Một nhóm tấn công mạng có liên kết đã hoạt động âm thầm trong các mạng lưới doanh nghiệp hơn một năm, sử dụng bộ công cụ mã độc tùy chỉnh để xâm phạm tường lửa, hệ thống lưu trữ và thiết bị mạng mà không kích hoạt bất kỳ cảnh báo nào. Hoạt động này của nhóm, được theo dõi với tên gọi VerdantBamboo, đã thể hiện mức độ kiên nhẫn và độ chính xác kỹ thuật cao, điều làm cho chúng khác biệt so với hầu hết các mối đe dọa mạng hiện nay.
Phát hiện Mối đe dọa mạng VerdantBamboo
Chiến dịch này được đưa ra ánh sáng sau khi lưu lượng mạng đáng ngờ được phát hiện từ một máy ảo dựa trên Linux trong mạng của khách hàng. Thiết bị này là một thiết bị Egnyte Storage Sync appliance, được thiết kế để đồng bộ hóa các tệp cục bộ lên đám mây.
Cơ chế hoạt động ban đầu
Thay vì kết nối với cơ sở hạ tầng của Egnyte, thiết bị này đã âm thầm gửi tín hiệu đến một tên miền do những kẻ tấn công kiểm soát. Lưu lượng này được che giấu khéo léo bằng cách ẩn sau địa chỉ IP của Cloudflare và sử dụng máy chủ DNS công cộng của Google tại 8.8.8.8 để phân giải truy vấn qua HTTPS.
Vai trò của BRICKSTORM
Các nhà phân tích tại Volexity, một công ty tình báo mối đe dọa và ứng phó sự cố, đã xác định phần mềm độc hại chịu trách nhiệm cho hoạt động này là BRICKSTORM. Đây là một trojan truy cập từ xa (RAT) mà nhóm tấn công đã liên tục phát triển.
Theo báo cáo của Volexity, VerdantBamboo, còn được theo dõi dưới các tên gọi WARP PANDA và UNC5221, đã duy trì quyền truy cập vào mạng nạn nhân trong ít nhất 18 tháng trước khi bị phát hiện. Chi tiết về báo cáo có thể tìm thấy tại: Volexity Blog: VerdantBamboo and BRICKSTORM.
Phương thức Xâm nhập Mạng và Duy trì Quyền truy cập
Cuộc tấn công mạng này phức tạp hơn nhiều so với vẻ ngoài ban đầu. VerdantBamboo không chỉ xâm phạm các hệ thống của nạn nhân mà còn thâm nhập vào nhà cung cấp dịch vụ quản lý (MSP) của tổ chức đó.
Tấn công Chuỗi Cung ứng và Lách qua Bảo mật
Từ MSP, nhóm tấn công đã lấy được thông tin đăng nhập và chi tiết cơ sở hạ tầng nội bộ. Điều này cung cấp cho chúng một chỗ đứng vững chắc trong môi trường nạn nhân thông qua một con đường hoàn toàn bỏ qua các kiểm soát bảo mật tiêu chuẩn. Đây là một minh chứng rõ ràng cho việc phát hiện xâm nhập phức tạp của các nhóm APT.
Khả năng Kháng cự và Tái xâm nhập
Điều làm cho cuộc xâm nhập mạng này đặc biệt đáng chú ý là cách VerdantBamboo đã tái xâm nhập mạng ngay cả sau khi bị loại bỏ. Khi các thiết bị bị xâm phạm được đưa ngoại tuyến, những kẻ tấn công đã sử dụng thông tin đăng nhập quản trị viên bị đánh cắp để đăng nhập vào tường lửa lộ thiên của nạn nhân.
Chúng sau đó thiết lập đường hầm VPN riêng và đẩy một backdoor mới lên thiết bị Synology NAS. Chuỗi tấn công này cho thấy khả năng phục hồi và thích ứng cao, biến quá trình phục hồi trở thành một thách thức đáng kể cho đội ngũ an ninh mạng.
Phân tích Kỹ thuật Mã độc BRICKSTORM
BRICKSTORM là công cụ chính của VerdantBamboo để duy trì quyền kiểm soát các hệ thống bị xâm phạm. Mã độc này được xây dựng một cách có chủ đích để hoạt động hiệu quả trong các môi trường thiếu các công cụ giám sát bảo mật truyền thống.
Kiến trúc và Triển khai
Mã độc BRICKSTORM được xây dựng bằng Golang với kiến trúc mô-đun. Chức năng của nó được chia thành các gói riêng biệt, cho phép các nhà phát triển tùy chỉnh mỗi lần triển khai cho thiết bị mục tiêu cụ thể. Trên thiết bị Egnyte, BRICKSTORM được đặt trong thư mục /usr/sbin/ và được kẻ tấn công khởi chạy thủ công mỗi khi cần, khai thác một quy tắc sudo bị cấu hình sai để đạt được đặc quyền nâng cao.
Cùng một mã độc cũng được tìm thấy trên tường lửa pfSense của MSP, dưới dạng biến thể tương thích với FreeBSD. Biến thể này được làm xáo trộn bằng một công cụ có tên là gobfuscate và được thiết lập để chạy tự động thông qua một tệp khởi động cron đã bị sửa đổi. Đây là một kỹ thuật phổ biến để duy trì sự bền bỉ trong các cuộc tấn công mạng.
# Ví dụ về quy tắc sudo bị cấu hình sai (đây là ví dụ minh họa, không phải cấu hình thực tế)
username ALL=(ALL) NOPASSWD: ALL
# Ví dụ về mục cron đã sửa đổi để khởi chạy mã độc
@reboot /usr/local/bin/malware_agent
Các Biến thể Mã độc Liên quan: PLENET và AGENTPSD
Cùng với BRICKSTORM, Volexity cũng đã xác định hai họ mã độc chưa được ghi nhận trước đây:
- PLENET: Một backdoor đa nền tảng được biên dịch từ .NET Core sử dụng Native AOT. Kỹ thuật này khiến việc phân tích trở nên khó khăn hơn, tăng cường khả năng che giấu cho cuộc tấn công mạng.
- AGENTPSD: Một reverse shell Python nhẹ được thiết kế như một cơ chế dự phòng. Nó được kích hoạt nếu BRICKSTORM ngừng hoạt động, đảm bảo duy trì quyền kiểm soát trong trường hợp công cụ chính gặp sự cố.
Kỹ thuật Che giấu và Né tránh Phát hiện
VerdantBamboo đã triển khai nhiều kỹ thuật tinh vi để che giấu hoạt động và tránh bị phát hiện xâm nhập trong thời gian dài. Khả năng tàng hình này là yếu tố then chốt giúp chúng duy trì sự hiện diện liên tục.
Che giấu Giao tiếp C2
Việc sử dụng địa chỉ IP của Cloudflare và DNS công cộng của Google qua HTTPS (DoH) là một chiến thuật hiệu quả để ngụy trang lưu lượng độc hại. DoH mã hóa các truy vấn DNS, khiến việc phân tích lưu lượng và xác định các kết nối C2 trở nên khó khăn hơn đối với các hệ thống giám sát mạng truyền thống.
Né tránh Phát hiện Điều khiển
Volexity đã theo dõi các máy chủ command-and-control (C2) của VerdantBamboo bằng cách sử dụng một truy vấn dấu vân tay trên nền tảng Censys. Họ đã xác định các máy chủ đang chạy các dịch vụ tối thiểu trên cổng 443 với chứng chỉ Cloudflare và các máy khách SSH dựa trên OpenBSD.
Trong vòng vài ngày sau khi dấu vân tay này được phát triển vào tháng 9 năm 2025, tất cả các máy chủ phù hợp đã ngừng hoạt động. Điều này cho thấy nhóm tấn công đã nhận thức được cuộc điều tra và đã thay đổi chiến thuật để tránh bị phát hiện, một dấu hiệu của khả năng thích nghi cao của mối đe dọa mạng này.
Chỉ số Compromise (IOCs)
Để hỗ trợ các tổ chức trong việc phát hiện xâm nhập và bảo vệ hệ thống khỏi VerdantBamboo, dưới đây là các chỉ số thỏa hiệp đã được xác định:
- Tên mã độc: BRICKSTORM, PLENET, AGENTPSD
- Đường dẫn triển khai mã độc:
/usr/sbin/BRICKSTORM(trên Egnyte Storage Sync appliance) - Kỹ thuật che giấu DNS: Sử dụng Google Public DNS (
8.8.8.8) qua HTTPS để phân giải tên miền C2.
Lưu ý: Các tên miền và địa chỉ IP cụ thể của máy chủ C2 do kẻ tấn công kiểm soát không được cung cấp rõ ràng trong báo cáo ban đầu, chỉ đề cập đến việc chúng ẩn sau IP của Cloudflare và đã được thay đổi sau khi bị phát hiện.
Khuyến nghị An ninh Mạng và Bản vá Bảo mật
Để tăng cường an ninh mạng và giảm thiểu rủi ro từ các cuộc tấn công mạng tinh vi như VerdantBamboo, các tổ chức cần thực hiện các biện pháp bảo vệ và bản vá bảo mật một cách chủ động.
Cập nhật Bản vá và Kiểm soát Đặc quyền
Lỗ hổng leo thang đặc quyền cục bộ trong hệ thống Egnyte Storage Sync đã được báo cáo cho Egnyte và đã được vá trong phiên bản Storage Sync v13.13. Các tổ chức đang sử dụng các thiết bị biên, bao gồm tường lửa, thiết bị NAS và hệ thống đồng bộ hóa lưu trữ, phải đảm bảo rằng các hệ thống này không bao giờ được truy cập trực tiếp từ internet mà không có các biện pháp bảo vệ MFA (Xác thực đa yếu tố).
Các tài khoản có đặc quyền sudo cần được kiểm toán thường xuyên để phát hiện các chuỗi quyền không mong muốn. Điều này sẽ giúp ngăn chặn việc khai thác các cấu hình sai để leo thang đặc quyền, một kỹ thuật được nhóm tấn công này sử dụng hiệu quả.
Giám sát và Các Biện pháp Đối phó
Đối với các hệ thống không thể chạy tác nhân EDR, cần có các kiểm soát bù đắp. Các biện pháp này bao gồm giám sát lưu lượng mạng, kiểm tra tính toàn vẹn tệp (FIM) và chính sách truy cập nghiêm ngặt. Việc này nhằm mục đích phát hiện các cuộc xâm nhập âm thầm, kéo dài mà VerdantBamboo chuyên về.
