Một tác nhân đe dọa có liên hệ với một khu vực địa lý cụ thể gần đây đã để lộ toàn bộ cơ sở hạ tầng làm việc của mình. Sự việc xảy ra do sơ suất khi để một thư mục mở trên máy chủ dàn dựng (staging server) của chính họ. Điều này mang lại cho các nhà nghiên cứu một cái nhìn hiếm hoi về một hoạt động botnet đang diễn ra.
Vụ rò rỉ đã hé lộ một mạng lưới chuyển tiếp gồm 15 node, một khung triển khai SSH hàng loạt, các công cụ DDoS được biên dịch trên máy nạn nhân, và một máy khách bot với địa chỉ lệnh và kiểm soát (C2) được mã hóa cứng vẫn đang trong quá trình phát triển tích cực.
Phát Hiện Cơ Sở Hạ Tầng của Hoạt Động Botnet Bị Phơi Bày
Việc phơi bày này được phát hiện vào ngày 24 tháng 2 năm 2026. Một máy chủ tại địa chỉ IP 185.221.239[.]162 đã bị gắn cờ trong quá trình quét định kỳ.
Máy chủ này được lưu trữ trên hạ tầng đã đăng ký với Dade Samane Fanava Company (PJS), một nhà cung cấp dịch vụ Internet trong khu vực.
Máy chủ bị lộ chứa 449 tệp trong 59 thư mục con. Các tệp này bao gồm một tệp cấu hình đường hầm, các script triển khai dựa trên Python, các tệp nhị phân DDoS đã biên dịch, mã nguồn tấn công từ chối dịch vụ (DoS) bằng ngôn ngữ C, và một danh sách thông tin xác thực.
Danh sách thông tin xác thực này được sử dụng để nhắm mục tiêu vào các hệ thống nạn nhân thông qua giao thức SSH.
Các nhà phân tích của Hunt.io đã xác định máy chủ bị lộ trong quá trình rà soát định kỳ. Họ sử dụng tính năng AttackCapture™ để lập chỉ mục các thư mục mở trên internet. Thông tin chi tiết về cuộc điều tra có thể tham khảo thêm tại bài viết của Hunt.io.
Bằng cách xoay trục dựa trên chứng chỉ TLS Let’s Encrypt được chia sẻ. Chứng chỉ này gắn với miền ký tự đại diện *.server21[.]org.
Các nhà nghiên cứu đã khám phá thêm 14 địa chỉ IP khác có cùng dấu vân tay. Trong số đó, bảy địa chỉ được lưu trữ trên Hetzner Online GmbH tại Phần Lan.
Bảy địa chỉ còn lại được đăng ký với các nhà cung cấp dịch vụ Internet trong khu vực. Bao gồm Dade Samane Fanava Company (PJS) và Sindad Network Technology PJSC.
Miền này đã được đăng ký vào năm 2023, với DNS được định tuyến thông qua ArvanCloud (arvancdn[.]ir), một nhà cung cấp CDN trong khu vực.
Đặc Điểm Hạ Tầng và Công Cụ Tấn Công
Cùng một cơ sở hạ tầng đã phục vụ hai mục đích. Một tệp cấu hình có tên config-client.yaml mô tả một đường hầm gói dựa trên KCP sử dụng Paqet.
Paqet là một công cụ mã nguồn mở được thiết kế để vượt qua hệ thống lọc internet quốc gia. Trong đó, máy chủ trong khu vực chuyển tiếp lưu lượng mã hóa đến một node thoát Hetzner ở Phần Lan.
Mã nguồn của Paqet có thể được tìm thấy trên GitHub.
Sự hiện diện của 3x-ui, một bảng điều khiển proxy dựa trên web với khả năng quản lý tài khoản người dùng và hạn ngạch lưu lượng, cho thấy một dịch vụ chuyển tiếp VPN thương mại đang hoạt động.
Dịch vụ này song song với cơ sở hạ tầng tấn công của hoạt động botnet.
Các Giai Đoạn Vận Hành của Tác Nhân Đe Dọa
Một tệp lịch sử Bash bị lộ đã phơi bày phiên làm việc của kẻ điều hành. Phiên làm việc này trải qua ba giai đoạn riêng biệt:
- Triển khai đường hầm (tunnel deployment).
- Phát triển công cụ DDoS (DDoS tooling development).
- Xây dựng botnet (botnet buildout).
Các bình luận trong mã được viết bằng tiếng Farsi và các ký tự tiếng Ả Rập thô. Điều này từ lỗi nhập liệu bàn phím đã xác nhận rằng tác nhân này có khả năng có trụ sở tại khu vực này.
Các mục tiêu DDoS trong lịch sử bao gồm một máy chủ FiveM GTA tại 5.42.223[.]60 trên cổng 30120.
Ngoài ra còn có hai máy chủ HTTP/HTTPS. Kẻ tấn công đã sử dụng các công cụ C tùy chỉnh như syn.c, flood.c và au.c.
Bên cạnh đó, công cụ MHDDOS được nhân bản từ GitHub và biên dịch trực tiếp trên máy chủ dàn dựng.
Phương Thức Lây Nhiễm và Vận Hành Botnet
Cốt lõi của phương pháp lây nhiễm trong hoạt động botnet này là một script Python có tên ohhhh.py.
Script này đọc thông tin xác thực được định dạng host:port|username|password. Sau đó, nó mở 500 phiên SSH đồng thời chống lại các máy nạn nhân.
Khi một phiên được thiết lập, tệp nguồn máy khách bot cnc.c được kéo về từ máy chủ dàn dựng. Tệp này được biên dịch trên máy nạn nhân bằng cách sử dụng gcc -pthread.
Sau đó, nó được khởi chạy trong một phiên màn hình (screen session) tách rời.
# Ví dụ lệnh biên dịch và khởi chạy trên máy nạn nhân
gcc cnc.c -o hex -pthread
screen -dmS bot ./hexChiến thuật biên dịch tại chỗ này là một động thái rõ ràng. Mục đích nhằm để né tránh việc phát hiện tệp nhị phân. Bởi vì không có tệp thực thi được tạo sẵn nào được truyền đi.
Điều này làm cho việc quét dựa trên hash tiêu chuẩn gần như vô dụng đối với loại mối đe dọa này. Đây là một điểm quan trọng trong việc phát hiện xâm nhập.
Tệp nhị phân đã biên dịch được đổi tên thành hex trên các máy chủ bị nhiễm. Đây là một tên gọi không rõ ràng, ít có khả năng kích hoạt cảnh báo trong quá trình kiểm tra hệ thống định kỳ.
Máy khách bot, tự nhận là BOT CLIENT v1.0, đăng ký mỗi máy chủ mới bị nhiễm với một tín hiệu.
Tín hiệu này mang địa chỉ IP, tên máy chủ, và ID tiến trình của nạn nhân dưới dạng UnknownBOT ONLINE.
Logic kết nối lại được tích hợp sẵn trong tệp nhị phân. Điều này có nghĩa là các máy bị nhiễm sẽ tiếp tục cố gắng tiếp cận C2 ngay cả khi máy chủ dàn dựng ngoại tuyến. Đây là một đặc điểm đáng chú ý của hoạt động botnet.
Một script thứ cấp, yse.py, đóng vai trò là công tắc ngắt (kill switch). Nó cho phép kẻ điều hành xóa tất cả các phiên đang chạy từ xa.
Việc này được thực hiện bằng cách chạy lệnh pkill -9 screen trên mọi máy chủ bị nhiễm.
# Lệnh kill switch được thực thi từ xa
pkill -9 screenIOCs và Biện Pháp Đối Phó Chống Lại Hoạt Động Botnet
Các nhà phòng thủ nên chặn tất cả các địa chỉ IP được xác định. Các địa chỉ này có liên quan đến hoạt động botnet cụ thể này.
Đồng thời, cần giám sát các tên tệp cụ thể và giá trị băm SHA-256 được liên kết với ohhhh.py, yse.py, và tệp nhị phân cnc.
Indicators of Compromise (IOCs)
- Địa chỉ IP:
- 185.221.239[.]162
- *.server21[.]org (wildcard domain, dùng để xác định các IP liên quan)
- Các IP khác trên Hetzner Online GmbH (Phần Lan) và các ISP trong khu vực (ví dụ: Dade Samane Fanava, Sindad Network Technology PJSC)
- Mục tiêu DDoS: 5.42.223[.]60
- Tên tệp và công cụ:
- config-client.yaml
- ohhhh.py (script lây nhiễm chính)
- cnc.c (mã nguồn máy khách bot)
- hex (tên tệp nhị phân sau khi biên dịch)
- yse.py (script kill switch)
- syn.c, flood.c, au.c (công cụ DDoS tùy chỉnh)
- MHDDOS (công cụ DDoS)
- Paqet (công cụ tunnel)
- 3x-ui (bảng điều khiển proxy)
- Hash SHA-256: Cần trích xuất từ các tệp ohhhh.py, yse.py, và tệp nhị phân cnc (hoặc hex sau biên dịch) nếu có thể để hỗ trợ phát hiện xâm nhập.
Các Biện Pháp Phòng Ngừa và Bản Vá Bảo Mật
Việc tăng cường bảo mật truy cập SSH là cực kỳ quan trọng. Cần thực thi xác thực dựa trên khóa thay vì mật khẩu.
Ngoài ra, vô hiệu hóa đăng nhập root trực tiếp và hạn chế các phiên đồng thời. Điều này sẽ chống lại phương pháp dựa trên thông tin xác thực mà tác nhân này đã sử dụng. Đây là một cách hiệu quả để giảm thiểu lỗ hổng bảo mật.
# Ví dụ cấu hình SSH để tăng cường bảo mật
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
MaxStartups 10:30:60
MaxSessions 5Các nhóm bảo mật cũng nên gắn cờ các hoạt động biên dịch gcc bất thường trên máy chủ. Việc xây dựng tệp nhị phân tại chỗ là một chỉ số quan trọng.
Nó cho thấy các biện pháp phát hiện ở cấp độ nhị phân tiêu chuẩn có thể không bắt được loại mối đe dọa này.
