Trong những năm gần đây, một mối đe dọa mạng đáng kể đã chuyển trọng tâm từ việc khai thác các lỗ hổng zero-day sang nhắm mục tiêu vào các thiết bị mạng biên bị cấu hình sai trong cơ sở hạ tầng quan trọng ở phương Tây. Hoạt động này, được ghi nhận từ năm 2021 và dự kiến sẽ tiếp diễn mạnh mẽ trong năm 2025, thể hiện sự thay đổi chiến thuật chiến lược của các nhóm tấn công nâng cao (APT) nhằm đạt được quyền truy cập bền bỉ và đánh cắp thông tin xác thực.
Thay vì dựa vào các lỗ hổng chưa được biết đến, những kẻ tấn công hiện tập trung vào các thiết bị mạng của khách hàng có giao diện quản lý bị phơi nhiễm. Cách tiếp cận này mang lại kết quả tương tự như khai thác zero-day – bao gồm quyền truy cập liên tục và đánh cắp thông tin xác thực – nhưng đồng thời làm cho việc phát hiện trở nên phức tạp hơn nhiều.
Mục Tiêu và Phương Pháp Tấn Công Lỗ hổng CVE
Các nhóm tấn công tập trung đặc biệt vào các tổ chức trong lĩnh vực năng lượng, cùng với các nhà cung cấp cơ sở hạ tầng quan trọng. Các mục tiêu cụ thể bao gồm:
- Bộ định tuyến doanh nghiệp (Enterprise routers)
- Cổng VPN (VPN gateways)
- Các thiết bị quản lý mạng được lưu trữ trên nền tảng đám mây
Bằng cách nhắm mục tiêu vào các thiết bị này, kẻ tấn công có thể chặn các thông tin xác thực của người dùng được truyền qua lưu lượng mạng. Sau đó, những thông tin này được sử dụng để truy cập các dịch vụ trực tuyến và hệ thống nội bộ của các tổ chức nạn nhân.
Chiến Thuật Khai Thác và Các Lỗ Hổng CVE Cụ Thể
Các nhà phân tích từ AWS đã xác định chiến dịch mối đe dọa mạng này thông qua hệ thống đo từ xa tình báo mối đe dọa của họ. Họ đã quan sát thấy các cuộc tấn công phối hợp chống lại các thiết bị mạng biên của khách hàng được lưu trữ trên Amazon Web Services. Các sự cố xâm nhập không phải do các lỗ hổng bảo mật của AWS, mà do cấu hình sai của khách hàng đã khiến các giao diện quản lý bị phơi nhiễm ra Internet.
Phân tích mạng đã tiết lộ các kết nối liên tục từ các địa chỉ IP do kẻ tấn công kiểm soát đến các phiên bản EC2 bị xâm nhập đang chạy phần mềm thiết bị mạng. Điều này cho thấy quyền truy cập tương tác và việc thu thập dữ liệu liên tục.
Dòng thời gian của chiến dịch cho thấy một sự phát triển rõ ràng trong chiến thuật:
- 2021 – 2022: Kẻ tấn công đã khai thác các thiết bị WatchGuard bằng cách sử dụng CVE-2022-26318. Thông tin chi tiết về lỗ hổng này có thể được tìm thấy tại NVD – CVE-2022-26318.
- 2022 – 2023: Các nhóm này nhắm mục tiêu vào các nền tảng Confluence thông qua CVE-2021-26084 và CVE-2023-22518.
- 2024: Khai thác Veeam qua CVE-2023-27532 trở nên phổ biến.
Trong suốt năm 2025, những kẻ tấn công vẫn duy trì sự tập trung vào các thiết bị bị cấu hình sai, đồng thời giảm đầu tư vào việc khai thác lỗ hổng. Điều này chứng minh một sự thay đổi chiến lược sang các mục tiêu dễ dàng hơn và cho thấy sự linh hoạt trong thích ứng với các phương pháp tấn công hiệu quả.
Thu Thập Thông Tin Xác Thực và Chiếm Quyền Điều Khiển
Kẻ tấn công sử dụng khả năng bắt gói tin (packet capture) để thu thập thông tin xác thực từ các thiết bị mạng bị xâm nhập. Ngay sau khi có quyền truy cập vào một thiết bị mạng biên, chúng sẽ chặn lưu lượng xác thực đi qua thiết bị đó. Khoảng thời gian giữa việc xâm nhập thiết bị và các nỗ lực phát lại thông tin xác thực cho thấy việc thu thập thông tin thụ động hơn là đánh cắp chủ động.
Những kẻ tấn công không chỉ thu giữ mật khẩu thiết bị mà còn thu thập thông tin xác thực của các tổ chức nạn nhân khi người dùng xác thực vào các dịch vụ khác nhau thông qua cơ sở hạ tầng đã bị xâm nhập. Sau khi thu thập thông tin xác thực, kẻ tấn công sẽ phát lại chúng một cách có hệ thống để truy cập các dịch vụ trực tuyến của nạn nhân, bao gồm:
- Nền tảng cộng tác
- Kho lưu trữ mã nguồn
- Bảng điều khiển quản lý đám mây
Các nhà nghiên cứu của AWS liên tục quan sát thấy mô hình này: xâm nhập thiết bị, sau đó là các nỗ lực xác thực bằng thông tin xác thực bị đánh cắp vào các dịch vụ đám mây và ứng dụng doanh nghiệp của nạn nhân. Kẻ tấn công đã thiết lập kết nối đến các điểm cuối xác thực trên nhiều lĩnh vực, bao gồm các công ty điện lực, nhà cung cấp năng lượng, nhà cung cấp dịch vụ bảo mật được quản lý và các công ty viễn thông.
Kỹ Thuật Vận Hành và Chống Phân Tích Pháp Y
Việc khai thác WatchGuard đã chứng minh cách tiếp cận kỹ thuật của kẻ tấn công. Payload khai thác bị bắt giữ cho thấy cách chúng mã hóa các tệp cấu hình bị đánh cắp bằng thư viện mã hóa Fernet, sau đó di chuyển chúng ra ngoài (exfiltrate) qua TFTP đến các máy chủ staging bị xâm nhập. Để xóa dấu vết, chúng đã xóa các tệp tạm thời. Phương pháp này cho thấy sự chú ý cẩn thận đến bảo mật vận hành và các biện pháp chống phân tích pháp y.
Sự tinh vi của chiến dịch này cho thấy mối đe dọa mạng đang phát triển, đòi hỏi các tổ chức phải tăng cường các biện pháp bảo mật, đặc biệt là quản lý cấu hình thiết bị và giám sát lưu lượng mạng. Việc đảm bảo các giao diện quản lý không bị phơi nhiễm ra Internet và thực hiện các bản vá bảo mật kịp thời cho các lỗ hổng CVE đã biết là rất quan trọng để giảm thiểu rủi ro.
