Các tác nhân đe dọa đã tích cực khai thác các lỗ hổng trong Ivanti Connect Secure, cụ thể là CVE-2025-0282 và CVE-2025-22457, để triển khai mã độc tiên tiến, bao gồm MDifyLoader và Cobalt Strike Beacon. Các cuộc tấn công này, được quan sát từ tháng 12 năm 2024 đến tháng 7 năm 2025, tiếp nối các sự cố trước đó liên quan đến SPAWNCHIMERA và DslogdRAT, cho thấy mục tiêu dai dẳng vào các thiết bị VPN.
Những lỗ hổng này được kẻ tấn công tận dụng để giành quyền truy cập ban đầu, sau đó triển khai các công cụ như vshell và Fscan nhằm tạo điều kiện thuận lợi cho việc thăm dò, di chuyển ngang và duy trì quyền truy cập trong các mạng bị xâm nhập. Mức độ tinh vi của các hoạt động này nhấn mạnh ý định của kẻ tấn công nhằm né tránh phát hiện thông qua che giấu, mã hóa và lạm dụng các tệp tin hợp pháp, đồng thời nhấn mạnh sự cần thiết phải vá lỗi và giám sát mạnh mẽ các dịch vụ từ xa bên ngoài.
Phân tích Kỹ thuật Chiến dịch Tấn công
Khai thác Ban đầu và Triển khai Mã độc
Luồng thực thi bắt đầu bằng một tác vụ theo lịch trình kích hoạt một tệp thực thi hợp pháp, chẳng hạn như Java’s rmic.exe hoặc push_detect.exe. Tệp thực thi này sau đó tải MDifyLoader thông qua kỹ thuật DLL hijacking.
MDifyLoader, được phát triển từ dự án mã nguồn mở libPeConv, giải mã một tệp dữ liệu đã mã hóa bằng khóa RC4 được tạo từ hàm băm MD5 của tệp thực thi. Cuối cùng, nó tiêm Cobalt Strike Beacon phiên bản 4.5 vào bộ nhớ. Biến thể Beacon này có các sửa đổi tùy chỉnh, bao gồm dữ liệu cấu hình được mã hóa RC4 với khóa “google” được mã hóa cứng và định danh “NewBeacon.dll“, khác biệt so với giải mã XOR tiêu chuẩn. Việc che giấu trong MDifyLoader bao gồm mã rác với các lệnh gọi hàm vô nghĩa và tham chiếu địa chỉ tương đối, làm phức tạp các nỗ lực phân tích tĩnh và giải mã.
Công cụ Tấn công và Thăm dò Mạng
vshell, một RAT (Remote Access Trojan) đa nền tảng dựa trên Go, phiên bản 4.6.0, bao gồm kiểm tra ngôn ngữ hệ thống cho tiếng Trung Quốc. Kẻ tấn công đã liên tục thử nghiệm và triển khai lại công cụ này, cho thấy tàn dư của các tạo phẩm phát triển nội bộ.
Fscan, một công cụ quét mạng mã nguồn mở, được thực thi thông qua một tệp python.exe hợp pháp. Tệp này tải một python311.dll độc hại dựa trên FilelessRemotePE, giải mã payload k.bin đã được mã hóa bằng khóa RC4 “99999999” để thực thi trong bộ nhớ.
Di chuyển Nội bộ và Thu thập Thông tin Xác thực
Một khi đã thâm nhập vào mạng nội bộ, kẻ tấn công thực hiện các cuộc tấn công vét cạn (brute-force) vào các máy chủ Active Directory, FTP, MSSQL và dịch vụ SSH để thu thập thông tin xác thực. Đồng thời, chúng khai thác lỗ hổng MS17-010 SMB để di chuyển ngang sang các máy chủ chưa được vá lỗi. Thông tin xác thực thu được cho phép xoay vòng tấn công dựa trên RDP và SMB, với việc triển khai mã độc trên các hệ thống.
Cơ chế Duy trì Quyền truy cập
Để duy trì quyền truy cập, các tài khoản miền mới được tạo và thêm vào các nhóm, hòa lẫn với các hoạt động hợp pháp nhằm sống sót qua các lần thu hồi thông tin xác thực. Mã độc cũng được đăng ký dưới dạng dịch vụ Windows hoặc tác vụ theo lịch trình để tự động thực thi khi khởi động hoặc theo các sự kiện kích hoạt.
Kỹ thuật Né tránh Phát hiện
Việc né tránh phòng thủ đạt được thông qua việc giả mạo các tệp hợp pháp, xóa tệp để xóa dấu vết và bỏ qua ETW (Event Tracing for Windows) thông qua các bản vá ntdll.dll trong loader của Fscan, làm suy yếu khả năng phát hiện của các giải pháp EDR.
Giao tiếp Command and Control (C2)
Giao tiếp Command and Control (C2) được bảo mật bằng các kênh mã hóa, bao gồm TLS và các giao thức tùy chỉnh, tạo điều kiện thuận lợi cho việc truy cập lâu dài.
Phân tích với MITRE ATT&CK Framework
Những chiến thuật này được ánh xạ tới các kỹ thuật MITRE ATT&CK cụ thể, minh họa một vòng đời xâm nhập toàn diện:
- T1133: Remote Access Services (Initial Access)
- T1053.005: Scheduled Task (Execution, Persistence)
- T1110.001: Password Guessing (Credential Access)
- T1210: Exploitation of Remote Services (Lateral Movement)
Các Chỉ số Nhận dạng Sự cố (IOCs)
Để hỗ trợ phát hiện và ứng phó, các tổ chức nên tham khảo các chỉ số nhận dạng sự cố (IOCs) liên quan đến các cuộc tấn công này. Mặc dù thông tin chi tiết về hash và máy chủ C2 không được cung cấp trong nội dung này, việc giám sát các mẫu sau là rất quan trọng:
- Các tệp thực thi hợp pháp bị lạm dụng để DLL hijacking (ví dụ: rmic.exe, push_detect.exe).
- Các biến thể của MDifyLoader hoặc Cobalt Strike Beacon 4.5 (đặc biệt là biến thể có khóa RC4 “google” và định danh “NewBeacon.dll“).
- Sự hiện diện của vshell (Go-based RAT v4.6.0) hoặc Fscan.
- Các nỗ lực kết nối bất thường đến các dịch vụ AD, FTP, MSSQL, SSH từ các thiết bị VPN.
- Lưu lượng truy cập C2 mã hóa đến các địa chỉ không xác định hoặc bất thường.
- Các tài khoản miền mới hoặc tác vụ theo lịch trình đáng ngờ được tạo trên hệ thống.
- Các dấu hiệu bỏ qua ETW hoặc chỉnh sửa ntdll.dll.
Khuyến nghị Phòng thủ
JPCERT/CC đã cảnh báo rằng các cuộc tấn công này có khả năng tiếp diễn, thúc giục các tổ chức kiểm tra kỹ lưỡng các thiết bị VPN và triển khai các biện pháp phòng thủ chống lại các payload được mã hóa và che giấu như vậy. Các biện pháp phòng thủ quan trọng bao gồm:
- Cập nhật và vá lỗi định kỳ: Đảm bảo các thiết bị Ivanti Connect Secure và tất cả các hệ thống trong mạng được cập nhật các bản vá bảo mật mới nhất cho CVE-2025-0282 và CVE-2025-22457, cũng như các lỗ hổng khác như MS17-010.
- Giám sát mạng và điểm cuối nâng cao: Triển khai các giải pháp EDR và SIEM để phát hiện các hoạt động bất thường, đặc biệt là các dấu hiệu của DLL hijacking, thực thi mã trong bộ nhớ, các nỗ lực vét cạn và giao tiếp C2 mã hóa.
- Kiểm soát quyền truy cập nghiêm ngặt: Thực thi các chính sách Least Privilege (quyền tối thiểu cần thiết) và Multi-Factor Authentication (MFA) cho tất cả các dịch vụ từ xa và tài khoản đặc quyền.
- Phân tích hành vi: Theo dõi hành vi người dùng và hệ thống để phát hiện các sai lệch so với đường cơ sở thông thường, đặc biệt liên quan đến việc tạo tài khoản mới, thay đổi dịch vụ hoặc tác vụ theo lịch trình.
- Phân đoạn mạng: Cô lập các thiết bị quan trọng như máy chủ VPN và Active Directory để hạn chế di chuyển ngang trong trường hợp bị xâm phạm.
- Đào tạo nhận thức về bảo mật: Nâng cao nhận thức của nhân viên về các mối đe dọa kỹ thuật xã hội và các phương pháp tấn công phổ biến.
