Wiz Research đã công bố phát hiện về một chiến dịch cryptomining Soco404 đang hoạt động.
Chiến dịch này tận dụng các cấu hình sai trong cơ sở dữ liệu PostgreSQL
và các dịch vụ đám mây khác để triển khai mã độc khai thác tiền điện tử
trên cả hệ thống Linux và Windows. Đây là một mối đe dọa đáng kể đối với an ninh mạng.
Tổng quan về Chiến dịch Cryptomining Soco404
Hoạt động này là một phần của cơ sở hạ tầng lừa đảo tiền mã hóa rộng lớn hơn.
Chiến dịch cryptomining Soco404 khai thác các dịch vụ bị phơi nhiễm
thông qua việc quét cơ hội. Nó lạm dụng các tính năng tích hợp như
PostgreSQL’s COPY FROM PROGRAM để đạt được khả năng
remote code execution (thực thi mã từ xa), tương ứng với kỹ thuật MITRE T1190.
Những kẻ tấn công của chiến dịch Soco404 nhắm mục tiêu vào các phiên bản PostgreSQL
có thể truy cập công khai. Dữ liệu từ Wiz chỉ ra rằng gần một phần ba
các triển khai PostgreSQL tự lưu trữ trong môi trường đám mây bị ảnh hưởng.
Điều này tạo thành một bề mặt tấn công rủi ro cao cho các tổ chức.
Phương thức Xâm nhập và Khai thác Lỗ hổng
Kẻ tấn công xâm nhập vào các hệ thống mục tiêu thông qua việc sử dụng thông tin đăng nhập yếu
hoặc khai thác các lỗ hổng CVE đã biết.
Một ví dụ cụ thể được ghi nhận là lỗ hổng CVE-2025-24813
trong Apache Tomcat Coyote.
Xem chi tiết về lỗ hổng Apache Tomcat này.
Sau khi giành quyền truy cập, các tác nhân đe dọa lưu trữ các payload độc hại
trên các máy chủ hợp pháp đã bị xâm phạm.
Một trường hợp đáng chú ý là việc sử dụng một trang web vận tải Hàn Quốc
để phân phối mã độc. Điều này giúp mã độc né tránh các biện pháp phát hiện thông thường.
Kỹ thuật Giả mạo Tiến trình và Phân phối Payload
Chiến dịch cryptomining Soco404 sử dụng kỹ thuật giả mạo tiến trình (MITRE T1036.005).
Các tệp nhị phân độc hại được ngụy trang thành các tiến trình hệ thống hợp lệ,
chẳng hạn như sd-pam hoặc các tiến trình kernel workers.
Điều này làm phức tạp quá trình phát hiện.
Các payload mã độc được nhúng một cách tinh vi dưới dạng các khối được mã hóa Base64.
Chúng được tìm thấy bên trong các trang lỗi 404 giả mạo.
Những trang này được lưu trữ trên Google Sites và các tên miền tùy chỉnh.
Dù hiển thị thông báo lỗi vô hại, chúng lại tạo điều kiện thuận lợi cho việc trích xuất
và thực thi payload ngay khi người dùng truy cập.
Chi tiết Mã độc trên Nền tảng Linux
Trong biến thể Linux của chiến dịch cryptomining Soco404,
kẻ tấn công thực thi một script dropper trong bộ nhớ có tên soco.sh.
Script này được tải về bằng các công cụ như curl hoặc wget
từ các máy chủ Apache Tomcat đã bị xâm phạm (MITRE T1105).
Quy trình Thực thi Mã độc và Tối ưu hóa
Script soco.sh tải xuống một tệp nhị phân Go đã được đóng gói bằng UPX
và che dấu bằng Garble (MITRE T1027).
Tệp nhị phân này tự giải nén trong bộ nhớ và tạo ra các tiến trình con.
Các tiến trình con này giao tiếp với nhau qua các socket cục bộ (MITRE T1559).
Sau đó, tệp nhị phân kết nối đến các tên miền C2 (Command and Control)
như www.fastsoco.top để tải về payload chính.
Để tối đa hóa hiệu suất đào tiền, tệp nhị phân loại bỏ các công cụ đào coin cạnh tranh.
Nó thực hiện điều này bằng cách xóa ld.so.preload,
kết thúc các tiến trình độc hại khác và xóa nhật ký hệ thống (MITRE T1070.002).
Nếu chạy với quyền root, mã độc sẽ tối ưu hóa tài nguyên hệ thống cho việc đào coin.
Các hành động này bao gồm kích hoạt “huge pages” và điều chỉnh các thanh ghi MSR
đối với CPU AMD hoặc Intel.
Cơ chế Duy trì Quyền Truy cập (Persistence)
Quyền truy cập của mã độc được củng cố mạnh mẽ thông qua việc tạo các mục nhập cron (MITRE T1053.003).
Ngoài ra, mã độc còn tiêm các dòng lệnh vào các tệp khởi tạo shell
như .bashrc và .profile (MITRE T1546.004).
Những thay đổi này đảm bảo rằng quá trình đào tiền mã hóa
trên các pool như c3pool và moneroocean
bằng cách sử dụng các địa chỉ ví cụ thể sẽ được duy trì liên tục.
Chi tiết Mã độc trên Nền tảng Windows
Đối với nền tảng Windows, payload chính là tệp ok.exe.
Nó được phân phối thông qua các công cụ hệ thống như certutil,
PowerShell Invoke-WebRequest, hoặc các cơ chế dự phòng curl.
Tệp này được thả vào các đường dẫn có quyền ghi, ví dụ như C:\Users\Public.
Kỹ thuật Duy trì và Che giấu trên Windows
Mã độc thiết lập quyền duy trì bằng cách tạo ra một dịch vụ mới (MITRE T1543.003)
với một tên ngẫu nhiên.
Tiếp theo, nó tiêm mã vào tiến trình conhost.exe (MITRE T1055)
và triển khai trình điều khiển WinRing0.sys để truy cập tài nguyên hệ thống.
Để tránh bị phát hiện, mã độc cũng dừng việc ghi nhật ký sự kiện (MITRE T1562.002)
trước khi bắt đầu quá trình đào coin, sử dụng cùng các địa chỉ ví như trên Linux.
Các Chỉ số Thỏa hiệp (IOCs) và Phương pháp Phát hiện
Bằng chứng rõ ràng cho thấy chiến dịch Soco404 có liên hệ chặt chẽ
với các trang web lừa đảo tiền mã hóa như seeyoume.top.
Các trang này được thiết kế để bắt chước các sàn giao dịch hợp pháp
và nhúng các payload tương tự.
Điều này cho thấy một hoạt động đa năng, pha trộn giữa cryptojacking
và kỹ thuật xã hội.
Danh sách IOCs của Chiến dịch Soco404
- Tên miền C2 (Command and Control):
www.fastsoco.top - Các pool đào coin:
c3pool,moneroocean - Trang web lừa đảo/phishing liên quan:
seeyoume.top - Mã độc Linux:
soco.sh, tệp nhị phân Go (được đóng gói UPX và Garble) - Mã độc Windows:
ok.exe - Lỗ hổng khai thác: CVE-2025-24813 (Apache Tomcat)
- Các tiến trình giả mạo:
sd-pam,kernel workers
Wiz’s Dynamic Scanner có khả năng nhận diện các phiên bản PostgreSQL
bị phơi nhiễm với thông tin đăng nhập yếu.
Song song đó, Runtime Sensor của Wiz phát hiện các hành vi bất thường
từ giai đoạn khai thác đến quá trình đào coin (MITRE T1496).
Tìm hiểu sâu hơn về chiến dịch Soco404 qua báo cáo của Wiz Research.
Chiến dịch cryptomining Soco404 vẫn đang hoạt động mạnh mẽ.
Số lượng worker động trong các mining pool liên tục thay đổi,
chỉ ra rằng các nhiễm trùng mới vẫn đang diễn ra.
Đây là một ví dụ điển hình về một cuộc tấn công mạng phức tạp
và dai dẳng, đòi hỏi các tổ chức cần tăng cường cảnh giác và triển khai các biện pháp bảo mật chặt chẽ.
