Mã độc ShadowPad chủ động khai thác lỗ hổng WSUS để truy cập toàn bộ hệ thống

Một lỗ hổng bảo mật đã được vá gần đây trong Microsoft Windows Server Update Services (WSUS) đã bị các tác nhân đe dọa khai thác để phân phối mã độc ShadowPad. "Kẻ tấn công đã nhắm mục tiêu vào các máy chủ Windows có bật WSUS, khai thác CVE-2025-59287 để truy cập ban đầu," Trung tâm Tình báo Bảo mật AhnLab (ASEC) cho biết trong một báo cáo được công bố vào tuần trước. "Sau đó, chúng đã sử dụng PowerCat, một tiện ích Netcat dựa trên PowerShell mã nguồn mở, để giành được quyền truy cập hệ thống shell (CMD). Tiếp theo, chúng đã tải xuống và cài đặt ShadowPad bằng cách sử dụng certutil và curl."

Một lỗ hổng bảo mật đã được vá gần đây trong Microsoft Windows Server Update Services (WSUS) đã bị các tác nhân đe dọa khai thác để phân phối mã độc ShadowPad.

"Kẻ tấn công đã nhắm mục tiêu vào các máy chủ Windows có bật WSUS, khai thác CVE-2025-59287 để truy cập ban đầu," Trung tâm Tình báo Bảo mật AhnLab (ASEC) cho biết trong một báo cáo được công bố tuần trước. "Sau đó, chúng đã sử dụng PowerCat, một tiện ích Netcat dựa trên PowerShell mã nguồn mở, để giành quyền truy cập hệ thống shell (CMD). Tiếp theo, chúng đã tải xuống và cài đặt ShadowPad bằng cách sử dụng certutil và curl."

ShadowPad, được đánh giá là phiên bản kế nhiệm của PlugX, là một backdoor dạng mô-đun được các nhóm tấn công do nhà nước Trung Quốc bảo trợ sử dụng rộng rãi. Nó xuất hiện lần đầu vào năm 2015. Trong một phân tích được công bố vào tháng 8 năm 2021, SentinelOne gọi nó là "kiệt tác của mã độc được bán riêng trong hoạt động gián điệp của Trung Quốc."

CVE-2025-59287, được Microsoft khắc phục vào tháng trước, đề cập đến một lỗ hổng deserialization nghiêm trọng trong WSUS có thể bị khai thác để thực hiện remote code execution với các đặc quyền hệ thống. Lỗ hổng này kể từ đó đã bị khai thác rộng rãi, với các tác nhân đe dọa sử dụng nó để giành quyền truy cập ban đầu vào các phiên bản WSUS bị lộ công khai, thực hiện reconnaissance và thậm chí thả các công cụ hợp pháp như Velociraptor.

ShadowPad được cài đặt thông qua khai thác CVE-2025-59287

Trong cuộc tấn công được công ty an ninh mạng Hàn Quốc ghi nhận, những kẻ tấn công đã sử dụng lỗ hổng này để khởi chạy các tiện ích Windows như "curl.exe" và "certutil.exe", nhằm liên hệ với một máy chủ bên ngoài ("149.28.78[.]189:42306") để tải xuống và cài đặt ShadowPad.

ShadowPad, tương tự như PlugX, được khởi chạy thông qua DLL side-loading, tận dụng một tệp nhị phân hợp pháp ("ETDCtrlHelper.exe") để thực thi payload DLL ("ETDApix.dll"), hoạt động như một trình tải ở bộ nhớ để thực thi backdoor.

Sau khi được cài đặt, mã độc được thiết kế để khởi chạy một mô-đun cốt lõi chịu trách nhiệm tải các plugin khác được nhúng trong shellcode vào bộ nhớ. Nó cũng được trang bị nhiều kỹ thuật chống phát hiện và duy trì quyền truy cập (persistence).

"Sau khi mã khai thác proof-of-concept (PoC) cho lỗ hổng được công bố rộng rãi, những kẻ tấn công đã nhanh chóng vũ khí hóa nó để phân phối mã độc ShadowPad thông qua các máy chủ WSUS," AhnLab cho biết. "Lỗ hổng này rất nghiêm trọng vì nó cho phép remote code execution với quyền hệ thống, làm tăng đáng kể tác động tiềm tàng."