-
09/04/2020
-
110
-
1.071 bài viết
Từ GeoServer đến Gayfemboy: Chiến dịch mới đưa botnet IoT lên tầm cao mới
Các nhà nghiên cứu an ninh mạng đang cảnh báo về nhiều chiến dịch lợi dụng lỗ hổng bảo mật đã biết và các máy chủ Redis bị lộ. Mục đích của các chiến dịch này là biến thiết bị thành botnet IoT, sử dụng làm proxy dân cư hoặc khai thác tiền điện tử.
Theo báo cáo của Palo Alto Networks Unit 42, kẻ tấn công triển khai các bộ SDK hoặc ứng dụng đã chỉnh sửa để thu lợi thụ động thông qua chia sẻ mạng và proxy dân cư. Chiến thuật này mô phỏng cách kiếm tiền hợp pháp của một số nhà phát triển ứng dụng, vốn chọn tích hợp SDK thay vì hiển thị quảng cáo, giúp khó bị phát hiện hơn.
Từ tháng 3/2025, các máy chủ GeoServer phơi ra internet bị quét và truy cập trái phép, sau đó tải xuống tệp thực thi từ máy chủ do kẻ tấn công kiểm soát. Các payload được phát tán qua dịch vụ chia sẻ file riêng transfer.sh thay vì máy chủ web HTTP thông thường.
Ứng dụng triển khai hoạt động rất nhẹ, chỉ ngầm tiêu thụ băng thông để tạo lợi nhuận. Các tệp nhị phân viết bằng Dart, thiết kế để tương tác với dịch vụ kiếm tiền thụ động hợp pháp. Khi chạy, tiến trình này hoạt động ngầm trong hệ thống, chia sẻ băng thông của nạn nhân và mang lại nguồn thu cho kẻ tấn công.
Số liệu thống kê cho thấy có hơn 7.100 GeoServer công khai tại 99 quốc gia, nhiều nhất ở Trung Quốc, Mỹ, Đức, Anh và Singapore. Unit 42 đánh giá đây là sự chuyển dịch quan trọng, khi kẻ tấn công ưu tiên thu lợi lâu dài và kín đáo thay vì khai thác mạnh mẽ dễ bị phát hiện.
Sau khi có quyền truy cập ban đầu, kẻ tấn công cài đặt backdoor TLS tùy chỉnh dựa trên Mbed TLS. Backdoor này hỗ trợ kênh C2 mã hóa, xóa log và cập nhật hạ tầng động. Nó thường hoạt động trên các cổng cao không chuẩn để né giám sát. PolarEdge mang đặc điểm của một mạng Operational Relay Box (ORB), tức các nút bị chiếm quyền điều khiển sẽ âm thầm chuyển tiếp lưu lượng cho kẻ tấn công.
Theo Censys, PolarEdge có thể đã khởi động từ tháng 6/2023 và hiện đạt khoảng 40.000 thiết bị hoạt động, tập trung nhiều nhất ở Hàn Quốc, Mỹ, Hồng Kông, Thụy Điển và Canada. ORB đặc biệt khó bị phát hiện vì thiết bị vẫn vận hành bình thường trong khi âm thầm chuyển tiếp dữ liệu.
Gayfemboy hỗ trợ nhiều kiến trúc hệ thống bao gồm ARM, AArch64, MIPS R3000, PowerPC và Intel 80386. Nó được thiết kế với bốn chức năng chính: theo dõi tiến trình và duy trì sự tồn tại, chiếm cổng UDP 47272, thực hiện tấn công DDoS đồng thời mở backdoor để nhận lệnh từ xa và tự hủy nếu phát hiện môi trường sandbox hoặc nhận lệnh từ máy chủ điều khiển.
So với Mirai, Gayfemboy đã bổ sung nhiều kỹ thuật né tránh phát hiện, cho thấy sự tiến hóa ngày càng tinh vi của các dòng mã độc hiện đại.
Kẻ tấn công đồng thời cài đặt công cụ quét như masscan và pnscan để tìm thêm Redis dễ bị tấn công, sau đó thiết lập cơ chế tự động khởi chạy mỗi giờ nhằm duy trì hoạt động. Mã độc này có khả năng hoạt động như rootkit, đổi tên các công cụ hệ thống như ps, top, curl và wget để ẩn mình, khiến quản trị viên khó phát hiện bằng công cụ thông thường.
Theo CloudSEK, đây là sự tiếp nối của một chiến dịch từng được Trend Micro công bố năm 2020, nhưng đã được nâng cấp với nhiều tính năng che giấu sâu hơn, đủ khả năng qua mặt phân tích forensics và sản phẩm bảo mật.
Khai thác GeoServer và mô hình thu lợi thụ động
Một trong những chiến dịch nổi bật là việc khai thác lỗ hổng CVE-2024-36401 (CVSS 9.8), lỗi thực thi mã từ xa nghiêm trọng trong OSGeo GeoServer GeoTools. Lỗ hổng này đã bị tội phạm mạng vũ khí hóa từ cuối năm ngoái.Theo báo cáo của Palo Alto Networks Unit 42, kẻ tấn công triển khai các bộ SDK hoặc ứng dụng đã chỉnh sửa để thu lợi thụ động thông qua chia sẻ mạng và proxy dân cư. Chiến thuật này mô phỏng cách kiếm tiền hợp pháp của một số nhà phát triển ứng dụng, vốn chọn tích hợp SDK thay vì hiển thị quảng cáo, giúp khó bị phát hiện hơn.
Từ tháng 3/2025, các máy chủ GeoServer phơi ra internet bị quét và truy cập trái phép, sau đó tải xuống tệp thực thi từ máy chủ do kẻ tấn công kiểm soát. Các payload được phát tán qua dịch vụ chia sẻ file riêng transfer.sh thay vì máy chủ web HTTP thông thường.
Ứng dụng triển khai hoạt động rất nhẹ, chỉ ngầm tiêu thụ băng thông để tạo lợi nhuận. Các tệp nhị phân viết bằng Dart, thiết kế để tương tác với dịch vụ kiếm tiền thụ động hợp pháp. Khi chạy, tiến trình này hoạt động ngầm trong hệ thống, chia sẻ băng thông của nạn nhân và mang lại nguồn thu cho kẻ tấn công.
Số liệu thống kê cho thấy có hơn 7.100 GeoServer công khai tại 99 quốc gia, nhiều nhất ở Trung Quốc, Mỹ, Đức, Anh và Singapore. Unit 42 đánh giá đây là sự chuyển dịch quan trọng, khi kẻ tấn công ưu tiên thu lợi lâu dài và kín đáo thay vì khai thác mạnh mẽ dễ bị phát hiện.
PolarEdge – botnet IoT quy mô lớn
Bên cạnh đó, Censys phát hiện chiến dịch PolarEdge, một botnet IoT quy mô lớn lây nhiễm cả firewall doanh nghiệp và các thiết bị dân dụng như router, camera IP và điện thoại VoIP. Botnet này khai thác các lỗ hổng đã biết nhưng không thực hiện quét ồ ạt.Sau khi có quyền truy cập ban đầu, kẻ tấn công cài đặt backdoor TLS tùy chỉnh dựa trên Mbed TLS. Backdoor này hỗ trợ kênh C2 mã hóa, xóa log và cập nhật hạ tầng động. Nó thường hoạt động trên các cổng cao không chuẩn để né giám sát. PolarEdge mang đặc điểm của một mạng Operational Relay Box (ORB), tức các nút bị chiếm quyền điều khiển sẽ âm thầm chuyển tiếp lưu lượng cho kẻ tấn công.
Theo Censys, PolarEdge có thể đã khởi động từ tháng 6/2023 và hiện đạt khoảng 40.000 thiết bị hoạt động, tập trung nhiều nhất ở Hàn Quốc, Mỹ, Hồng Kông, Thụy Điển và Canada. ORB đặc biệt khó bị phát hiện vì thiết bị vẫn vận hành bình thường trong khi âm thầm chuyển tiếp dữ liệu.
Gayfemboy, biến thể Mirai tinh vi
Ngoài ra, nhiều lỗ hổng trong thiết bị của DrayTek, TP-Link, Raisecom và Cisco cũng đang bị khai thác để triển khai biến thể Mirai mới có tên Gayfemboy. Chiến dịch này đã lan rộng tại Brazil, Mexico, Mỹ, Đức, Pháp, Thụy Sĩ, Israel và Việt Nam, nhắm vào các lĩnh vực như sản xuất, công nghệ, xây dựng và truyền thông.Gayfemboy hỗ trợ nhiều kiến trúc hệ thống bao gồm ARM, AArch64, MIPS R3000, PowerPC và Intel 80386. Nó được thiết kế với bốn chức năng chính: theo dõi tiến trình và duy trì sự tồn tại, chiếm cổng UDP 47272, thực hiện tấn công DDoS đồng thời mở backdoor để nhận lệnh từ xa và tự hủy nếu phát hiện môi trường sandbox hoặc nhận lệnh từ máy chủ điều khiển.
So với Mirai, Gayfemboy đã bổ sung nhiều kỹ thuật né tránh phát hiện, cho thấy sự tiến hóa ngày càng tinh vi của các dòng mã độc hiện đại.
Redis bị lợi dụng để đào tiền điện tử
Một nhóm khác có tên TA-NATALSTATUS đang khai thác các máy chủ Redis phơi ra internet để triển khai mã độc đào tiền điện tử. Quá trình tấn công bắt đầu bằng việc quét Redis trên cổng 6379, sau đó dùng các lệnh hợp lệ để tạo cron job độc hại. Script này sẽ vô hiệu hóa SELinux, chặn kết nối ngoài, loại bỏ các tiến trình đào tiền của nhóm khác như Kinsing rồi khởi chạy miner.Kẻ tấn công đồng thời cài đặt công cụ quét như masscan và pnscan để tìm thêm Redis dễ bị tấn công, sau đó thiết lập cơ chế tự động khởi chạy mỗi giờ nhằm duy trì hoạt động. Mã độc này có khả năng hoạt động như rootkit, đổi tên các công cụ hệ thống như ps, top, curl và wget để ẩn mình, khiến quản trị viên khó phát hiện bằng công cụ thông thường.
Theo CloudSEK, đây là sự tiếp nối của một chiến dịch từng được Trend Micro công bố năm 2020, nhưng đã được nâng cấp với nhiều tính năng che giấu sâu hơn, đủ khả năng qua mặt phân tích forensics và sản phẩm bảo mật.
Theo The Hacker News