Tin bảo mật mới nhất cho thấy một chiến dịch tấn công mạng nhắm vào các edge router tại Đông Nam Á, trong đó kẻ tấn công triển khai một Linux implant tùy biến để kiểm soát sâu lưu lượng mạng. Đây là một mối đe dọa mạng nghiêm trọng vì thiết bị bị xâm nhập không chỉ bị theo dõi mà còn có thể bị lợi dụng làm điểm trung chuyển cho toàn bộ lưu lượng đi qua.
Kiến trúc tấn công trên edge router
Nhóm tấn công đã cài trực tiếp file độc hại router.elf lên router biên. Sau khi chạy, implant tạo kết nối quay về hạ tầng do kẻ tấn công kiểm soát thông qua HTTPS mã hóa trên cổng 443. Cách giao tiếp này khiến hoạt động khó bị phát hiện bởi các công cụ bảo mật thông thường.
Điểm đáng chú ý của lỗ hổng CVE theo nghĩa vận hành ở đây không nằm ở một CVE cụ thể, mà ở việc đối tượng khai thác đã tập trung vào bảo mật mạng của hạ tầng biên thay vì máy trạm. Báo cáo gốc đánh giá chiến dịch ở mức critical do phạm vi ảnh hưởng vượt xa thiết bị ban đầu bị xâm nhập.
Phân tích từ NVD và các nguồn threat intelligence tương tự thường được dùng để đối chiếu IOC, hành vi và TTP khi xử lý các chiến dịch kiểu này.
Kỹ thuật né phát hiện
Implant sử dụng DNS over HTTPS qua dịch vụ Cloudflare để che giấu truy vấn tên miền trong luồng web bình thường. Đây là một kỹ thuật né phát hiện hiệu quả vì làm giảm khả năng giám sát DNS truyền thống nhận diện được hành vi bất thường.
Ngoài ra, malware còn tự thiết lập các firewall rule trên router bằng công cụ Linux iptables. Các luật này âm thầm chuyển hướng toàn bộ truy vấn DNS của thiết bị phía sau router sang máy chủ do kẻ tấn công kiểm soát.
Ảnh hưởng của chiến dịch tấn công mạng
Khi chiếm quyền điều khiển router, kẻ tấn công có thể quan sát và can thiệp vào mọi thiết bị kết nối phía sau nó. Điều này làm cho hệ thống bị tấn công có mức độ rủi ro cao hơn nhiều so với một nhiễm mã độc thông thường trên endpoint.
Các tác động được ghi nhận gồm:
- Giám sát lưu lượng đi qua router.
- Can thiệp hoặc chuyển hướng truy vấn DNS.
- Định tuyến đến đích cụ thể bằng danh sách động evil_fix.
- Can thiệp vào quá trình cập nhật phần mềm hoặc truy cập website.
Thiết bị bị xâm nhập ở đây đóng vai trò như một trạm theo dõi thầm lặng, khiến phát hiện xâm nhập khó khăn hơn nếu chỉ dựa vào lớp endpoint.
Hoạt động song song trên Windows
Chiến dịch không dừng ở router. Cùng hạ tầng chỉ huy được dùng để triển khai một công cụ tấn công khác lên máy Windows trong cùng mạng nội bộ bằng kỹ thuật DLL sideloading. Đây là dấu hiệu cho thấy chiến dịch có tổ chức và được phối hợp chặt chẽ giữa nhiều lớp mục tiêu.
Trên Windows, file độc hại version.dll được thả vào thư mục cùng CrashReport.exe. Khi tiến trình hợp lệ chạy, nó vô tình nạp payload của kẻ tấn công. Thành phần này được nhận diện là Cobalt Strike Beacon, và nó dùng cùng mẫu giao tiếp như implant trên router.
Hai chuỗi tấn công này chia sẻ hạ tầng chỉ huy, cùng mẫu cookie, cùng nhịp sleep 50 giây giữa các lần kiểm tra, cho thấy đây là một cuộc tấn công mạng thống nhất chứ không phải các hoạt động rời rạc.
Dấu hiệu định danh và chỉ báo liên quan
Phân tích cho thấy mã implant chứa các chuỗi ngôn ngữ Mandarin, cấu hình truyền thông có hardcode zh-CN, và sử dụng một công cụ crack có license ID gắn với các chiến dịch cùng hệ quy chiếu. Đây là các dấu hiệu kỹ thuật được nêu trong báo cáo gốc.
IOC được trích xuất từ nội dung nguồn:
- router.elf – File implant Linux trên router.
- client_rc_start – Backdoor phụ được cài kèm.
- version.dll – DLL độc hại dùng cho sideloading trên Windows.
- CrashReport.exe – Tiến trình hợp lệ bị lợi dụng để nạp payload.
- evil_fix – Danh sách động dùng để nhắm mục tiêu chuyển hướng.
- HTTPS/443 – Kênh liên lạc mã hóa đến máy chủ điều khiển.
- Cloudflare DNS over HTTPS – Kênh che giấu truy vấn DNS.
Với threat intelligence, các chỉ báo này cần được đối chiếu trong SIEM, MISP hoặc nền tảng điều tra tương tự để xác nhận mức độ lan rộng và phạm vi xâm nhập.
Hành vi trên router và kỹ thuật bền vững
Implant duy trì kết nối bền vững với máy chủ điều khiển ngay cả khi bị giám sát lưu lượng web. Việc cài thêm client_rc_start giúp duy trì truy cập trong trường hợp payload chính bị loại bỏ. Điều này làm tăng độ bền vững của mã độc ransomware hay backdoor loại này trong môi trường mạng, dù bản thân mẫu ở đây không được mô tả là ransomware.
Vì chạy trực tiếp trên router, hoạt động độc hại có thể bỏ qua nhiều lớp phòng vệ endpoint truyền thống. Cách tiếp cận đúng là kiểm tra tính toàn vẹn firmware, theo dõi thay đổi rule tường lửa và giám sát các tiến trình bất thường trên thiết bị mạng.
Lệnh kiểm tra và biện pháp xử lý
Các nhóm vận hành nên rà soát ngay router biên và thiết bị Linux mạng để tìm dấu vết của các file hoặc hành vi liên quan. Dưới đây là các kiểm tra CLI cơ bản phù hợp với nội dung nguồn:
find / -name router.elf 2>/dev/null
find / -name client_rc_start 2>/dev/null
iptables -S
iptables -t nat -S
ps aux | grep -E 'CrashReport\.exe|version\.dll'
Nếu phát hiện firewall rule bất thường, cần kiểm tra các đích DNS bị chuyển hướng sang IP lạ. Các domain và IP liên quan trong báo cáo gốc đã được làm mờ để tránh vô tình phân giải; chúng chỉ nên được khôi phục trong môi trường an toàn thông tin kiểm soát như SIEM hoặc nền tảng phân tích IOC.
Phần cứng mạng nên được giám sát bằng cơ chế phát hiện thay đổi cấu hình và cảnh báo khi có sửa đổi trên router hoặc gateway. Các máy Windows trong cùng mạng cũng cần được quét dấu vết version.dll và tiến trình CrashReport.exe chạy từ thư mục AllUsers profile.
Khuyến nghị bảo vệ mạng biên
Các biện pháp ưu tiên gồm:
- Chặn ngay các domain và IP đã nêu trong báo cáo tại perimeter firewall.
- Giám sát thay đổi iptables và mọi rule redirect DNS.
- Rà soát tính toàn vẹn firmware trên thiết bị mạng.
- Giới hạn truy cập quản trị bằng multi-factor authentication.
- Cảnh báo khi xuất hiện kết nối HTTPS bất thường từ router ra ngoài.
Đối với các đội phụ trách an ninh mạng, việc kết hợp kiểm tra cấu hình thiết bị, quan sát lưu lượng DNS/HTTPS và đối chiếu IOC sẽ giúp giảm thời gian phát hiện xâm nhập trong các chiến dịch nhắm vào hạ tầng biên.
