Datadog Security Research team đã phát hiện nhóm tác nhân đe dọa Mimo, còn được biết đến với tên gọi Mimo’lette hoặc Hezb, đang mở rộng hoạt động từ việc nhắm mục tiêu vào Craft CMS sang Magento CMS.
Trước đây, Mimo được ghi nhận là triển khai các cryptominer thông qua các lỗ hổng công khai. Hiện tại, nhóm này khai thác các lỗ hổng PHP-FPM chưa xác định trong các cài đặt Magento để giành quyền truy cập ban đầu. Điều này đánh dấu một sự thay đổi chiến thuật hướng tới việc nhắm mục tiêu vào các nền tảng rộng hơn. Sự tiến hóa này bao gồm các cơ chế duy trì quyền truy cập (persistence) và lẩn tránh phát hiện tinh vi, cho thấy sự chuẩn bị cho các tội phạm tài chính tiên tiến hơn ngoài việc khai thác tài nguyên đơn thuần.
Khai Thác Ban Đầu và Xâm Nhập Hệ Thống
Các cuộc điều tra cho thấy các cuộc xâm nhập kéo dài nhiều ngày, trong đó kẻ tấn công sử dụng kỹ thuật command injection thông qua các plugin của Magento. Điều này cho phép chúng truy cập từ xa trái phép và kiếm tiền từ các hệ thống bị xâm nhập.
Công Cụ Nâng Cao và Cơ Chế Giao Tiếp
Bộ công cụ cập nhật của Mimo tận dụng công cụ kiểm thử thâm nhập hợp pháp GSocket để vượt qua tường lửa và NAT (Network Address Translation). GSocket thiết lập các kết nối được mã hóa thông qua Global Socket Relay Network (GSRN) với mã hóa đầu cuối AES-256-CBC và hỗ trợ TOR. Điều này giúp chúng duy trì liên lạc an toàn và khó theo dõi.
Cơ Chế Duy Trì Quyền Truy Cập (Persistence)
Quyền truy cập được duy trì thông qua nhiều phương pháp khác nhau, bao gồm:
* Các đơn vị dịch vụ systemd.
* Sửa đổi tệp rc.local.
* Các mục nhập crontab thực thi các reverse shell dựa trên GSocket hàng giờ.
Các tiến trình độc hại này ngụy trang thành các tiến trình kernel hợp pháp như [kstrp], [watchdogd], hoặc [kswapd0] để tránh bị phát hiện.
Kỹ Thuật Lẩn Tránh Phát Hiện
Một kỹ thuật lẩn tránh đáng chú ý là sử dụng lời gọi hệ thống memfd_create(). Lời gọi này tạo ra các tệp ẩn danh trong bộ nhớ được đặt tên theo các tiến trình kernel hợp pháp (ví dụ: memfd:[rcu_sched]), cho phép các payload chạy mà không để lại dấu vết trên đĩa.
Trước khi triển khai, kẻ tấn công xóa bỏ các hiện vật từ các tệp .bashrc, .bash_profile và /etc/ld.so.preload. Sau đó, chúng tiêm rootkit alamdar.so để móc nối các lời gọi hệ thống, che giấu các tiến trình độc hại như miner XMRig và client proxy IPRoyal Pawns.
Chiến Lược Kiếm Tiền: “Profit Stacking”
Với động cơ tài chính, Mimo kết hợp cryptojacking với proxyjacking để thực hiện chiến lược “profit stacking” (tích lũy lợi nhuận).
* **Cryptojacking:** Các biến thể XMRig được đóng gói bằng UPX khai thác Monero trên bể đào C3Pool, tiêu thụ tài nguyên CPU của hệ thống bị nhiễm.
* **Proxyjacking:** Client IPRoyal Pawns với tên gọi hezb.x86_64 kiếm tiền từ băng thông bằng cách biến các hệ thống bị xâm nhập thành các proxy dân cư (residential proxies), tạo ra thu nhập thụ động với chi phí vận hành tối thiểu.
Cách tiếp cận kép này đảm bảo khả năng phục hồi; ngay cả khi hoạt động đào tiền bị gián đoạn, hoạt động proxy vẫn tiếp tục mà không bị phát hiện.
Nhắm Mục Tiêu Vào Docker và Cơ Chế Lây Lan
Việc phân tích ngược các biến thể nhắm mục tiêu vào Docker cho thấy phần mềm độc hại dựa trên Go có cấu trúc mô-đun thuộc gói alamdar/313. Phần mềm này bao gồm các mô-đun thực hiện các chức năng sau:
* Thao tác nhập/xuất tệp (File I/O).
* Thực thi lệnh.
* Tấn công vét cạn SSH.
Phần mềm độc hại này lây lan thông qua việc trích xuất tệp known_hosts và quét các mạng con (subnet scanning) với các tên người dùng như “ec2-user”, cho thấy sự tập trung vào môi trường AWS (Amazon Web Services).
Mục tiêu bổ sung là các API Docker bị cấu hình sai, cho phép kẻ tấn công tạo ra các container độc hại. Các container này sau đó tìm nạp các payload như cron.jpg thông qua các lệnh curl được giải mã base64, được tham số hóa để theo dõi dịch vụ cụ thể.
Sự đa dạng hóa này, không có trong các báo cáo trước đây, làm nổi bật khả năng thích ứng của Mimo. Điều này có khả năng cho phép đánh cắp chi tiết thẻ tín dụng trong môi trường thương mại điện tử bằng cách duy trì trong bộ nhớ và lẩn tránh việc điều tra pháp y.
Hệ Thống Chỉ Huy và Kiểm Soát (C2)
Hệ thống chỉ huy và kiểm soát nhiều cấp độ xoay vòng các máy chủ để tăng cường an ninh hoạt động. Ví dụ, địa chỉ C2 đã thay đổi từ 109.205.213.203:21 sang 193.32.162.10:21.
Các Biện Pháp Giảm Thiểu
Để chống lại các cuộc tấn công của Mimo, các tổ chức nên thực hiện các biện pháp sau:
* Kiểm tra tệp /etc/ld.so.preload để tìm các mục nhập trái phép. Tệp này có thể được sử dụng để tải các thư viện chia sẻ độc hại trước khi các chương trình hợp pháp được thực thi.
* Cập nhật các nền tảng CMS (Content Management System), đặc biệt là Magento, lên phiên bản mới nhất để vá các lỗ hổng đã biết, bao gồm cả các lỗ hổng PHP-FPM tiềm ẩn.
* Chặn các cổng Monero phổ biến (ví dụ: 3333, 5555) tại lớp mạng để ngăn chặn hoạt động cryptomining.
* Kiểm tra kỹ lưỡng các tác vụ cron để tìm các lệnh bị che giấu hoặc đáng ngờ có thể được sử dụng cho mục đích duy trì quyền truy cập.
* Kiểm tra các inode của tiến trình và tiêu diệt các file thực thi ẩn từ một khởi động sạch (clean boot). Điều này rất cần thiết để loại bỏ rootkit và đảm bảo không có phần mềm độc hại nào còn sót lại.
* Xoay vòng thông tin xác thực (rotate credentials) định kỳ, đặc biệt là sau khi phát hiện bất kỳ dấu hiệu xâm nhập nào.
Các Chỉ Số Thỏa Hiệp (IOCs)
* **Tên nhóm tác nhân đe dọa:**
* Mimo
* Mimo’lette
* Hezb
* **Malware/Công cụ:**
* GSocket
* Rootkit alamdar.so
* XMRig (biến thể được đóng gói bằng UPX)
* Client IPRoyal Pawns (biến thể hezb.x86_64)
* Phần mềm độc hại dựa trên Go (gói alamdar/313)
* **Địa chỉ C2:**
* 109.205.213.203:21
* 193.32.162.10:21
* **Bể đào tiền điện tử:**
* C3Pool (Monero)
* **Tên tiến trình bị ngụy trang:**
* [kstrp]
* [watchdogd]
* [kswapd0]
* **Ví dụ tệp trong bộ nhớ (memfd):**
* memfd:[rcu_sched]
* **Ví dụ payload được tìm nạp:**
* cron.jpg
* **Tên người dùng SSH phổ biến để vét cạn:**
* ec2-user
