Tin tức bảo mật này mô tả một cuộc tấn công mạng nhiều giai đoạn, trong đó tác nhân khai thác một thiết bị biên F5 BIG-IP kết nối Internet làm điểm vào, sau đó mở rộng sang Active Directory và hạ tầng danh tính nội bộ. Chuỗi xâm nhập cho thấy một lỗ hổng CVE hoặc cấu hình yếu ở lớp biên có thể trở thành bàn đạp cho hệ thống bị xâm nhập ở nhiều miền tin cậy khác nhau.
Thiết Bị Biên Bị Lợi Dụng Làm Điểm Khởi Đầu
Theo ghi nhận, thiết bị ban đầu là một F5 BIG-IP load balancer chạy trên Azure-hosted BIG-IP Virtual Edition, phiên bản 15.1.201000. Bản dựng này được triển khai phổ biến qua Azure ARM templates và Terraform modules, đồng thời đã chạm mốc end-of-life vào 31/12/2024. Với các thiết bị biên như firewall, VPN gateway hay load balancer, rủi ro bảo mật nằm ở chỗ chúng thường được tin cậy cao nhưng lại ít được giám sát hơn máy chủ ứng dụng.
Thiết bị biên bị lạm dụng trong sự cố này phù hợp với xu hướng được Microsoft Defender Security Research nêu ra: các thành phần bảo vệ ranh giới đang bị biến thành điểm truy cập ban đầu cho các chiến dịch xâm nhập trái phép. Khi kiểm soát được một thiết bị như vậy, kẻ tấn công có thể nhận được foothold bền vững cùng chứng chỉ, thông tin xác thực và tích hợp danh tính được lưu trữ sẵn.
Chuỗi Xâm Nhập Và Di Chuyển Nội Bộ
Sau khi có quyền truy cập ban đầu, tác nhân đăng nhập SSH vào máy Linux đầu tiên bằng một tài khoản có đặc quyền cao và duy trì quyền điều khiển thủ công trong suốt chiến dịch, không triển khai cơ chế persistence rõ ràng. Điều này cho thấy nguy cơ từ các tài khoản sudo quá quyền trong môi trường doanh nghiệp.
Trên host Linux, tác nhân tiến hành trinh sát mạnh tay. Một shell script được dùng để chạy Nmap quét ngang qua các subnet nội bộ nhằm liệt kê host đang hoạt động, sau đó quét sâu hơn theo chiều dọc để xác định dịch vụ đang mở. Công cụ gowitness tiếp tục được dùng để chụp ảnh màn hình và nhận dạng các dịch vụ HTTP/HTTPS qua SOCKS5 proxy.
Khi phát hiện máy chủ Windows, tác nhân thử di chuyển ngang bằng các công cụ NTLM quen thuộc như:
- enum4linux
- netexec
- smbclient
- rpcclient
- timeroast
- ldapsearch
- kerbrute
- responder
Các nỗ lực ban đầu không thành công, nhưng chúng cho thấy một chuỗi phát hiện tấn công điển hình: liệt kê, đo đạc bề mặt tấn công, rồi thử xác thực sang miền Windows.
Triển Khai Công Cụ Quét Tùy Chỉnh
Tác nhân sau đó tải một công cụ quét tùy chỉnh từ máy C2 tại 206.189.27[.]39 bằng wget. Microsoft gắn cờ tệp này là HackTool:Linux/MalPack.B. Công cụ được dùng để thăm dò ứng dụng web nội bộ và dịch vụ di động, bao gồm Firebase và GCM, nhằm lập bản đồ quyền truy cập và xác định khu vực có thể khai thác.
Đây là một ví dụ rõ ràng về mối đe dọa mạng nhiều tầng: từ hạ tầng biên, sang host Linux, rồi sang các ứng dụng nội bộ vốn không được công bố ra Internet. Khi đã có foothold trong mạng nội bộ, một lỗ hổng CVE nằm ở ứng dụng bên trong cũng có thể trở thành điểm bùng phát tiếp theo.
Khai Thác Confluence Nội Bộ Và Thu Thập Thông Tin Xác Thực
Trinh sát nội bộ đã làm lộ một máy chủ Atlassian Confluence chưa được vá. Tác nhân khai thác hệ thống này để đạt remote code execution. Điểm đáng chú ý là Confluence không tiếp xúc trực tiếp với Internet, nhưng vẫn trở thành mục tiêu khả thi khi kẻ tấn công đã có foothold bên trong.
Do cơ chế bảo vệ thời gian thực chặn việc thả payload nhiều lần, tác nhân chuyển sang cách khác: dựng một anonymous FTP server trên máy staging Linux bằng Python ftplib, sau đó chuyển công cụ qua curl vào /dev/shm. Cách làm này cho thấy việc kiểm soát luồng truyền tệp vẫn là một phần quan trọng trong phát hiện xâm nhập và giám sát hành vi lạ trên máy Linux.
Sau khi xâm phạm Confluence, tác nhân thu thập thông tin xác thực từ các tệp cấu hình, gồm:
- server.xml
- confluence.cfg.xml
Các thông tin này sau đó được dùng để thử tiếp sang hạ tầng Windows. Đây là mẫu hình quen thuộc của đánh cắp dữ liệu cấu hình nhằm mở rộng quyền truy cập sang miền danh tính.
CVE-2025-33073 Và Tấn Công Relay
Chuỗi leo thang tiếp theo bao gồm Kerberos relay attacks và việc khai thác CVE-2025-33073. Theo mô tả, tác nhân dùng netexec kết hợp PetitPotam coercion và các công cụ thao túng DNS để nhắm vào domain controller. Đây là điểm giao nhau giữa cảnh báo CVE và các kỹ thuật relay dựa trên xác thực bị ép buộc, làm tăng nguy cơ chiếm quyền điều khiển trong môi trường Active Directory.
Thông tin tham chiếu bổ sung về lỗ hổng này có thể xem tại NVD: https://nvd.nist.gov/. Việc theo dõi dữ liệu CVE, CVSS và advisory từ NVD giúp đối chiếu nhanh mức độ rủi ro an toàn thông tin của các thành phần liên quan.
IOC Cần Lưu Ý
Các IOC được trích xuất từ sự cố gồm:
- C2 IP: 206.189.27[.]39
- Custom scanner: Tệp quét tùy chỉnh do Microsoft gắn nhãn HackTool:Linux/MalPack.B
- Tool liên quan: Kerbrute, gowitness, ntlm relay script
- Thiết bị nguồn truy cập: F5 BIG-IP Virtual Edition trên Azure
Microsoft cũng công bố các truy vấn hunting nâng cao để phát hiện SSH logon xuất phát từ thiết bị F5 BIG-IP và truy vết hoạt động truy cập thông tin xác thực từ tiến trình Confluence. Đây là dữ liệu hữu ích cho đội ngũ SOC khi triển khai IDS, hunting và phản ứng sự cố.
Ảnh Hưởng Hệ Thống Và Rủi Ro Kỹ Thuật
Chuỗi tấn công này cho thấy một lỗ hổng CVE tại lớp biên hoặc một cấu hình yếu có thể dẫn đến xâm nhập trái phép vào hệ thống Linux, tiếp theo là khai thác ứng dụng nội bộ và cuối cùng là miền danh tính Windows. Mức độ ảnh hưởng không chỉ dừng ở một máy chủ, mà lan sang Active Directory, dịch vụ xác thực và các tài sản có liên kết Kerberos/NTLM.
Microsoft Defender for Endpoint đã phát hiện hoạt động và chặn ELF payload trên máy Confluence có bật bảo vệ thời gian thực. Chi tiết này cho thấy khả năng phát hiện tấn công phụ thuộc lớn vào việc bật đúng kiểm soát bảo vệ trên từng host, đặc biệt với các ứng dụng nội bộ vốn thường bị xem nhẹ.
Biện Pháp Giảm Thiểu
Khuyến nghị kỹ thuật tập trung vào việc xem thiết bị biên như tài sản Tier-0, đồng thời áp dụng vòng đời vá lỗi chặt chẽ cho cả hệ thống ngoài rìa và ứng dụng nội bộ. Các biện pháp chính gồm:
- Quản lý vòng đời và cập nhật bản vá cho edge appliance theo mức ưu tiên Tier-0.
- Harden ứng dụng web nội bộ với cùng mức nghiêm ngặt như dịch vụ Internet-facing.
- Áp dụng identity hardening và vô hiệu hóa NTLM khi có thể.
- Bật SMB signing và LDAP signing.
- Kích hoạt Extended Protection for Authentication để giảm hiệu quả các relay attack.
Với môi trường hybrid, điểm mấu chốt là không tách biệt cứng nhắc giữa “biên” và “nội bộ”. Một lỗ hổng zero-day hoặc lỗ hổng chưa vá ở bất kỳ lớp nào đều có thể bị nối chuỗi thành cuộc tấn công mạng hoàn chỉnh nếu thiếu giám sát, kiểm kê và phản ứng phù hợp.
