Tin tức bảo mật ghi nhận một botnet mới có tên xlabs_v1 đang nhắm vào các máy chủ Minecraft bằng cách khai thác thiết bị Android có cổng ADB mở và phơi nhiễm trực tiếp ra Internet. Mô hình hoạt động này biến thiết bị bị xâm nhập thành một phần của hạ tầng tấn công mạng kiểu DDoS-for-hire, trong đó botnet được thuê để tạo lưu lượng làm gián đoạn dịch vụ.
xlabs_v1 là gì và vì sao đáng chú ý trong tin bảo mật mới nhất
xlabs_v1 là một biến thể đã chỉnh sửa của Mirai malware. Điểm đáng chú ý là nó tận dụng các thiết bị Android/IoT để mở rộng botnet, thay vì phụ thuộc vào các máy chủ truyền thống. Theo tài liệu phân tích, botnet nhắm vào các thiết bị có ADB trên TCP port 5555, bao gồm Android TV box, set-top box, smart TV, router dân dụng và phần cứng IoT có ADB bật sẵn.
Chi tiết kỹ thuật về chiến dịch có thể tham khảo thêm từ báo cáo gốc trên GitHub/nguồn công bố: Hunt.io: xlabs_v1 DDoS-for-hire operation exposed.
Chuỗi lây nhiễm qua ADB và ảnh hưởng hệ thống
Khi kẻ tấn công truy cập được qua cổng ADB mở, tệp bot được thả âm thầm vào thư mục /data/local/tmp/, sau đó được thực thi để thiết bị tham gia vào đội quân botnet. Trên hệ thống bị xâm nhập, tiến trình có thể bị ngụy trang thành /bin/bash nhằm tránh bị phát hiện khi kiểm tra danh sách tiến trình.
xlabs_v1 còn detaches khỏi terminal session, đóng các luồng stdin/stdout và chạy nền. Cách này không vô hiệu hóa phần mềm bảo mật chuyên dụng, nhưng làm giảm khả năng quan sát bằng kiểm tra thủ công.
Hành vi kỹ thuật chính
- Chặn tín hiệu SIGINT để tránh bị ngắt khi khởi chạy.
- Trích xuất infection-vector tag từ đối số khởi động rồi xóa đối số đó khỏi process listing.
- Giải mã bảng chuỗi nội bộ bằng ChaCha20.
- Ghi đè tên tiến trình thành /bin/bash bằng system call.
- Chạy nền, ẩn khỏi quan sát thông thường trên máy bị nhiễm.
Hạ tầng C2, cổng mạng và cơ chế điều khiển
Botnet kết nối đến C2 tại xlabslover[.]lol qua TCP port 35342. Trong gói đăng ký, bot gửi hostname thiết bị, số lượng CPU, dung lượng RAM và token xác thực theo từng bản build.
Nếu kết nối ra ngoài thất bại, mẫu bot mở một listener dự phòng trên TCP port 26721. Để duy trì kênh truy cập, nó tạo quy tắc iptables qua năm đường khác nhau, nhằm giữ khả năng quay lại của operator.
Thông tin vận hành được trích xuất
- C2 domain: xlabslover[.]lol
- TCP port C2: 35342
- TCP port dự phòng: 26721
- Directory thả file: /data/local/tmp/
- Port phân phối bot: 25565
Payload DDoS và mục tiêu Minecraft
xlabs_v1 tập trung vào việc làm gián đoạn máy chủ game, đặc biệt là Minecraft. Một biến thể RakNet flood được thiết kế riêng để tấn công các máy chủ này. Ngoài ra, máy chủ phân phối còn phục vụ tệp bot qua TCP port 25565, trùng với cổng mặc định của Minecraft server.
Điều này cho thấy botnet không chỉ phát tán payload mà còn tận dụng chính ngữ cảnh dịch vụ mục tiêu để che giấu lưu lượng và tối ưu hóa kịch bản remote code execution ở tầng triển khai bot, dù mục tiêu cuối cùng là DDoS.
Quy trình triển khai, chống cạnh tranh và đo băng thông
Trước khi thiết lập kết nối C2, xlabs_v1 quét các tiến trình đang chạy và giết mọi phần mềm độc hại cạnh tranh, bao gồm cả một bot cứng mã tại TCP port 24936. Đây là dấu hiệu điển hình của môi trường botnet nhiều tác nhân cùng tranh giành tài nguyên trên cùng một thiết bị.
Bot cũng thực hiện routine đo băng thông bằng cách mở 8.192 socket song song đến máy chủ Speedtest gần nhất. Dữ liệu này được dùng để ước lượng upstream, phục vụ việc phân tầng và định giá thiết bị bị nhiễm cho khách hàng thuê DDoS.
Hành vi liên quan đến kỹ thuật che giấu và định giá
- Quét tiến trình đang chạy trước khi tạo kênh C2.
- Loại bỏ các bot hoặc malware cạnh tranh.
- Đo upstream qua 8.192 kết nối đồng thời.
- Phân loại thiết bị theo năng lực băng thông để phục vụ mô hình thuê DDoS.
IOC cần theo dõi trong môi trường giám sát
- Domain C2: xlabslover[.]lol
- Domain liên quan hạ tầng: pool[.]hashvault[.]pro
- IP hạ tầng được ghi nhận: 176.65.139[.]44
- TCP port C2: 35342
- TCP port dự phòng: 26721
- TCP port phân phối: 25565
- TCP port thiết bị đích: 5555 (ADB)
- File/đường dẫn: /data/local/tmp/arm7
- Tiến trình ngụy trang: /bin/bash
Khuyến nghị phát hiện xâm nhập và giảm thiểu rủi ro bảo mật
Các biện pháp giảm thiểu tập trung vào việc vô hiệu hóa đường vào qua ADB và kiểm soát lưu lượng ra ngoài. Thiết bị Android và IoT phơi nhiễm Internet cần được kiểm tra trạng thái ADB, đặc biệt khi cổng 5555 đang mở.
Các đầu mối giám sát nên bao gồm tiến trình /bin/bash chạy không có controlling terminal, file lạ tại /data/local/tmp/arm7, và kết nối ra ngoài tới xlabslover[.]lol hoặc pool[.]hashvault[.]pro.
adb shell netstat -an | grep 5555
adb shell ps -A | grep bash
adb shell ls -l /data/local/tmp/
iptables -A OUTPUT -p tcp --dport 35342 -j DROP
iptables -A OUTPUT -p tcp --dport 26721 -j DROPNgoài ra, việc đối chiếu chỉ báo với nguồn cảnh báo công khai như CISA và cơ sở dữ liệu NVD giúp chuẩn hóa quy trình theo dõi mối đe dọa mạng và cập nhật bản vá cho thiết bị có ADB bật mặc định.
