Các cuộc tấn công Trigona được phát hiện gần đây đang sử dụng một công cụ dòng lệnh tùy chỉnh để đánh cắp dữ liệu từ các môi trường bị xâm nhập một cách nhanh chóng và hiệu quả hơn.
Công cụ này đã bị lợi dụng trong các cuộc tấn công hồi tháng 3/2026, được cho là do một chi nhánh của nhóm tin tặc này thực hiện, có thể nhằm mục đích né tránh các công cụ có sẵn công khai, chẳng hạn như Rclone và MegaSync - vốn thường kích hoạt các giải pháp bảo mật.
Các nhà nghiên cứu tại công ty an ninh mạng Symantec nhận định việc chuyển sang sử dụng công cụ tùy chỉnh có thể cho thấy kẻ tấn công đang “đầu tư thời gian và công sức vào phần mềm độc hại độc quyền, nhằm giữ kín danh tính trong giai đoạn quan trọng của các cuộc tấn công”.
Trong một báo cáo mới đây, các nhà nghiên cứu cho biết công cụ này có tên là “uploader_client[.]exe” và kết nối đến một địa chỉ máy chủ được mã hóa cứng. Khả năng hoạt động và che dấu của nó bao gồm:
- Hỗ trợ năm kết nối đồng thời cho mỗi tệp tin để truyền dữ liệu nhanh hơn thông qua tải lên song song.
- Xoay vòng các kết nối TCP sau khi đạt lưu lượng truy cập 2GB để tránh bị giám sát.
- Tùy chọn trích xuất tệp tin theo loại cụ thể, loại trừ các tệp tin đa phương tiện lớn, có giá trị thấp.
- Sử dụng khóa xác thực để hạn chế quyền truy cập vào dữ liệu bị đánh cắp bởi bên thứ ba.
Phân tích về một vụ tấn công, các nhà nghiên cứu cho biết uploader_client[.]exe đã được sử dụng để đánh cắp các tài liệu có giá trị cao như hóa đơn và tệp PDF trên các ổ đĩa mạng.
Mã độc tống tiền Trigona được biết đến vào tháng 10/2022 dưới hình thức tống tiền kép, yêu cầu nạn nhân phải trả tiền chuộc bằng tiền điện tử Monero. Mặc dù các nhà nghiên cứu bảo mật đến từ Ukraine đã làm gián đoạn hoạt động của Trigona vào tháng 10/2023, tấn công máy chủ và đánh cắp dữ liệu nội bộ như mã nguồn và bản ghi cơ sở dữ liệu, tuy nhiên báo cáo của Symantec cho thấy các tác nhân đe dọa đã tiếp tục hoạt động trở lại.
Theo quan sát của công ty an ninh mạng về các cuộc tấn công Trigona gần đây, kẻ tấn công cài đặt công cụ HRSword thuộc bộ phần mềm Huorong Network Security Suite như một dịch vụ kernel driver. Giai đoạn tiếp theo là việc triển khai thêm các công cụ có thể vô hiệu hóa các sản phẩm liên quan đến bảo mật (ví dụ: PCHunter, Gmer, YDark, WKTools, DumpGuard và StpProcessMonitorByovd).
Symantec cho biết: “Nhiều lỗ hổng trong số này đã được khai thác từ các kernel driver để chấm dứt các tiến trình bảo vệ điểm cuối”. Một số tiện ích được thực thi bằng PowerRun, một sản phẩm có thể khởi chạy ứng dụng, tệp tin thực thi và script với quyền quản trị cao, do đó vượt qua các biện pháp bảo vệ ở chế độ người dùng.
Mặt khác, AnyDesk được sử dụng để truy cập từ xa trực tiếp vào các hệ thống bị xâm nhập, trong khi các tiện ích Mimikatz và Nirsoft thực thi nhằm đánh cắp thông tin đăng nhập và khôi phục mật khẩu.
Symantec đã liệt kê các chỉ báo về sự xâm phạm (IoC) liên quan đến hoạt động Trigona mới nhất ở cuối báo cáo của mình để giúp phát hiện và ngăn chặn các cuộc tấn công này một cách kịp thời.