Prometei Botnet Tấn Công Máy Chủ Linux: Lộ Diện Kỹ Thuật Ngụy Trang ELF

21/06/2025
6 mins read
Nội dung
Chiến Dịch Botnet Prometei Nhắm Mục Tiêu Máy Chủ Linux
Phân Tích Kỹ Thuật Chi Tiết
Cơ Chế Phân Phối Mã Độc
Đặc Điểm Mã Độc
Hành Vi Khai Thác
Payload và Khả Năng Của Mã Độc
Chi Tiết Hạ Tầng
Các Chỉ Số Thỏa Hiệp (IOCs)
Nền Tảng Bị Ảnh Hưởng và Kỹ Thuật Tấn Công
Biện Pháp Khắc Phục và Phòng Ngừa
Tích Hợp Dữ Liệu Tình Báo Đe Dọa (TIP) và Hoạt Động SOC

Chiến Dịch Botnet Prometei Nhắm Mục Tiêu Máy Chủ Linux

Chiến dịch botnet Prometei, được ghi nhận hoạt động vào tháng 6 năm 2025, đại diện cho một họ mã độc đa nền tảng nguy hiểm, nhắm mục tiêu cả hệ thống LinuxWindows. Mục tiêu chính của Prometei bao gồm khai thác tiền điện tử, đặc biệt là Monero, và đánh cắp thông tin đăng nhập. Chiến dịch này nổi bật với cơ chế lây nhiễm dai dẳng trên các máy chủ Linux, cho thấy sự tinh vi và khả năng thích ứng cao của tác nhân đe dọa.

Phân Tích Kỹ Thuật Chi Tiết

Cơ Chế Phân Phối Mã Độc

Mã độc Prometei được phân phối chủ yếu thông qua các yêu cầu HTTP GET đến các URL cụ thể. Ví dụ điển hình của URL phân phối là:

hxxp://103.41.204.104/k.php?a=x86_64

Một biến thể khác của URL này bao gồm một tham số ParentID động, cho phép những kẻ tấn công gán một giá trị ParentID duy nhất cho từng mẫu mã độc được tải xuống:

hxxp://103.41.204.104/k.php?a=x86_64,<PARENT_ID>

Máy chủ lưu trữ payload được xác định là đang chạy Apache PHP trên hệ điều hành Windows và có vị trí tại Jakarta, Indonesia (thuộc ASN:58397 – Infinys Network). Việc sử dụng một máy chủ Windows chạy Apache PHP để phân phối mã độc Linux ELF là một chiến thuật nhằm che giấu bản chất thực sự của hoạt động, khiến việc phân tích ban đầu trở nên phức tạp hơn.

Đặc Điểm Mã Độc

Tệp được tải xuống với tên k.php, trái ngược với tên gọi của nó, không phải là một script PHP mà thực chất là một tệp thực thi ELF (Executable and Linkable Format) dành cho hệ điều hành Linux. Điều này thể hiện một kỹ thuật ngụy trang đơn giản nhưng hiệu quả để qua mặt các hệ thống phát hiện dựa trên phần mở rộng tệp.

Các phiên bản Prometei gần đây nhất, được ghi nhận vào tháng 3 năm 2025, đã được nén bằng công cụ Ultimate Packer for eXecutables (UPX). Việc sử dụng UPX giúp nén kích thước tệp nhị phân, làm giảm dấu vết trên đĩa, đồng thời gây khó khăn cho quá trình phân tích tĩnh mã độc bằng cách làm xáo trộn cấu trúc ban đầu của nó. Ngược lại, các phiên bản cũ hơn, chẳng hạn như phiên bản 2 từ năm 2021, không sử dụng UPX và thường có tên tệp là uplugplay.

Hành Vi Khai Thác

Sau khi được thực thi trên các máy chủ Linux bị thỏa hiệp, tệp thực thi UPX-packed ELF sẽ tự giải nén trong bộ nhớ tại thời điểm chạy. Quá trình giải nén trong bộ nhớ giúp mã độc hoạt động một cách lén lút hơn, tránh được sự phát hiện của các giải pháp bảo mật dựa trên chữ ký tệp trên đĩa. Sau khi giải nén, payload độc hại sẽ được khởi chạy, bắt đầu các hoạt động tấn công đã định.

Payload và Khả Năng Của Mã Độc

Dù các TTPs (Tactics, Techniques, and Procedures) cụ thể ngoài việc khai thác tiền điện tử và đánh cắp thông tin đăng nhập không được mô tả chi tiết, dựa trên hành vi điển hình của botnet, có thể suy luận về các khả năng sau:

  • Điều khiển từ xa: Khả năng điều khiển các máy bị nhiễm từ xa là một đặc điểm cốt lõi của bất kỳ botnet nào, cho phép kẻ tấn công thực hiện các lệnh, triển khai các mô-đun bổ sung hoặc thay đổi hành vi của mã độc.
  • Khai thác tiền điện tử: Việc tập trung vào khai thác Monero (XMR) cho thấy mục tiêu chính là lợi nhuận tài chính. Mã độc sẽ sử dụng tài nguyên CPU của máy chủ bị nhiễm để giải các bài toán phức tạp, tạo ra Monero cho kẻ tấn công. Điều này dẫn đến hiệu suất hệ thống suy giảm đáng kể, tăng mức tiêu thụ điện năng và có thể gây hư hỏng phần cứng về lâu dài.
  • Đánh cắp thông tin đăng nhập: Khả năng này cho phép kẻ tấn công thu thập tên người dùng, mật khẩu, khóa SSH và các thông tin xác thực nhạy cảm khác từ hệ thống bị nhiễm. Những thông tin này có thể được sử dụng để duy trì quyền truy cập dai dẳng, di chuyển ngang trong mạng hoặc bán trên các thị trường chợ đen.

Chi Tiết Hạ Tầng

Thông tin chi tiết về hạ tầng điều khiển và chỉ huy (C2) của chiến dịch Prometei được xác định rõ ràng, cung cấp cái nhìn sâu sắc về nguồn gốc của các hoạt động độc hại:

  • Máy chủ phân phối: Địa chỉ IP 103.41.204.104.
  • Đường dẫn URL: /k.php?a=x86_64.
  • Hệ điều hành máy chủ: Windows.
  • Máy chủ web: Apache PHP.
  • Tổ chức đăng ký (ASN): Infinys Network (ASN:58397), có trụ sở tại Jakarta, Indonesia.

Sự hiện diện của máy chủ phân phối trên hạ tầng Infinys Network tại Indonesia là một điểm quan trọng để các đội ngũ bảo mật và tình báo đe dọa theo dõi và xây dựng các quy tắc chặn hoặc cảnh báo.

Các Chỉ Số Thỏa Hiệp (IOCs)

Để hỗ trợ các nỗ lực phát hiện và ngăn chặn, các chỉ số thỏa hiệp (IOCs) sau đây đã được xác định liên quan đến chiến dịch botnet Prometei:

  • URL Phân Phối:
    • hxxp://103.41.204[.]104/k.php?a=x86_64
    • hxxp://103.41.204[.]104/k.php?a=x86_64,<PARENT_ID>
  • Tên Tệp:
    • k.php (tệp thực thi ELF được ngụy trang dưới dạng script PHP)
    • uplugplay (tên tệp được sử dụng trong phiên bản 2 từ năm 2021)
  • Kỹ Thuật Nén/Đóng Gói:
    • Tệp thực thi ELF được nén bằng UPX nhắm mục tiêu kiến trúc x86_64.
  • Thông tin Máy chủ:
    • IP: 103.41.204[.]104
    • ASN: Infinys Network (ASN:58397), Jakarta, Indonesia.
    • Hệ điều hành máy chủ web: Windows (chạy Apache PHP).

Nền Tảng Bị Ảnh Hưởng và Kỹ Thuật Tấn Công

Botnet Prometei chủ yếu nhắm mục tiêu vào các máy chủ Linux, nhưng cũng có các biến thể đã biết tồn tại cho hệ thống Windows. Điều này làm cho nó trở thành một mối đe dọa rộng khắp đối với các môi trường doanh nghiệp có cả hai loại hệ điều hành.

Mặc dù không có ID kỹ thuật MITRE ATT&CK nào được đề cập rõ ràng, dựa trên hành vi được mô tả, các kỹ thuật sau đây có thể được ánh xạ:

  • T1071 – Application Layer Protocol: Việc sử dụng các yêu cầu HTTP GET để điều khiển và chỉ huy (C2) hoặc phân phối payload. Kẻ tấn công lợi dụng giao thức web phổ biến để trà trộn lưu lượng độc hại với lưu lượng hợp pháp, gây khó khăn cho việc phát hiện dựa trên mạng.
  • T1059 – Command and Scripting Interpreter: Thực thi các tệp nhị phân ELF đã giải nén sau khi giải nén trong bộ nhớ. Kỹ thuật này cho phép mã độc chạy các lệnh tùy ý trên hệ thống bị thỏa hiệp, bao gồm khởi chạy các hoạt động khai thác tiền điện tử và đánh cắp dữ liệu.
  • T1486 – Data Encrypted for Impact / T1496 – Resource Hijacking: Hoạt động khai thác tiền điện tử Monero có thể được coi là một hình thức chiếm đoạt tài nguyên. Mã độc chiếm dụng tài nguyên CPUGPU của máy chủ để phục vụ lợi ích của kẻ tấn công, gây ra tác động đáng kể đến hiệu suất và chi phí vận hành cho nạn nhân.

Biện Pháp Khắc Phục và Phòng Ngừa

Để bảo vệ hệ thống khỏi các mối đe dọa như botnet Prometei, các tổ chức nên triển khai một chiến lược bảo mật đa lớp bao gồm:

  • Giải pháp Bảo Mật Điểm Cuối (Endpoint Security): Triển khai các giải pháp EDR (Endpoint Detection and Response) hoặc Antivirus tiên tiến có khả năng phát hiện các hành vi độc hại, giải nén trong bộ nhớ và các tệp thực thi bị ngụy trang. Đảm bảo các giải pháp này được cập nhật thường xuyên.
  • Giám Sát Lưu Lượng Mạng: Theo dõi chặt chẽ lưu lượng mạng đi và đến để phát hiện các kết nối bất thường tới các IP hoặc tên miền đáng ngờ, đặc biệt là các kết nối đến các máy chủ C2 đã biết hoặc các khu vực địa lý không mong muốn. Sử dụng các hệ thống phát hiện xâm nhập (IDS) và ngăn chặn xâm nhập (IPS) để chặn lưu lượng độc hại.
  • Quản lý Vá Lỗi và Cấu Hình Bảo Mật: Đảm bảo tất cả các hệ điều hành, ứng dụng và phần mềm máy chủ được cập nhật các bản vá bảo mật mới nhất để loại bỏ các lỗ hổng có thể bị khai thác. Thực hiện các cấu hình bảo mật mạnh mẽ, tắt các dịch vụ không cần thiết và thực thi chính sách ít đặc quyền nhất.
  • Xác Thực Mạnh Mẽ: Sử dụng xác thực đa yếu tố (MFA) cho tất cả các tài khoản quản trị và dịch vụ quan trọng. Thực thi chính sách mật khẩu mạnh và thường xuyên thay đổi mật khẩu. Đối với máy chủ Linux, đảm bảo cấu hình SSH an toàn, vô hiệu hóa đăng nhập bằng mật khẩu nếu có thể và chỉ cho phép đăng nhập bằng khóa SSH.
  • Sao Lưu Dữ Liệu Định Kỳ: Thường xuyên sao lưu dữ liệu quan trọng và kiểm tra tính toàn vẹn của các bản sao lưu. Đảm bảo các bản sao lưu được lưu trữ ngoại tuyến hoặc trên các hệ thống cách ly để chúng không thể bị ảnh hưởng bởi các cuộc tấn công mã độc.
  • Tích Hợp Tình Báo Đe Dọa: Tích hợp các IOCs đã biết vào các công cụ bảo mật của bạn, bao gồm SIEM (Security Information and Event Management), firewall, và các giải pháp bảo mật DNS, để tự động chặn hoặc cảnh báo về các hoạt động liên quan đến Prometei.

Tích Hợp Dữ Liệu Tình Báo Đe Dọa (TIP) và Hoạt Động SOC

Chiến dịch botnet Prometei tái xuất hiện, tập trung vào các máy chủ Linux bằng cách sử dụng các tệp thực thi ELF được nén bằng UPX. Các tệp này được phân phối qua các yêu cầu HTTP GET từ một máy chủ đặt tại Indonesia với địa chỉ IP 103.41.204.104. Mã độc này ngụy trang dưới các tên tệp như k.php, mặc dù chúng là các tệp nhị phân gốc của Linux được thiết kế chủ yếu cho mục đích khai thác tiền điện tử và đánh cắp thông tin đăng nhập.

Thông tin này có thể được đưa trực tiếp vào các quy tắc tương quan của hệ thống SIEM hoặc các nền tảng tình báo đe dọa (TIP). Các đội ngũ vận hành trung tâm an ninh (SOC) nên tập trung vào các chỉ số mạng liên quan đến việc tải xuống đáng ngờ từ hạ tầng đặt tại Indonesia, đặc biệt là các tệp nhị phân ELF bị ngụy trang được phân phối qua giao thức HTTP, nhắm mục tiêu vào các máy chủ Linux cấp doanh nghiệp. Việc chủ động giám sát và phản ứng dựa trên các IOCs này là rất quan trọng để giảm thiểu rủi ro từ botnet Prometei và các mối đe dọa tương tự.