Các chuyên gia bảo mật đang theo dõi chặt chẽ một chiến dịch mở rộng mạng lưới thiết bị Internet bị chiếm quyền điều khiển, tận dụng các lỗ hổng chưa được vá trên thiết bị định tuyến không dây Ruckus. Nhóm tấn công, được các nhà nghiên cứu xác định là UAT-7810, đang triển khai các công cụ mã độc tùy chỉnh nhằm xây dựng một cơ sở hạ tầng phức tạp để che giấu nguồn gốc các cuộc tấn công mạng.
Hoạt động của UAT-7810 và Mạng lưới ORB
Chiến dịch này liên quan đến việc khai thác các lỗ hổng bảo mật đã biết trên các thiết bị định tuyến Ruckus. Sau khi xâm nhập thành công, các thiết bị này sẽ được tích hợp vào một mạng lưới thiết bị trung gian, hay còn gọi là Mạng lưới Operational Relay Box (ORB). Mạng lưới ORB cho phép các đối tượng tấn công định tuyến lưu lượng truy cập của chúng thông qua các thiết bị bị xâm nhập, làm cho hoạt động độc hại khó bị phát hiện hơn bằng cách hòa lẫn vào lưu lượng Internet thông thường.
Cơ sở hạ tầng này, ban đầu được gọi là LapDogs, đã được các nhà nghiên cứu bảo mật chú ý từ năm 2025 và tiếp tục phát triển kể từ đó. UAT-7810 chuyên biệt trong việc xây dựng và duy trì các mạng lưới trung gian này. Việc phân chia lao động này làm tăng độ phức tạp trong việc truy vết các cuộc xâm nhập về nguồn gốc thực sự của chúng.
Các công cụ và phương thức tấn công
Các nhà phân tích từ Cisco Talos đã báo cáo rằng họ đang tích cực theo dõi cơ sở hạ tầng và mã độc liên quan đến UAT-7810. Nhóm này được mô tả là một nhóm tấn công dai dẳng nâng cao (APT) chịu trách nhiệm duy trì mạng lưới LapDogs.
UAT-7810 chia sẻ một số công cụ với một nhóm liên quan khác, UAT-5918, mặc dù hai nhóm này được theo dõi là các tác nhân riêng biệt với các mục tiêu khác nhau.
Các kẻ tấn công chủ yếu dựa vào các thiết bị định tuyến Ruckus chưa được cập nhật bản vá để có được điểm xâm nhập ban đầu. Thay vì tìm kiếm các lỗ hổng mới, họ khai thác các lỗ hổng đã biết nhưng chưa được khắc phục. Điều này nhấn mạnh rằng phần mềm lỗi thời vẫn là một trong những con đường dễ dàng nhất để xâm nhập vào mạng gia đình hoặc văn phòng.
Mã độc Backdoor Tùy chỉnh
Sau khi có quyền truy cập, nhóm triển khai một bộ công cụ backdoor tùy chỉnh ngày càng mở rộng, được thiết kế để duy trì quyền kiểm soát lâu dài đối với các thiết bị bị xâm nhập. Trung tâm của chiến dịch này là một backdoor có tên SHORTLEASH, hiện đang được thay thế bằng một phiên bản nâng cấp mang tên LONGLEASH.
LONGLEASH có khả năng hoạt động như một proxy, chạy máy chủ web riêng, quản lý các đường hầm được mã hóa và thậm chí hoạt động như một máy chủ lệnh trung gian, chuyển tiếp các chỉ dẫn đến các thiết bị bị nhiễm khác. Mã độc này vay mượn mã từ các thư viện mã nguồn mở và sử dụng mã định danh trình duyệt Chrome để ngụy trang lưu lượng mạng của nó như hoạt động duyệt web bình thường.
Talos cũng phát hiện ra hai công cụ chưa từng thấy trước đây, DOGLEASH và JARLEASH, cùng với một chương trình thử nghiệm nhỏ gọi là LEASHTEST.
Chi tiết về DOGLEASH và JARLEASH
DOGLEASH là một backdoor nhẹ, hoạt động âm thầm trên các thiết bị Linux bị nhiễm và chờ đợi các lệnh cụ thể, như chạy mã shell hoặc đọc tệp. JARLEASH, được viết bằng Java, cung cấp cho kẻ tấn công một bảng điều khiển quản lý tệp và các công cụ truyền tệp. Tệp cấu hình của nó chứa các bình luận được viết bằng tiếng Trung giản thể.
Khai thác Lỗ hổng Ruckus và Mở rộng Mục tiêu
Thiết bị định tuyến không dây Ruckus đã trở thành mục tiêu ưa thích do nhiều thiết bị vẫn đang chạy phần mềm lỗi thời. Talos đã xác định ba lỗ hổng đã biết mà UAT-7810 đã khai thác để xâm nhập các thiết bị này kể từ năm 2025.
Sau khi bị xâm nhập, một thiết bị định tuyến có thể được âm thầm đưa vào mạng lưới ORB và sử dụng để chuyển tiếp lưu lượng truy cập trong nhiều tháng mà chủ sở hữu không hề hay biết. Điều này nhấn mạnh tầm quan trọng của việc cập nhật bản vá kịp thời.
Nhóm tấn công cũng thể hiện sự quan tâm đến việc mở rộng ra ngoài thiết bị định tuyến. Một máy chủ được liên kết với chiến dịch này đã được sử dụng để nhắm mục tiêu vào các thiết bị ASUS AiCloud vào đầu năm nay. Điều này cho thấy UAT-7810 không giới hạn bản thân ở một nhà cung cấp hoặc loại thiết bị duy nhất khi mở rộng cơ sở hạ tầng trung gian của mình.
Các biện pháp phòng ngừa và giảm thiểu Rủi ro
Việc áp dụng các bản cập nhật firmware cho thiết bị định tuyến một cách kịp thời và thay thế các phần cứng đã hết vòng đời là những bước đơn giản nhưng hiệu quả để đóng các điểm truy nhập này. Các tổ chức và người dùng cá nhân đều được khuyến khích kiểm tra xem thiết bị định tuyến của họ có còn nhận được các bản cập nhật bảo mật từ nhà sản xuất hay không.
Phân đoạn mạng gia đình và văn phòng, sao cho một thiết bị định tuyến bị xâm nhập không thể dễ dàng truy cập các thiết bị khác, sẽ bổ sung thêm một lớp bảo vệ. Điều này giúp giới hạn phạm vi thiệt hại tiềm ẩn nếu xảy ra một vụ xâm nhập.
Vì các cuộc tấn công này dựa vào việc truy cập âm thầm và dài hạn thay vì gây thiệt hại ngay lập tức, việc thường xuyên giám sát lưu lượng mạng để phát hiện các kết nối bất thường cũng rất quan trọng. Việc phát hiện sớm có thể giúp giảm thiểu đáng kể tác động của một cuộc tấn công.
Các chỉ số xâm nhập (IoCs)
Lưu ý: Địa chỉ IP và tên miền được làm mất tác dụng (ví dụ: [.]) để ngăn chặn việc phân giải hoặc tạo siêu liên kết vô tình. Chỉ cần phục hồi chúng trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Để ngăn chặn các sự cố nghiêm trọng và tổn thất tài chính, cần có các biện pháp phòng thủ chủ động mạnh mẽ hơn. Tích hợp nguồn cấp dữ liệu mối đe dọa trực tiếp từ các đội SOC chuyên nghiệp là một bước quan trọng để nâng cao khả năng phòng vệ.
Nguồn tham khảo: Cisco Talos Blog










