Tấn công mạng nghiêm trọng khai thác 5 lỗ hổng CVE mới

16/04/2026
5 mins read
Tấn công mạng nghiêm trọng khai thác 5 lỗ hổng CVE mới

Một chiến dịch tấn công mạng tinh vi, có những điểm tương đồng đáng kể về hoạt động với nhóm đe dọa MuddyWater, đã được phát hiện nhằm quét hơn 12.000 hệ thống tiếp xúc với internet trên nhiều khu vực. Sau giai đoạn quét rộng rãi, chiến dịch chuyển hướng sang các cuộc tấn công có mục tiêu vào các tổ chức giá trị cao ở khu vực Trung Đông.

Hoạt động độc hại này đã nhắm vào các lĩnh vực quan trọng như hàng không, năng lượng và chính phủ, với bằng chứng xác nhận về việc đánh cắp dữ liệu từ ít nhất một tổ chức hàng không của Ai Cập. Hoạt động của chiến dịch được cho là bắt đầu vào đầu tháng 2 năm 2025, trùng với thời điểm căng thẳng địa chính trị leo thang trong khu vực.

Nội dung
Quy mô và Mục tiêu của Chiến dịch
Khai thác Lỗ hổng CVE Nghiêm trọng
Thu thập Thông tin Xác thực và Rò rỉ Dữ liệu
Cấu trúc Command and Control (C2) Phức tạp
Các Chỉ số Thỏa hiệp (IOCs)
Chỉ dẫn Phòng thủ và Biện pháp Giảm thiểu

Quy mô và Mục tiêu của Chiến dịch

Chiến dịch được triển khai thông qua một quy trình đa giai đoạn có cấu trúc, thay vì một hành vi đột nhập đơn lẻ, mang tính cơ hội. Ban đầu, các đối tượng tấn công thực hiện trinh sát lỗ hổng trên quy mô lớn, sau đó chuyển sang thu thập thông tin xác thực một cách chọn lọc, trước khi đạt được mục tiêu đánh cắp dữ liệu hoàn chỉnh.

Để thực hiện giai đoạn quét ban đầu, nhóm đe dọa đã sử dụng ít nhất năm lỗ hổng CVE mới được công bố. Các lỗ hổng này nhắm vào nhiều loại hệ thống khác nhau, từ các ứng dụng web và máy chủ email đến các nền tảng quản lý CNTT và công cụ tự động hóa quy trình làm việc.

Khai thác Lỗ hổng CVE Nghiêm trọng

Năm lỗ hổng CVE được khai thác bao gồm:

  • CVE-2025-54068: Lỗ hổng Thực thi Mã từ xa (RCE) trong Laravel Livewire. Lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý trên máy chủ bị ảnh hưởng.
  • CVE-2025-52691: Lỗ hổng Thực thi Mã từ xa (RCE) trong SmarterMail. Việc khai thác thành công có thể dẫn đến kiểm soát hoàn toàn máy chủ email.
  • CVE-2025-68613: Lỗ hổng Thực thi Mã từ xa (RCE) trong n8n. Ứng dụng tự động hóa quy trình này có thể bị lạm dụng để thực thi các lệnh độc hại.
  • CVE-2025-9316: Lỗ hổng tạo ID phiên không xác thực trong các hệ thống RMM (Remote Monitoring and Management). Điều này có thể cho phép kẻ tấn công truy cập các phiên quản lý mà không cần xác thực hợp lệ.
  • CVE-2025-34291: Lỗ hổng Thực thi Mã từ xa (RCE) trong Langflow. Một nền tảng phát triển ứng dụng có thể bị khai thác để kiểm soát hệ thống cơ bản.

Thông tin chi tiết hơn về các lỗ hổng này có thể được tìm thấy trên National Vulnerability Database (NVD).

Các nhà nghiên cứu bảo mật từ Oasis Security đã tiến hành phân tích chi tiết chiến dịch này. Họ đã truy tìm cơ sở hạ tầng do kẻ tấn công kiểm soát về một máy chủ ở Hà Lan với địa chỉ IP 157.20.182.49.

Các nhà phân tích đã thu thập một lượng lớn tệp phía máy chủ từ cơ sở hạ tầng này, phát hiện các thành phần C2 (Command and Control) dạng module, các script hoạt động và bằng chứng về hoạt động quét phối hợp. Thời điểm bắt đầu chiến dịch, chỉ vài tuần trước khi căng thẳng khu vực gia tăng, đã làm dấy lên những lo ngại rõ ràng về mục đích chiến lược đằng sau hoạt động này.

Thu thập Thông tin Xác thực và Rò rỉ Dữ liệu

Sau khi hoàn tất giai đoạn trinh sát, nhóm đe dọa đã chuyển trọng tâm sang xâm nhập dựa trên thông tin xác thực. Các cuộc tấn công brute-force vào Outlook Web Access (OWA) đã được thực hiện bằng cách sử dụng các công cụ tùy chỉnh như owa.py và phần mềm tấn công đa luồng như Patator. Các cuộc tấn công này nhắm vào việc liệt kê tên người dùng của các tổ chức cụ thể.

Những nỗ lực này tập trung vào các thực thể ở Ai Cập, Israel và Các Tiểu vương quốc Ả Rập Thống nhất. Trong một trường hợp được xác nhận, thông tin xác thực của nhân viên từ một doanh nghiệp phòng cháy chữa cháy ở Ai Cập đã bị đánh cắp thành công, và danh sách tài khoản quản trị viên cũng được thu hồi từ một tổ chức bị nhắm mục tiêu ở UAE. Chiến dịch đã tiến xa hơn các nỗ lực truy cập ban đầu, dẫn đến việc rò rỉ dữ liệu được xác nhận, cụ thể là từ một tổ chức hàng không có trụ sở tại Ai Cập.

Khoảng 200 tệp được chuẩn bị đã được phát hiện trong các thư mục do kẻ tấn công kiểm soát. Các tệp này chứa:

  • Hồ sơ hộ chiếu và thị thực.
  • Dữ liệu lương bổng.
  • Chi tiết thẻ tín dụng.
  • Tài liệu nội bộ của công ty.

Các mục tiêu bổ sung đã được xác định tại các thực thể ở Bồ Đào Nha và Ấn Độ, cho thấy phạm vi của chiến dịch mở rộng vượt ra ngoài khu vực Trung Đông.

Cấu trúc Command and Control (C2) Phức tạp

Một trong những khám phá kỹ thuật quan trọng nhất trong chiến dịch tấn công mạng này là kiến trúc Command and Control (C2) mà kẻ tấn công đã triển khai để quản lý các hệ thống bị xâm nhập.

Phân tích của Oasis Security cho thấy một cơ sở hạ tầng đa lớp được xây dựng bằng nhiều ngôn ngữ lập trình và giao thức truyền thông khác nhau. Kiến trúc này được thiết kế để duy trì chức năng, khả năng thích ứng và khó bị gián đoạn ngay cả khi một phần của nó bị phát hiện bởi các nhà phòng thủ.

Hệ thống C2 bao gồm các bộ điều khiển dựa trên Python – tcp_serv.pyudp_3.0.py – cùng với các binary dựa trên Go như serverclient.exe.

  • Bộ điều khiển tcp_serv.py được cấu hình để lắng nghe và chấp nhận các kết nối đến qua cổng TCP 5009.
  • Bộ điều khiển UDP có cấu trúc tương tự.

Cả hai bộ điều khiển đều sử dụng một định dạng tiêu đề gói tùy chỉnh riêng biệt được gọi là <BIIH, xuất hiện nhất quán trên tất cả các biến thể bộ điều khiển được xác định trong các thư mục do kẻ tấn công kiểm soát.

Các bộ điều khiển dựa trên HTTP tiên tiến hơn cũng được tìm thấy, quản lý các phiên client được mã hóa thông qua các endpoint kiểu API như /command, /result, /signup/feed. Binary ex-server dựa trên Go xử lý trao đổi dữ liệu được mã hóa AES (chế độ CTR) thông qua các endpoint /signup/feed, với các giá trị cid dựa trên cookie được sử dụng để xác định và theo dõi các máy chủ bị nhiễm bệnh riêng lẻ. Các mẫu giao tiếp này phù hợp chặt chẽ với framework ArenaC2 của MuddyWater, củng cố đánh giá về mối liên hệ với nhóm MuddyWater của Oasis Security.

Các Chỉ số Thỏa hiệp (IOCs)

Dựa trên phân tích, các chỉ số thỏa hiệp chính (IOCs) bao gồm:

  • Địa chỉ IP của C2: 157.20.182.49
  • Cổng C2 TCP: 5009
  • Tên các Script C2 Python: tcp_serv.py, udp_3.0.py
  • Tên các Binary C2 Go: server, client.exe, ex-server
  • Định dạng Header gói tùy chỉnh: <BIIH
  • Các Endpoint HTTP của C2: /command, /result, /signup, /feed
  • Công cụ Brute-force OWA: owa.py, Patator

Chỉ dẫn Phòng thủ và Biện pháp Giảm thiểu

Các tổ chức đang vận hành bất kỳ hệ thống nào bị ảnh hưởng bởi năm lỗ hổng CVE đã nêu cần khẩn trương áp dụng các bản vá lỗi có sẵn ngay lập tức. Việc trì hoãn có thể khiến hệ thống tiếp tục gặp rủi ro nghiêm trọng từ các cuộc tấn công mạng tương tự.

Ngoài ra, cần rà soát lại nhật ký truy cập OWA để tìm kiếm các dấu hiệu của hoạt động brute-force. Các đội ngũ an ninh mạng được khuyến nghị thực hiện các biện pháp sau:

  • Chặn lưu lượng truy cập ra ngoài trên cổng 5009. Đây là cổng được sử dụng bởi bộ điều khiển C2 dựa trên TCP của kẻ tấn công.
  • Giám sát chặt chẽ các kết nối HTTP được mã hóa đến các endpoint không được nhận dạng, đặc biệt là các endpoint như /command, /result, /signup, và /feed, vì chúng có thể chỉ ra hoạt động C2.
  • Kiểm tra thường xuyên các thư mục tệp nội bộ để phát hiện các hành vi sắp xếp dữ liệu hàng loạt. Điều này có thể là dấu hiệu của việc thu thập dữ liệu đang diễn ra trước khi thực hiện giai đoạn đánh cắp dữ liệu cuối cùng.
  • Cập nhật định kỳ các hệ thống và ứng dụng, đặc biệt là các nền tảng quản lý CNTT, máy chủ email và công cụ tự động hóa, để giảm thiểu nguy cơ bị khai thác bởi các lỗ hổng đã biết và mới phát hiện.
  • Triển khai giải pháp phát hiện xâm nhập (IDS) và hệ thống thông tin và quản lý sự kiện bảo mật (SIEM) để chủ động phát hiện các dấu hiệu hoạt động độc hại và phản ứng kịp thời trước các mối đe dọa.