Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Khi Microsoft Teams không còn là Teams: Sự thật phía sau bản RustDesk bị trojan hóa

Published
9 min read
Khi Microsoft Teams không còn là Teams: Sự thật phía sau bản RustDesk bị trojan hóa
L
Lưu Tuấn Anh
Part of seriesNewsletters

Tổng quan

Một chiến dịch tấn công tinh vi vừa được phát hiện, trong đó kẻ tấn công phát tán một bộ cài giả mạo Microsoft Teams (MSTeamsSetup.exe) nhằm lén đưa vào hệ thống một phiên bản RustDesk đã bị trojan hóa.

Điểm khiến chiến dịch này trở nên đặc biệt nguy hiểm nằm ở chỗ: file độc hại được ký bằng chữ ký số hợp lệ mang tên “Zlatin Stamatov”. Nhờ lớp “vỏ bọc” này, malware dễ dàng vượt qua các cơ chế phòng thủ quen thuộc như AV hay EDR — những hệ thống vốn tin tưởng phần mềm đã được ký số.

Ẩn sâu phía sau là một hạ tầng điều khiển (C2) có nhiều dấu hiệu trùng khớp với các hoạt động trước đây của nhóm “calipology”, vốn được biết đến với framework Striker C2. Thay vì phát triển mã độc từ đầu, kẻ tấn công chọn một con đường “khôn ngoan” hơn: lợi dụng một công cụ hợp pháp như RustDesk, nhưng âm thầm cấu hình lại để tự động kết nối về máy chủ của chúng ngay khi được cài đặt.

Timeline sự kiện

Chiến dịch cho thấy sự chuẩn bị dài hạn về mặt hạ tầng trước khi triển khai thực tế:

Thời gian Sự kiện Chi tiết
07/05/2025 Đăng ký Domain systemautoupdater[.]com được đăng ký qua GoDaddy.
01/06/2025 Cấu hình DNS Cập nhật bản ghi DNS, thiết lập hạ tầng ẩn mình trong gần 1 năm.
14/03/2026 Cấp phát Chứng chỉ Chữ ký số phát hành cho "Zlatin Stamatov" (Certum Code Signing).
09/04/2026 Phát hiện Các mẫu mã độc đầu tiên xuất hiện trên MalwareBazaar và CAPE Sandbox.

Ảnh hưởng chính

Mức độ nguy hiểm của chuỗi tấn công này không nằm ở việc dùng kỹ thuật quá phức tạp, mà ở chỗ nó “qua mặt” được hệ thống phòng thủ hiện tại của doanh nghiệp

Qua mặt EDR nhờ được “tin tưởng sẵn” (whitelist): Kẻ tấn công lợi dụng các phần mềm điều khiển máy tính từ xa như RustDesk, AnyDesk hoặc TeamViewer. Đây là những công cụ hợp pháp nên thường được công ty cho phép sẵn. Vì vậy, khi mã độc ẩn bên trong các phần mềm này, hệ thống bảo mật (EDR, Antivirus) sẽ bỏ qua, không kiểm tra kỹ → đội SOC gần như không nhìn thấy gì bất thường.

Ẩn mình lâu dài trên máy nạn nhân: Khác với virus thông thường dễ gây lỗi hoặc làm chậm máy, phiên bản RustDesk bị chỉnh sửa vẫn hoạt động bình thường. Người dùng thậm chí còn nghĩ là mình cài theo yêu cầu IT. Điều này khiến kẻ tấn công có thể âm thầm tồn tại trong hệ thống hàng tuần hoặc hàng tháng mà không bị nghi ngờ.

Mở đường cho đánh cắp dữ liệu và ransomware: Khi đã kiểm soát được máy, hacker có thể:

  • Xem màn hình, sao chép dữ liệu clipboard

  • Lấy mật khẩu từ trình quản lý mật khẩu

  • Dùng công cụ như Rclone để tải dữ liệu ra ngoài

Chi tiết quy trình lây nhiễm

Bước 1: Dẫn dụ (SEO Poisoning / Malvertising)

Trong chiến dịch này kẻ tấn công sử dụng các kỹ thuật SEO Poisoning hoặc chạy quảng cáo giả mạo (Malvertising) trên các công cụ tìm kiếm. Khi người dùng tìm kiếm từ khóa "Download Microsoft Teams"* hoặc *"MS Teams setup", họ sẽ được dẫn đến một trang web giả mạo có giao diện tương tự trang chủ của Microsoft nhưng thực chất được lưu trữ trên hạ tầng của kẻ tấn công (ví dụ: các subdomain của systemautoupdater[.]com).

Bước 2: Tải xuống và Vượt rào bảo mật (Signed Payload)

Sau khi đã đến trang Web của kẻ tấn công, tại đây người dùng sẽ thực hiện tải về file MSTeamsSetup.exe (dung lượng khoảng 14.3 MB) - tất nhiên file này đã bị nhúng các đoạn mã độc hại .

Lớp phòng thủ đầu tiên là Windows SmartScreen thường sẽ cảnh báo nếu file không có chữ ký số. Tuy nhiên, kẻ tấn công đã nhúng một chữ ký số hợp lệ:

Signer: Zlatin Stamatov

Issuer: Certum Code Signing 2021 CA

Thumbprint: 0c8bb17a1c27a39817f4e1bd74b6c616fba3faef909f94772e685e64fe34cef3

Việc có chữ ký số giúp file này "vượt mặt" nhiều giải pháp AV cơ bản và tạo ra một sự yên tâm giả tạo cho người dùng khi kiểm tra thuộc tính file (Properties -> Digital Signatures).

Bước 3: Thực thi và Chiếm quyền (Trojanized RustDesk)

Khi người dùng chạy file installer:

Silent Execution: Thay vì cài đặt Teams, file này thực chất là một wrapper bao bọc client RustDesk. Nó sẽ tự động giải nén và thực thi các thành phần của RustDesk trong thư mục tạm (%TEMP% hoặc %APPDATA%).

Hardcoded Configuration: Phiên bản RustDesk này đã được chỉnh sửa (weaponized) để bỏ qua các bước xác nhận kết nối thông thường. Các tham số như ID Serer, Relay Server, và Key được chỉ định sẵn để trỏ về hạ tầng của kẻ tấn công.

Establishment: Một kết nối mã hóa được thiết lập đến mon.systemautoupdater[.]com. Kẻ tấn công lúc này có thể thấy máy nạn nhân xuất hiện trong danh sách điều khiển của chúng.

Phân tích hạ tầng và OPSEC Failures

Hạ tầng của chiến dịch này cho thấy một sự mâu thuẫn giữa việc chuẩn bị kỹ lưỡng và sai lầm trong OPSEC (Operational Security).

Sự trùng khớp hạ tầng (Infrastructure Overlap)

Máy chủ C2 tại IP 23.27.141[.]44 (EvoXT, New York) đang phục vụ các dịch vụ cực kỳ đáng ngờ:

Port 443 (HTTPS): Sử dụng chứng chỉ TLS được cấp cho calipology[.]com. Đây là chìa khóa liên kết chiến dịch này với đối tượng "calipology" trên Telegram - một đối tượng đã được theo dõi trong các chiến dịch Striker C2 trước đây.

Port 3004 (Trading Bots): Một bảng điều khiển quản lý bot giao dịch tiền điện tử (viết bằng Svelte/Vue) được expose công khai. Điều này cho thấy mục tiêu tài chính cuối cùng của kẻ tấn công có thể là chiếm quyền truy cập ví hoặc thực hiện giao dịch trái phép trên máy nạn nhân.

Port 21 (FTP): vFTPd 3.0.5 được mở với cấu hình yêu cầu login, thường dùng để exfiltrate dữ liệu từ máy nạn nhân về server trung tâm.

Những sơ hở điển hình

Reuse of TLS Property: Việc để chứng chỉ của calipology[.]com trên cùng một server với mã độc là một sai lầm lớn, giúp các nhà nghiên cứu xâu chuỗi danh tính.

Redirection: Truy cập trực tiếp vào port 443 của IP C2 sẽ bị redirect về https://calipology[.]co[.]uk - trang web của một doanh nghiệp thật tại Anh (phục hồi má phanh). Đây có thể là một nỗ lực nhằm tạo vỏ bọc "doanh nghiệp hợp pháp" cho các hoạt đ

Nhận định chuyên gia

Chiến dịch "Calvary" là minh chứng cho xu hướng "Living-off-the-Land Tools" (LotLT). Thay vì tốn nguồn lực phát triển mã độc Rat tinh vi, kẻ tấn công chỉ cần tùy chỉnh các phần mềm Remote Desktop hợp pháp.

Tại Việt Nam, rủi ro từ các bộ cài phần mềm từ "nguồn ngoài" (Google search link thay vì trang chủ) vẫn luôn ở mức cao do thói quen của người dùng doanh nghiệp nhỏ và vừa. Việc mã độc có chữ ký số hợp lệ càng làm tăng nguy cơ lọt qua các vòng kiểm soát của đội ngũ IT vốn thường ưu tiên whitelist cho các ứng dụng đã được ký số. Ngoài ra, việc phát hiện bảng điều khiển "Trading Bot" cho thấy đối tượng người dùng cá nhân có tham gia giao dịch tiền điện tử là mục tiêu trọng tâm của nhóm này.

MITRE ATT&CK Mapping

Tactic Technique ID
Resource Development Acquire Infrastructure: VPS T1583.003
Resource Development Obtain Capabilities: Code Signing Certificates T1588.003
Initial Access Drive-by Compromise T1189
Execution User Execution: Malicious File T1204.002
Defense Evasion Subvert Trust Controls: Code Signing T1553.002
Defense Evasion Masquerading: Match Legitimate Name T1036.005
Command and Control Application Layer Protocol: Web T1071.001
Command and Control Remote Access Software T1219

IOC & Artifacts

Network Indicators

  • C2 Domain: mon.systemautoupdater[.]com

  • C2 IP: 23.27.141[.]44 (EvoXT)

  • Infrastructure Domains: systemautoupdater[.]com, calipology[.]com

  • Redirect Target: calipology[.]co[.]uk

File Indicators

  • Filename: MSTeamsSetup.exe

  • SHA256: d01148808fbeefa22cd4541cdaaee8bc1f74e3045302115dc5b08b99ff93dc9c

  • Cert Serial: 57193231454133499427671191024346513426

  • Cert Thumbprint: 0C8BB17A1C27A39817F4E1BD74B6C616FBA3FAEF909F94772E685E64FE34CEF3

Khuyến nghị (Mitigation)

Immediate (0-24h)

  • Chặn toàn bộ IP và Domain trong danh sách IOC tại lớp tường lửa/Proxy.

  • Rà soát log DNS hoặc log Proxy để tìm kiếm các kết nối đến subdomain của systemautoupdater[.]com.

  • Thực hiện Threat Hunting trên EDR tìm kiếm các process RustDesk thực thi từ đường dẫn không phổ biến hoặc có tham số kết nối ra ngoài đáng ngờ.

Short-term (1-7 ngày)

  • Triển khai chính sách chặn thực thi các ứng dụng không được IT phê duyệt (Application Whitelisting/AppLocker).

  • Cảnh báo người dùng về việc ưu tiên sử dụng Microsoft Store hoặc trang chủ microsoft.com để tải MS Teams.

Long-term

  • Thiết lập quy trình kiểm tra định kỳ các chứng chỉ số (Code Signing) lạ xuất hiện trong hệ thống.

  • Chuyển dịch sang mô hình Zero Trust, kiểm soát chặt chẽ các kết nối điều khiển từ xa (RMM) kể cả của các công cụ "hợp pháp".

Tham khảo

https://intel.breakglass.tech/post/systemautoupdater-23-27-141-44 https://bazaar.abuse.ch/sample/d01148808fbeefa22cd4541cdaaee8bc1f74e3045302115dc5b08b99ff93dc9c/ https://www.capesandbox.com/analysis/60828/

Analysis MSTeamsSetup.exe (MD5: FF8505309831284BFF66A1CFD5049DAC) Malicious activity - Interactive analysis ANY.RUN

#team#trojan#rustdesk#seo-poisoning#zlatin-stamatov#calipology#threat-intelligence

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 2 of 50
Up next

Khi hacker không cần hack: Cách n8n trở thành vũ khí tấn công toàn cầu

Tổng quan Các chuyên gia phân tích tại Cisco Talos vừa công bố nghiên cứu về một chiến dịch tấn công quy mô lớn lợi dụng nền tảng tự động hóa quy trình (AI workflow automation) n8n để phát tán mã độc

More from this blog

F

FPT IS Security

759 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.