Các nhà nghiên cứu tại FortiGuard Labs đã phát hiện một chiến dịch khai thác tiền điện tử tinh vi, trong đó botnet H2Miner, hoạt động từ cuối năm 2019, đã mở rộng quy mô hoạt động để đồng thời nhắm mục tiêu vào các môi trường Linux, Windows và container hóa. Chiến dịch này thể hiện một sự phát triển đáng kể trong các cuộc tấn công khai thác tiền điện tử đa nền tảng, với việc các tác nhân đe dọa tận dụng các tập lệnh và cơ sở hạ tầng được cập nhật để tối đa hóa lợi nhuận tài chính từ các hệ thống bị xâm nhập.
Cuộc điều tra cho thấy các nhà điều hành H2Miner đã cập nhật kho vũ khí của mình với các URL triển khai mới trong khi vẫn duy trì các chức năng cốt lõi từ các chiến dịch trước đây được ghi nhận vào năm 2020.
H2Miner và Chiến Dịch Khai Thác Tiền Điện Tử Đa Nền Tảng
Phần mềm độc hại H2Miner tiếp tục phụ thuộc nhiều vào các shell script để vô hiệu hóa các biện pháp phòng thủ an ninh và triển khai phần mềm độc hại Kinsing. Tuy nhiên, nó hiện thể hiện nhận thức nâng cao về các biện pháp phòng thủ cụ thể của đám mây và môi trường container hóa. Đáng chú ý, các tập lệnh được cập nhật nhắm mục tiêu cụ thể vào các tác nhân và quy trình của Alibaba Cloud Security Center đang chạy bên trong các container Docker, cho thấy khả năng thích ứng của các nhà điều hành với cơ sở hạ tầng đám mây hiện đại.
Mục Tiêu Đa Nền Tảng và Các Công Cụ Khai Thác
Các tác nhân đe dọa đã thiết lập một cơ sở hạ tầng đa dạng lưu trữ nhiều công cụ thương mại trên các hệ điều hành khác nhau nhằm tối đa hóa bề mặt tấn công của chúng. Chiến dịch này triển khai các công cụ khác nhau tùy thuộc vào môi trường mục tiêu:
- Hệ thống Linux: Chiến dịch triển khai Kinsing.
- Môi trường Windows: Đối mặt với một loạt các mối đe dọa rộng hơn bao gồm Lumma stealer, DCRat, Cobalt Strike, Amadey, RustyStealer và ScreenConnect.
- Môi trường Container: Các môi trường container bị nhắm mục tiêu cụ thể với các trình khai thác XMRig, cho thấy phương pháp tiếp cận toàn diện của các nhà điều hành đối với việc chiếm đoạt tài nguyên.
Cơ Sở Hạ Tầng và Kỹ Thuật Né Tránh
Cơ sở hạ tầng của chiến dịch sử dụng nhiều nhà cung cấp máy chủ riêng ảo (VPS) trên các địa điểm địa lý khác nhau, bao gồm HostGlobal plus VPS, Aeza international VPS và Hangzhou Alibaba Advertising Co. ISP. Cách tiếp cận phân tán này giúp các nhà điều hành duy trì khả năng phục hồi chống lại các nỗ lực gỡ bỏ đồng thời đảm bảo quyền truy cập liên tục vào các hệ thống bị xâm nhập.
Chiến dịch cũng tận dụng các dịch vụ hợp pháp như Bitbucket để lưu trữ payload và Krakenfiles để tải xuống hình nền ransomware, khiến việc phát hiện và chặn trở nên khó khăn hơn.
Sự Xuất Hiện của Lcrypt0rx – Biến Thể Ransomware Được Cho là Tạo ra bằng AI
Có lẽ sự phát triển thú vị nhất trong chiến dịch này là sự xuất hiện của Lcrypt0rx, một biến thể mới của ransomware Lcryx mà các nhà nghiên cứu nghi ngờ được tạo ra bằng trí tuệ nhân tạo (AI).
Ransomware này thể hiện nhiều đặc điểm cho thấy mã được tạo bằng AI, bao gồm:
- Sao chép chức năng (function duplication)
- Cơ chế duy trì không chính xác (incorrect persistence mechanisms)
- Logic mã hóa bị lỗi (flawed encryption logic)
- Tạo đối tượng thừa (redundant object creation)
Phân tích bằng các công cụ phát hiện AI chuyên biệt đã trả về điểm tin cậy trong khoảng 85-90%, hỗ trợ giả thuyết về việc tự động tạo mã.
Phân Tích Kỹ Thuật và Điểm Yếu của Lcrypt0rx
Biến thể Lcrypt0rx cho thấy một số lỗi kỹ thuật gợi ý việc tạo tự động mà không có sự xác thực phù hợp. Ransomware cố gắng thiết lập khả năng duy trì thông qua WinLogon và Image File Execution Options nhưng thất bại do triển khai không đúng cách.
Quy trình mã hóa của nó sử dụng mã hóa XOR đơn giản với khóa chính 8.192 ký tự, nhưng thiếu quản lý khóa phù hợp, khiến việc khôi phục tương đối đơn giản thông qua phân tích mật mã cơ bản.
Phần mềm độc hại này cũng bao gồm các hành vi phi logic như cố gắng mở các tệp được mã hóa trong Notepad và nhắm mục tiêu các đường dẫn thư mục không tồn tại trên các phiên bản Windows khác nhau.
Tác Động và Vai Trò của Lcrypt0rx trong Chiến Dịch
Mặc dù có những thiếu sót về mặt kỹ thuật, Lcrypt0rx vẫn đóng vai trò là một công cụ gây gián đoạn hệ thống hiệu quả. Nó vô hiệu hóa các tiện ích Windows quan trọng, sửa đổi khóa registry để ngăn người dùng truy cập các công cụ hệ thống và ghi đè Master Boot Record (MBR) để làm cho hệ thống không thể khởi động được.
Ransomware cũng tải xuống và thực thi các payload bổ sung, bao gồm các trình khai thác và trình đánh cắp thông tin, đóng vai trò như một cơ chế phân phối cho chiến dịch H2Miner rộng lớn hơn.
Kết Hợp Tấn Công và Khuyến Nghị Bảo Mật
Sự hội tụ của các hoạt động H2Miner và Lcrypt0rx thể hiện một xu hướng đáng lo ngại trong việc thương mại hóa tội phạm mạng, nơi việc tiếp cận các mô hình ngôn ngữ lớn (LLM) và các công cụ được xây dựng sẵn làm giảm đáng kể rào cản gia nhập đối với các tác nhân đe dọa.
Các tổ chức nên triển khai các biện pháp bảo mật toàn diện, bao gồm giám sát mạng, bảo vệ điểm cuối và giáo dục người dùng, để chống lại các cuộc tấn công đa nền tảng đang phát triển này.
Các Chỉ Dấu Liên Quan (Associated Indicators)
Chiến dịch này liên quan đến việc sử dụng nhiều công cụ và cơ sở hạ tầng, thể hiện cách tiếp cận đa dạng của các tác nhân đe dọa.
Phần Mềm Độc Hại và Công Cụ (Malware and Tools)
- H2Miner (botnet khai thác tiền điện tử)
- Kinsing (phần mềm độc hại nhắm vào Linux và container)
- Lumma stealer (phần mềm đánh cắp thông tin)
- DCRat (công cụ truy cập từ xa)
- Cobalt Strike (công cụ kiểm soát và chỉ huy)
- Amadey (botnet)
- RustyStealer (phần mềm đánh cắp thông tin)
- ScreenConnect (công cụ truy cập từ xa bị lạm dụng)
- XMRig (trình khai thác tiền điện tử)
- Lcrypt0rx (biến thể ransomware nghi ngờ do AI tạo ra)
- Lcryx (ransomware gốc)
Cơ Sở Hạ Tầng và Dịch Vụ Lạm Dụng (Infrastructure and Abused Services)
- HostGlobal plus VPS (nhà cung cấp VPS)
- Aeza international VPS (nhà cung cấp VPS)
- Hangzhou Alibaba Advertising Co. ISP (nhà cung cấp ISP)
- Bitbucket (dịch vụ lưu trữ payload hợp pháp bị lạm dụng)
- Krakenfiles (dịch vụ tải xuống file hợp pháp bị lạm dụng)
