Ngày 09/07/2026, Microsoft Threat Intelligence công bố phân tích chi tiết ở cấp độ mã nguồn về GigaWiper — một backdoor viết bằng ngôn ngữ Go (Golang) có khả năng phá hoại hệ thống ở mức độ đĩa vật lý. Điều khiến GigaWiper trở nên đặc biệt không nằm ở một kỹ thuật đơn lẻ, mà ở kiến trúc của nó: đây không phải một wiper thuần túy, mà là sản phẩm "khâu vá" từ ít nhất ba họ mã độc riêng biệt — một wiper đĩa vật lý, một module mã hóa bắt nguồn từ ransomware Crucio, và một wiper an toàn nhiều lượt tái hiện lại logic của FlockWiper — gộp lại thành các lệnh backdoor gọi theo yêu cầu trong cùng một implant.

Rủi ro cốt lõi của mô hình này là tính linh hoạt kép: kẻ tấn công có thể lặng lẽ duy trì quyền kiểm soát và do thám trong nhiều tháng, rồi chỉ bằng một câu lệnh, chuyển ngay sang chế độ hủy diệt — xóa sạch ổ đĩa, mã hóa dữ liệu không thể khôi phục, gây màn hình xanh chết chóc (BSOD) và xóa dấu vết. Microsoft nhấn mạnh đây là một bước chuyển đáng chú ý của dòng mã độc wiper, vốn trước nay thường chỉ được thiết kế thuần túy để hủy diệt chứ không kết hợp cả gián điệp và tống tiền.

Hoạt động phá hoại được Microsoft ghi nhận lần đầu từ tháng 10/2025 và kéo dài hơn tám tháng. GigaWiper cũng được Google Threat Intelligence Group (GTIG)Binary Defense theo dõi dưới định danh BLUERABBIT; Binary Defense ghi nhận các tệp tương ứng lần đầu vào tháng 03/2026.


Đôi Nét Về Threat Actor

Định danh và Attribution

Microsoft không đưa ra quy kết chính thức về nhà nước tài trợ trong bài phân tích của mình. Thay vào đó, hãng liên kết GigaWiper với cùng một nhà phát triển đã tạo ra Crucio và FlockWiper, dựa trên bằng chứng ở cấp độ mã nguồn (trình bày chi tiết ở phần sau). Tuy nhiên, sợi dây liên hệ tới Crucio mở ra một hướng attribution đáng lưu ý.

Thuộc tính Chi tiết
Tên công cụ GigaWiper (Microsoft) / BLUERABBIT (GTIG, Binary Defense)
Ngôn ngữ phát triển Go (Golang) — các mẫu là PE chưa bị strip (unstripped)
Thời điểm ghi nhận Hoạt động phá hoại: tháng 10/2025 (Microsoft); tệp BLUERABBIT: tháng 3/2026 (Binary Defense)
Họ mã độc thành phần Wiper đĩa vật lý độc lập + Crucio (ransomware) + FlockWiper (secure wiper)
Cơ sở attribution Cùng nhà phát triển của Crucio và FlockWiper [Microsoft]
Động cơ Phá hoại (destruction) kết hợp gián điệp (espionage) và ngụy trang tống tiền (fake ransomware)

Sợi dây liên hệ tới Crucio và CyberAv3ngers

Module mã hóa của GigaWiper (Command 3) dùng chung một hàm mang tên BigBangExtortMain với ransomware Crucio. Crucio đã được Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) ghi nhận trong khuyến cáo AA23-335A tháng 12/2023.


Phân Tích Kĩ Thuật

Microsoft ghi nhận hai loại mẫu GigaWiper trong các môi trường bị xâm phạm, cả hai đều là PE viết bằng Golang chưa bị strip:

  1. Wiper độc lập (standalone wiper binary)

  2. Backdoor đầy đủ chức năng — trong đó toàn bộ mã của wiper độc lập được nhúng vào như một lệnh của backdoor.

Thành phần 1: Wiper đĩa vật lý độc lập

Thay vì xóa từng tệp, wiper này hoạt động ở mức đĩa vật lý. Chuỗi hành vi của nó:

  1. Liệt kê đĩa qua WMI: Sử dụng truy vấn Windows Management Instrumentation để lấy định danh thiết bị và metadata của từng ổ đĩa.

  2. Xác định ổ chứa Windows: Gọi hàm main.FindWindowsDrive để tìm ổ chứa bản cài đặt Windows (ví dụ \\.\PHYSICALDRIVE0).

  3. Phá bảng phân vùng của các ổ khác: Với mỗi ổ không phải Windows, gọi main.unallocateDrive — sử dụng DeviceIoControl cùng IOCTL_DISK_CREATE_DISK để khởi tạo lại metadata phân vùng, xóa sạch các entry trong bảng phân vùng. Nếu thành công, in ra console dòng Partitions removed successfully.

  4. Ghi đè dữ liệu: Gọi main.writeRandToDrive ghi đè từng ổ theo từng khối kích thước 0xA00000. Chi tiết kỹ thuật đáng chú ý: byte đầu tiên của mỗi buffer được ngẫu nhiên hóa bằng crypto/rand.Read, phần còn lại là các byte 0. Nếu tạo số ngẫu nhiên thất bại, dùng giá trị byte 1. Kiểu ghi đè này có thể nhằm né các cơ chế phát hiện tìm kiếm hành vi zero-hóa toàn đĩa một cách lộ liễu.

  5. Khởi động lại ngay lập tức: Gọi chức năng shutdown của Windows với tùy chọn restart và độ trễ bằng 0.

Trong backdoor, chính chức năng này được cài đặt dưới dạng hàm rabbit_tools_tool_wipe_main.WipeMain — trùng cả luồng mã lẫn tên hàm với bản độc lập.

Thành phần 2: Backdoor — Persistence và C2

Duy trì hiện diện (Persistence):

  • Tạo và sử dụng khóa registry HKCU\SOFTWARE\OneDrive\Environment để đếm số lần thực thi.

  • Ở lần chạy đầu, tạo một Scheduled Task ngụy trang tên OneDrive Update, cấu hình chạy gần như mỗi phút cộng với một lần khi hệ thống khởi động.

Kênh liên lạc (C2) — kép:

  • RabbitMQ qua giao thức AMQP: nhận lệnh từ máy chủ C2.

  • Redis: cập nhật trạng thái và kết quả thực thi lệnh.

  • Cấu hình được mã hóa cứng (hard-coded), giải mã bằng AES với khóa cố định. Một mẫu quan sát được dùng 185.182.193[.]21:5544 làm máy chủ RabbitMQ C2 và 185.182.193[.]21:7542 làm máy chủ Redis.

  • Backdoor khai báo một fanout exchange tên "All" (mọi lệnh gửi vào đây được phát broadcast tới toàn bộ client bị nhiễm) và một topic exchange tên "Topic" (cho phép gửi lệnh nhắm mục tiêu, không broadcast).

Thành phần 3: Bộ lệnh điều khiển (Command 1–20)

Đây là phần cho thấy rõ nhất tính "đa nhân cách" của GigaWiper. Backdoor hỗ trợ tối đa 20 mã lệnh:

Command Chức năng Ghi chú
1 Gọi WipeMain — wiper đĩa vật lý Trùng khớp với wiper độc lập
2 Gây BSOD và ngăn máy khởi động Vô hiệu hóa Windows Recovery, chiếm quyền sở hữu và xóa các tệp boot/kernel then chốt
3 Gọi RanMain + BigBangExtortMainmã hóa kiểu ransomware Khóa và IV ngẫu nhiên, không lưu ở đâu → không thể giải mã. Đổi đuôi tệp thành .candy, đặt ảnh nền cảnh báo. Nguồn gốc: Crucio
4 Tải tệp lên kho lưu trữ từ xa bằng MinIO Client (mc.exe) Nhận tham số: IP/Port, alias, user/pass, bucket, đường dẫn nguồn
5 Tiện ích mã hóa/giải mã tệp hàng loạt (AES-256-CBC) Có chế độ enc/dec; nếu không cấp khóa sẽ sinh ngẫu nhiên và lưu vào key.txt
6 Chạy PE từ map (chưa thấy populated) Log Exec cmd wipe-file gợi ý đây là chức năng wiper
7 PowerShell shell + các "special command" Nối `;"
8 Quản lý route RabbitMQ Bind/unbind routing key để nhận lệnh nhắm mục tiêu
9 Chụp màn hình mỗi màn hình đang hoạt động Lưu PNG theo .\<timestamp>\<index>.png
10 Quay màn hình khi người dùng không idle và máy được mở khóa Lưu vào C:\ProgramData\output (always-run)
11 Chạy PE từ map (chưa thấy populated) Log Exec cmd keylog gợi ý keylogger
12 Gọi WipeCMainwiper an toàn nhiều lượt cho ổ Windows Ghi đè nhiều pass với các mẫu byte xen kẽ (0x00, 0xFF, ngẫu nhiên). Nguồn gốc: FlockWiper
13 Chạy PE từ map, chạy với quyền admin Log Exec cmd wipe32 gợi ý một wiper khác
14 (Chưa được cài đặt)
15 Thu thập thông tin hệ thống (GRATClientInfo) IP, Machine GUID, CPU, OS, cấu hình mạng, firmware, user, thông tin phần mềm diệt virus
16 Quản lý tiến trình create/resume/suspend/list/kill/processInfo
17 Quản lý dịch vụ create/delete/restart/query/start/list/stop
18 Quản lý Registry (phiên tương tác) show/navigate/back/createKey/deleteKey/setValue...
19 Xóa nhật ký sự kiện Windows Xóa System/Setup/Application/ForwardedEvents/Security qua wevtutil.exe; nếu thất bại thì xóa trực tiếp Security.evtx
20 Điều khiển từ xa kiểu VNC Streaming màn hình, điều khiển chuột/bàn phím qua TCP; tạo firewall rule ngụy trang tên rule hợp pháp của Windows (Microsoft.Windows.CloudExperienceHost)

GigaWiper Được "Lắp Ráp" Như Thế Nào

Điểm mấu chốt trong phân tích của Microsoft: ba lệnh phá hoại (1, 3, 12) đều bắt nguồn từ ba họ mã độc riêng biệt mà chính threat actor này từng dùng, được khâu lại thành các lệnh trong cùng một implant.

Bằng chứng liên kết với Crucio (Command 3)

  • Hàm BigBangExtortMain mang tên trùng khớp với một hàm trong ransomware Crucio (ghi nhận trong khuyến cáo CISA AA23-335A, 12/2023).

  • Command 3 dựa rất nhiều vào mã của Crucio về luồng thực thi và cách đặt tên hàm.

  • → Microsoft đánh giá cùng một threat actor đã phát triển cả hai họ mã độc.

Bằng chứng liên kết với FlockWiper (Command 12)

  • WipeCMain về cơ bản trùng khớp với wiper mà Microsoft theo dõi dưới tên FlockWiper. FlockWiper viết bằng C, còn GigaWiper tái cài đặt logic đó bằng Go với bổ sung tính năng ghi đè nhiều lượt.

  • FlockWiper được tải lên VirusTotal lần đầu tháng 06/2025, tức vài tháng trước khi GigaWiper xuất hiện.

  • Chuỗi "GRAT": Các mẫu FlockWiper chứa đường dẫn PDB tham chiếu chuỗi GRAT (ví dụ A:\GRAT\CWipeNew\Release\CWipeNew.pdb). Chuỗi này cũng xuất hiện dày đặc trong tên hàm của GigaWiper. Đáng chú ý, các binary FlockWiper không chứa chức năng "GRAT" nào — điều này gợi ý sự tồn tại của một framework hoặc component lớn hơn chưa được phục hồi.


Tóm Tắt Rủi Ro Chiến Dịch

Chiều Rủi ro Mức độ Lý do
Khả năng Phá hủy (Destructiveness) Nghiêm trọng Ba cơ chế xóa dữ liệu độc lập + mã hóa không thể khôi phục; xóa cả bảng phân vùng và ổ Windows
Khả năng Khôi phục (Recoverability) Rất thấp Khóa mã hóa ngẫu nhiên không bao giờ được lưu; ghi đè nhiều pass theo chuẩn secure-erase
Tính linh hoạt (Flexibility) Rất cao Cùng một implant vừa do thám âm thầm, vừa phá hoại theo yêu cầu — chuyển chế độ chỉ bằng một câu lệnh
Khả năng Ẩn mình (Stealth) Cao Ghi đè byte đầu ngẫu nhiên để né phát hiện; xóa event log; ngụy trang Scheduled Task ("OneDrive Update") và firewall rule
Độ Bền của Xâm phạm (Persistence) Cao Scheduled Task chạy mỗi phút + khi khởi động; C2 kép RabbitMQ/Redis
Phạm vi Ảnh hưởng (Blast Radius) Cao Fanout exchange "All" cho phép broadcast lệnh phá hoại tới toàn bộ máy bị nhiễm cùng lúc

IOC & Artifacts

Host-based Indicators

  • Scheduled Task ngụy trang: tên OneDrive Update, cấu hình chạy mỗi phút + khi khởi động.

  • Khóa registry: HKCU\SOFTWARE\OneDrive\Environment (bộ đếm số lần thực thi).

  • Tệp bị mã hóa: đuôi .candy; ảnh nền bị đổi thành ./image_danger.jpg.

  • Thư mục output: C:\ProgramData\output (bản ghi màn hình từ Command 10).

  • Firewall rule ngụy trang: đặt tên theo Microsoft.Windows.CloudExperienceHost.

  • Console string đặc trưng: Partitions removed successfully., Pass 1/2/3 Time took:, chuỗi bất thường kharbvnmhkjbkjb (in ra khi xóa event log).

Network Indicators (C2)

Indicator Type Mô tả
185.182.193[.]21 IP GigaWiper C2 (RabbitMQ :5544, Redis :7542)
212.8.248[.]104 IP GigaWiper C2

Malicious files (SHA-256)

Hash Loại
633d4cbd496b1094495da89a64f5e6c31a0f6d4d1488411db5b0cba1cfe42001 GigaWiper backdoor
ce9ad5f6c12019f4aae5b189bd8ddf5bb09e75b06a0a587b25a855c65948c913 GigaWiper backdoor
f622ed85ef31ad4ab973f4e74524866fe1bb44f0965ad2b2ad796cd657a05bfd GigaWiper backdoor
9706a192e2c1a1faaf0a521daf31c2af60ff4590e3f47bbb4abc227f42af0683 GigaWiper backdoor
3c30deb6556a94cfb84ae51798f4aecfae8c7358e55fdb321c5f2376579631cd GigaWiper standalone wiper
440b5385d3838e3f6bc21220caa83b65cd5f3618daea676f271c3671650ce9a3 Crucio
12c39f052f030a77c0cd531df86ad3477f46d1287b8b98b625d1dcf89385d721 FlockWiper
db41e0da7ab3305be8d9720769c6950b4dc1c1984ef857d3310eb873a0fc7674 FlockWiper

MITRE ATT&CK Mapping

Tactic Technique ID Technique Name Mô tả trong chiến dịch
Persistence T1053.005 Scheduled Task/Job: Scheduled Task Task OneDrive Update chạy mỗi phút và khi khởi động
Persistence T1547 Boot or Logon Autostart Execution Kết hợp khóa registry HKCU\...\OneDrive\Environment
Command and Control T1071 Application Layer Protocol C2 qua RabbitMQ (AMQP) và Redis
Collection T1113 Screen Capture Command 9 (chụp) và Command 10 (quay màn hình)
Collection T1082 System Information Discovery Command 15 thu thập thông tin hệ thống và AV
Defense Evasion T1070.001 Indicator Removal: Clear Windows Event Logs Command 19 xóa System/Setup/Application/Security log
Defense Evasion T1036 Masquerading Ngụy trang Scheduled Task và firewall rule theo tên hợp pháp
Impact T1561.001 Disk Wipe: Disk Content Wipe Command 1 ghi đè nội dung đĩa thô
Impact T1561.002 Disk Wipe: Disk Structure Wipe Xóa bảng phân vùng qua IOCTL_DISK_CREATE_DISK
Impact T1486 Data Encrypted for Impact Command 3 mã hóa kiểu ransomware không thể khôi phục
Impact T1529 System Shutdown/Reboot Ép reboot ngay sau khi wipe
Impact T1499 Endpoint Denial of Service Command 2 gây BSOD, chặn khởi động

Nhận Định

Kiến trúc của GigaWiper phản ánh một xu hướng đáng lo trong thế giới mã độc phá hoại: sự "công nghiệp hóa" và hợp nhất công cụ. Thay vì phát triển và triển khai riêng lẻ từng wiper, ransomware hay công cụ do thám, threat actor gộp tất cả vào một implant mô-đun duy nhất. Điều này mang lại hai lợi thế vận hành: giảm dấu chân triển khai (deployment footprint) và mở rộng năng lực phá hoại — kẻ tấn công chỉ cần đưa vào một payload nhưng có trong tay cả kho vũ khí.

Ranh giới giữa gián điệp, ransomware và phá hoại đang mờ dần. GigaWiper cho phép kẻ tấn công lặng lẽ chụp màn hình, quay video, thu thập thông tin hệ thống trong nhiều tháng — hoạt động không khác gì một chiến dịch gián điệp — rồi khi cần, kích hoạt lệnh xóa sạch. Đặc biệt nguy hiểm là module Command 3 giả dạng ransomware nhưng thực chất là wiper: nó đổi đuôi .candy, đặt ảnh nền cảnh báo, tạo cảm giác đây là một vụ tống tiền có thể "trả tiền chuộc để lấy lại dữ liệu" — trong khi thực tế khóa giải mã không bao giờ tồn tại. Đây là đòn tâm lý khiến nạn nhân lãng phí thời gian quý báu vào việc thương lượng thay vì khôi phục từ backup.

Với đội ngũ phòng thủ, hệ quả rất rõ ràng: không thể chỉ dựa vào việc "phân loại" mã độc để ưu tiên xử lý. Bất kỳ backdoor nào tồn tại lâu trong mạng đều nên được xem là rủi ro hủy hoại dữ liệu tiềm tàng, bởi ranh giới giữa "một implant do thám" và "một wiper" giờ đây chỉ là một câu lệnh C2. Fanout exchange "All" còn cho phép kẻ tấn công phát lệnh phá hoại đồng loạt tới toàn bộ máy bị nhiễm — biến một sự cố cục bộ thành thảm họa toàn tổ chức trong vài giây.

Đối với các tổ chức tại Việt Nam, đặc biệt là những đơn vị vận hành hạ tầng trọng yếu (năng lượng, nước, viễn thông), sợi dây liên hệ gián tiếp tới các nhóm nhắm vào cơ sở hạ tầng công nghiệp là một lời cảnh tỉnh: với wiper, phòng ngừa và khả năng khôi phục quan trọng hơn nhiều so với phản ứng sau sự cố — bởi khi lệnh xóa đã chạy, không còn gì để phản ứng.


Khuyến Nghị

Khẩn cấp (0–24h)

  1. Săn tìm IOC ngay: Chặn hai IP C2 (185.182.193[.]21, 212.8.248[.]104) tại tường lửa/proxy; quét toàn bộ endpoint theo danh sách SHA-256 ở trên.

  2. Rà soát Scheduled Task giả mạo: Tìm task tên OneDrive Update trỏ tới binary bất thường (không nằm trong thư mục cài OneDrive chính chủ); kiểm tra khóa registry HKCU\SOFTWARE\OneDrive\Environment.

  3. Kiểm tra lưu lượng RabbitMQ/Redis bất thường: Cảnh báo mọi kết nối AMQP/Redis ra ngoài từ endpoint không có nhu cầu nghiệp vụ.

Ngắn hạn (1–7 ngày)

  1. Bật Tamper Protection toàn tenant để ngăn kẻ tấn công tắt dịch vụ bảo mật hoặc thêm loại trừ AV; với Intune/MDE, bật DisableLocalAdminMerge.

  2. Bật cloud-delivered protection và EDR in block mode để chặn các artifact độc hại kể cả khi AV bên thứ ba bỏ sót.

  3. Xây dựng luật phát hiện trên EDR/SIEM:

    • Tiến trình gọi DeviceIoControl với IOCTL_DISK_CREATE_DISK hoặc ghi thô vào \\.\PHYSICALDRIVE* từ tiến trình không đáng tin.

    • Việc xóa event log hàng loạt qua wevtutil.exe cl (System, Setup, Application, Security, ForwardedEvents).

    • Sự xuất hiện của tệp đuôi .candy hoặc ảnh image_danger.jpg được đặt làm wallpaper.

    • Tạo firewall rule mới mang tên Microsoft.Windows.CloudExperienceHost từ tiến trình lạ.

Dài hạn

  1. Củng cố chiến lược sao lưu chống wiper: Duy trì backup ngoại tuyến (offline), bất biến (immutable), tách biệt mạng, và kiểm thử khôi phục định kỳ — đây là biện pháp cuối cùng còn hiệu lực khi wiper đã chạy.

  2. Áp dụng Attack Surface Reduction: Chặn thực thi tệp không đạt ngưỡng prevalence/age/trusted-list; hạn chế thực thi từ thư mục tạm.

  3. Giám sát hành vi C2 phi truyền thống: Coi RabbitMQ, Redis, MinIO Client (mc.exe) là các công cụ cần theo dõi chặt trong môi trường không có nhu cầu sử dụng chính đáng.


Tham Khảo

More from this blog

F

FPT IS Security

880 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.