Tin Tặc Trung Quốc Tấn Công Hệ Thống Linux Bằng SNOWLIGHT và VShell

16/04/2025
4 mins read

Tóm tắt kỹ thuật: Tin tặc Trung Quốc tấn công hệ thống Linux bằng SNOWLIGHT và VShell

Chiến dịch tấn công mạng gần đây do nhóm tin tặc UNC5174, được cho là có liên quan đến Trung Quốc, đã trở thành một mối đe dọa an ninh mạng nghiêm trọng. Nhóm này sử dụng biến thể của phần mềm độc hại SNOWLIGHT và một công cụ mã nguồn mở mới có tên VShell để xâm nhập vào các hệ thống Linux. Bài viết này sẽ phân tích chi tiết về phương thức tấn công, các kỹ thuật tinh vi được sử dụng và đưa ra các biện pháp phòng ngừa dành cho các chuyên gia IT, quản trị viên hệ thống và chuyên viên bảo mật.

1. Tổng quan về chiến dịch tấn công

UNC5174 đã triển khai một chiến dịch tấn công tinh vi nhắm vào hệ thống Linux, tận dụng các lỗ hổng bảo mật trong các thiết bị Ivanti để cài đặt phần mềm độc hại. Điểm đáng chú ý là chiến dịch này sử dụng kỹ thuật fileless (không lưu file trên đĩa) và WebSockets cho giao tiếp command-and-control (C2), giúp chúng khó bị phát hiện bởi các phương pháp kiểm tra dựa trên file thông thường.

2. Phương thức tấn công và các công cụ được sử dụng

  • SNOWLIGHT Malware: Đây là một biến thể của phần mềm độc hại đã được biết đến, được thiết kế để tải một công cụ tunneling Golang có tên GOHEAVY từ cơ sở hạ tầng liên kết với framework C2 công khai SUPERSHELL. SNOWLIGHT đóng vai trò như một bước đệm để triển khai các công cụ khác.
  • VShell Tool: Một công cụ mã nguồn mở mới, được cài đặt thông qua SNOWLIGHT, hoạt động như một Remote Access Trojan (RAT). VShell cho phép kẻ tấn công thực thi lệnh tùy ý, tải lên hoặc tải xuống file, đồng thời hỗ trợ khai thác sâu hơn sau khi xâm nhập.

3. Quá trình xâm nhập và khai thác

  • Điểm xâm nhập ban đầu: Kẻ tấn công khai thác các lỗ hổng bảo mật trong các thiết bị Ivanti, cụ thể là CVE-2025-0282CVE-2025-22457. Những lỗ hổng này cho phép thực thi mã từ xa (remote code execution), tạo điều kiện để triển khai các script và payload độc hại.
  • Hoạt động sau xâm nhập: Sau khi truy cập được hệ thống, kẻ tấn công thực thi một script bash độc hại để cài đặt hai file nhị phân liên quan đến SNOWLIGHT là dnslogerSliver. Các file này được sử dụng để thiết lập cơ chế duy trì truy cập (persistence) và giao tiếp với máy chủ C2.
  • Giai đoạn cuối: SNOWLIGHT triển khai VShell, cho phép điều khiển từ xa và tiếp tục khai thác. VShell sử dụng giao thức WebSockets cho giao tiếp C2, tăng thêm lớp ẩn mình và gây khó khăn cho việc phát hiện.

4. Các chi tiết kỹ thuật đáng chú ý

  • Memory-Resident Malware: VShell hoạt động như một backdoor chạy trong bộ nhớ (memory-resident), không lưu trữ file trên đĩa. Điều này khiến việc phát hiện bằng các công cụ quét file truyền thống trở nên vô cùng khó khăn, giúp kẻ tấn công duy trì trạng thái ẩn mình trong thời gian dài.
  • Command-and-Control (C2) qua WebSockets: Việc sử dụng WebSockets cho giao tiếp C2 cung cấp thêm một lớp bảo vệ chống phát hiện, vì phương thức này ít bị các công cụ phát hiện C2 truyền thống nhận diện.

5. Phạm vi mục tiêu và ảnh hưởng địa lý

Chiến dịch tấn công đã nhắm vào nhiều lĩnh vực tại gần 20 quốc gia, bao gồm Áo, Úc, Pháp, Tây Ban Nha, Nhật Bản, Hàn Quốc, Hà Lan, Singapore, Đài Loan, Các Tiểu vương quốc Ả Rập Thống nhất, Anh và Mỹ. Các chỉ số xâm nhập (Indicators of Compromise – IOCs) liên quan đến SNOWLIGHT cũng được ghi nhận tại Hồng Kông, Đài Loan, Nhật Bản, Đức và Pháp.

6. Hệ quả và rủi ro đối với tổ chức

  • Đánh cắp dữ liệu và thông tin xác thực: Backdoor VShell có thể dẫn đến việc đánh cắp thông tin xác thực (credential theft), xâm nhập sâu hơn vào mạng và trích xuất dữ liệu (data exfiltration).
  • Thiệt hại về uy tín: Một cuộc tấn công thành công có thể làm suy giảm danh tiếng tổ chức và niềm tin từ khách hàng cũng như các đối tác.
  • Tác động tài chính: Chi phí để phản ứng và phục hồi sau một cuộc tấn công mạng có thể rất lớn. Các biện pháp phòng ngừa chủ động sẽ giúp giảm thiểu chi phí và thời gian gián đoạn hoạt động.

7. Biện pháp phòng ngừa và ứng phó

Để giảm thiểu nguy cơ từ chiến dịch UNC5174, các tổ chức và chuyên gia IT cần thực hiện các bước sau:

  • Quản lý lỗ hổng: Ưu tiên vá các lỗ hổng trên thiết bị Ivanti, đặc biệt là các phiên bản 22.7R2.5 trở về trước, để ngăn chặn khai thác CVE-2025-0282CVE-2025-22457. Duy trì cập nhật thường xuyên cho tất cả phần mềm và hệ thống.
  • Phát hiện và ngăn chặn: Triển khai các cơ chế phát hiện mối đe dọa mạnh mẽ để nhận diện phần mềm độc hại chạy trong bộ nhớ và các hoạt động mạng bất thường liên quan đến giao tiếp C2. Sử dụng thông tin tình báo mối đe dọa (threat intelligence) để theo dõi các IOC liên quan đến SNOWLIGHT và VShell.
  • Ứng phó sự cố: Xây dựng kế hoạch ứng phó sự cố (incident response) bao gồm các quy trình để phát hiện và xử lý các cuộc tấn công fileless. Thực hiện kiểm tra an ninh và thử nghiệm xâm nhập định kỳ để cải thiện tình trạng bảo mật tổng thể.
  • Đào tạo và nâng cao nhận thức: Giáo dục người dùng về nguy cơ từ các cuộc tấn công lừa đảo (phishing) và kỹ thuật xã hội (social engineering), vốn là các phương thức phổ biến để xâm nhập ban đầu. Nâng cao nhận thức về việc lạm dụng công cụ mã nguồn mở cho mục đích độc hại.

Kết luận

Chiến dịch của UNC5174 cho thấy sự tiến hóa không ngừng của các mối đe dọa mạng, đặc biệt là việc sử dụng công cụ mã nguồn mở và các kỹ thuật tinh vi nhằm né tránh phát hiện. Các chuyên gia an ninh mạng và tổ chức cần duy trì cảnh giác, tập trung vào việc vá lỗi, triển khai giải pháp phát hiện tiên tiến và xây dựng kế hoạch ứng phó sự cố hiệu quả. Việc kiểm tra bảo mật thường xuyên, đào tạo người dùng và cập nhật thông tin về các mối đe dọa mới là yếu tố quan trọng để duy trì trạng thái an ninh mạnh mẽ trước những cuộc tấn công phức tạp như thế này.