Bản tin mã độc: Lumma hồi sinh, botnet SVF đánh thẳng vào máy chủ Linux SSH

[WhiteHat Team]

Tội phạm mạng không biến mất, chúng chỉ thay đổi cách thức tấn công. Trong khi Lumma Infostealer phục hồi nhanh chóng sau khi bị triệt phá thì SVF Botnet lại cho thấy mức độ nguy hiểm mới nhắm vào máy chủ Linux SSH. Dưới đây là tổng hợp chi tiết của WhiteHat về hai mối đe dọa đang nổi bật thời gian gần đây.

1. Lumma Infostealer tái xuất mạnh sau truy quét​

Vào tháng 5/2025, cơ quan thực thi pháp luật quốc tế đã thu giữ hơn 2.300 tên miền và một phần hạ tầng điều khiển (C2) của Lumma Stealer - mã độc đánh cắp thông tin hoạt động theo mô hình Malware-as-a-Service (MaaS).

Tuy nhiên, chỉ vài tuần sau, các chuyên gia lại ghi nhận Lumma đã nhanh chóng phục hồi gần như hoàn toàn, chuyển sang hạ tầng mới như Selectel (Nga) để tránh bị phát hiện và tiếp tục phát tán mạnh mẽ.

Ảnh: Hfrance​

Các kênh lây nhiễm chính hiện nay gồm:

• Cracks/keygens giả qua malvertising và kết quả tìm kiếm giả mạo
• CAPTCHA giả (ClickFix) dùng PowerShell tải mã độc vào bộ nhớ
• GitHub giả mạo chứa cheat/game crack có chứa payload Lumma
• Video trên YouTube/Facebook dẫn tới trang chứa mã độc, đôi khi qua sites.google.com

Việc Lumma tái xuất mạnh mẽ cho thấy các nền tảng MaaS có khả năng phục hồi rất nhanh nếu không có các biện pháp pháp lý đủ mạnh như bắt giữ hoặc truy tố. Đây tiếp tục là mối đe dọa đáng lo ngại với người dùng và doanh nghiệp.

2. Botnet SVF - Mối đe dọa mới nhắm vào máy chủ Linux SSH​

Một chiến dịch tấn công mới đang lợi dụng các máy chủ Linux SSH cấu hình yếu để triển khai botnet SVF, một mã độc viết bằng Python, cho phép kẻ tấn công điều khiển từ xa qua nền tảng Discord vốn ít bị giám sát.

Cách thức lây nhiễm: SVF Botnet tấn công các máy chủ Linux qua brute-force SSH, cài đặt payload bằng chuỗi lệnh shell tự động, điều khiển từ xa qua Discord và thực hiện các cuộc tấn công DDoS quy mô lớn, đồng thời có khả năng ẩn danh và tự kiểm soát proxy để tăng hiệu quả tấn công.

​

Tính năng nguy hiểm của SVF Bot:

• Hỗ trợ DDoS quy mô lớn với kỹ thuật HTTP Flood (L7) và UDP Flood (L4).
• Tự động thu thập proxy từ các trang công cộng, xác minh và sử dụng để che giấu nguồn tấn công.
• Giao diện điều khiển từ xa qua Discord: Cho phép tin tặc gửi lệnh, quản lý máy nhiễm, tùy chỉnh tham số tấn công, cập nhật hoặc gỡ bỏ bot từ xa, kể cả người không chuyên cũng dễ thao tác.

Mức độ nguy hiểm:

• Mã độc tự cập nhật và có thể dễ dàng bổ sung chức năng mới nhờ viết bằng Python.
• Khó bị phát hiện do sử dụng nền tảng phổ biến (Discord) làm C2.
• Tấn công liên tục các máy chủ SSH cấu hình yếu, cho thấy nhu cầu cấp bách trong việc củng cố bảo mật hạ tầng Linux.

Khuyến cáo bảo vệ máy chủ Linux:

• Đổi mật khẩu mạnh, độc nhất, vô hiệu hóa đăng nhập bằng mật khẩu nếu có thể.
• Giới hạn truy cập SSH chỉ cho IP đáng tin cậy (qua firewall).
• Cập nhật hệ điều hành và phần mềm thường xuyên để vá lỗ hổng.
• Giám sát nhật ký SSH, triển khai hệ thống phát hiện xâm nhập (IDS).
• Tắt dịch vụ không cần thiết để thu hẹp diện tấn công.

SVF Botnet cho thấy botnet thời đại mới không còn giới hạn trên Windows. Linux cũng đang là mục tiêu hấp dẫn và bất kỳ hệ thống SSH nào lơ là cấu hình đều có thể trở thành công cụ trong các cuộc tấn công DDoS toàn cầu.

Tạm kết​

Cả hai mối đe dọa Lumma Infostealer và botnet SVF cho thấy xu hướng mã độc ngày càng tinh vi, khó bị triệt tiêu dù đã có các biện pháp pháp lý và kỹ thuật. Thực tế này nhấn mạnh tầm quan trọng của việc triển khai bảo mật nhiều lớp kết hợp với giám sát liên tục và phản ứng kịp thời để bảo vệ hệ thống trong kỷ nguyên của MaaS và botnet hiện đại.

Tổng hợp: Cyber Press, Bleeping Computer​