GeoServer Exploits, PolarEdge và Gayfemboy đẩy tội phạm mạng vượt ra mạng botnet

[Starlink]

Các nhà nghiên cứu an ninh mạng đang cảnh báo về nhiều chiến dịch lợi dụng các lỗ hổng bảo mật đã biết và khiến máy chủ Redis gặp phải nhiều hoạt động độc hại khác nhau, bao gồm việc sử dụng các thiết bị bị xâm phạm làm mạng botnet IoT, proxy dân dụng hoặc cơ sở hạ tầng khai thác tiền điện tử.

Đợt tấn công đầu tiên liên quan đến việc khai thác CVE-2024-36401 (điểm CVSS: 9,8), một lỗ hổng thực thi mã từ xa nghiêm trọng ảnh hưởng đến OSGeo GeoServer GeoTools và đã được sử dụng trong các cuộc tấn công mạng kể từ cuối năm ngoái.

Các nhà nghiên cứu Zhibin Zhang, Yiheng An, Chao Lei và Haozhe Zhang thuộc Palo Alto Networks Unit 42 cho biết trong một báo cáo kỹ thuật: "Tội phạm đã lợi dụng lỗ hổng bảo mật này để triển khai các bộ công cụ phát triển phần mềm hợp pháp (SDK) hoặc các ứng dụng đã sửa đổi để kiếm thu nhập thụ động thông qua chia sẻ mạng hoặc proxy dân dụng".

"Phương pháp tạo thu nhập thụ động này đặc biệt bí mật. Nó mô phỏng chiến lược kiếm tiền được một số nhà phát triển ứng dụng hợp pháp sử dụng, những người chọn SDK thay vì hiển thị quảng cáo truyền thống. Đây có thể là một lựa chọn thiện chí, giúp bảo vệ trải nghiệm người dùng và cải thiện khả năng giữ chân người dùng ứng dụng."

Công ty an ninh mạng cho biết những kẻ tấn công đã thăm dò các phiên bản GeoServer bị lộ trên internet ít nhất từ đầu tháng 3 năm 2025, lợi dụng quyền truy cập để thả các tệp thực thi tùy chỉnh từ các máy chủ do đối thủ kiểm soát. Các tệp tin này được phân phối thông qua một phiên bản riêng của máy chủ chia sẻ tệp bằng   Đăng nhập để xem liên kết, trái ngược với máy chủ web HTTP thông thường.

Các ứng dụng được sử dụng trong chiến dịch này nhằm mục đích hoạt động ẩn mình bằng cách tiêu thụ tối thiểu tài nguyên, đồng thời lén lút kiếm tiền từ băng thông internet của nạn nhân mà không cần phân phối phần mềm độc hại tùy chỉnh. Các tệp nhị phân, được viết bằng Dart, được thiết kế để tương tác với các dịch vụ thu nhập thụ động hợp pháp, sử dụng tài nguyên thiết bị một cách kín đáo cho các hoạt động như chia sẻ băng thông.

Phương pháp này mang lại lợi ích cho tất cả các bên liên quan, vì các nhà phát triển ứng dụng sẽ nhận được khoản thanh toán để tích hợp tính năng này, còn tội phạm mạng sẽ kiếm lợi từ băng thông chưa sử dụng bằng một kênh có vẻ vô hại và không gây ra bất kỳ dấu hiệu đáng ngờ nào.

"Một khi đã chạy, mã độc sẽ hoạt động ngầm ở chế độ nền, theo dõi tài nguyên thiết bị và chia sẻ bất hợp pháp băng thông của nạn nhân bất cứ khi nào có thể", Đơn vị 42 cho biết. "Điều này tạo ra thu nhập thụ động cho kẻ tấn công."

Dữ liệu đo từ xa do công ty thu thập cho thấy có hơn 7.100 trường hợp GeoServer bị lộ công khai trên 99 quốc gia, trong đó Trung Quốc, Hoa Kỳ, Đức, Anh và Singapore chiếm năm vị trí hàng đầu.

"Chiến dịch đang diễn ra này cho thấy một sự thay đổi đáng kể trong cách thức kẻ thù kiếm tiền từ các hệ thống bị xâm nhập", Đơn vị 42 cho biết. "Chiến lược cốt lõi của kẻ tấn công tập trung vào việc kiếm tiền một cách lén lút, liên tục thay vì khai thác tài nguyên một cách hung hăng. Cách tiếp cận này ưu tiên việc tạo ra doanh thu lâu dài, kín đáo hơn là các kỹ thuật dễ bị phát hiện."

Tiết lộ này được đưa ra trong bối cảnh Censys đã mô tả chi tiết về xương sống cơ sở hạ tầng hỗ trợ một botnet IoT quy mô lớn mang tên PolarEdge, bao gồm tường lửa cấp doanh nghiệp và các thiết bị hướng đến người dùng cá nhân như bộ định tuyến, camera IP và điện thoại VoIP bằng cách lợi dụng các lỗ hổng bảo mật đã biết. Mục đích chính xác của nó hiện vẫn chưa được biết, mặc dù rõ ràng là botnet này không được sử dụng để quét hàng loạt một cách bừa bãi.

Quyền truy cập ban đầu sau đó bị lạm dụng để cài đặt một backdoor TLS tùy chỉnh dựa trên Mbed TLS, cho phép thực hiện lệnh và điều khiển được mã hóa, dọn dẹp nhật ký và cập nhật cơ sở hạ tầng động. Backdoor này thường được phát hiện triển khai trên các cổng cao cấp, không chuẩn, có thể là một cách để vượt qua các quy trình quét mạng truyền thống và phạm vi giám sát phòng thủ.

PolarEdge thể hiện các đặc điểm tương đồng với mạng lưới Hộp Chuyển tiếp Hoạt động (ORB), với nền tảng quản lý bề mặt tấn công cho biết có dấu hiệu cho thấy chiến dịch đã bắt đầu từ tháng 6 năm 2023, và tính đến tháng này đã tiếp cận khoảng 40.000 thiết bị đang hoạt động. Hơn 70% các vụ lây nhiễm nằm rải rác ở Hàn Quốc, Hoa Kỳ, Hồng Kông, Thụy Điển và Canada.

"ORB là các nút thoát bị xâm phạm, chuyển tiếp lưu lượng để thực hiện các hành vi xâm phạm hoặc tấn công bổ sung thay mặt cho các tác nhân đe dọa", nhà nghiên cứu bảo mật Himaja Motheram cho biết. "Điều khiến ORB trở nên có giá trị đối với kẻ tấn công là chúng không cần phải chiếm quyền điều khiển chức năng cốt lõi của thiết bị - chúng có thể âm thầm chuyển tiếp lưu lượng ở chế độ nền trong khi thiết bị vẫn hoạt động bình thường, khiến chủ sở hữu hoặc ISP khó có thể phát hiện ra."

Trong những tháng gần đây, các lỗ hổng bảo mật trong sản phẩm của các nhà cung cấp như DrayTek, TP-Link, Raisecom và Cisco đã bị kẻ xấu nhắm mục tiêu để xâm nhập và triển khai biến thể botnet Mirai có tên mã là gayfemboy, cho thấy phạm vi nhắm mục tiêu đang được mở rộng.

"Chiến dịch gayfemboy trải rộng trên nhiều quốc gia, bao gồm Brazil, Mexico, Hoa Kỳ, Đức, Pháp, Thụy Sĩ, Israel và Việt Nam", Fortinet cho biết. "Mục tiêu của chiến dịch cũng bao gồm nhiều lĩnh vực khác nhau, chẳng hạn như sản xuất, công nghệ, xây dựng và truyền thông."

Gayfemboy có khả năng nhắm mục tiêu vào nhiều kiến trúc hệ thống khác nhau, bao gồm ARM, AArch64, MIPS R3000, PowerPC và Intel 80386. Nó kết hợp bốn chức năng chính -

    Monitor, theo dõi các luồng và quy trình trong khi kết hợp các kỹ thuật tránh hộp cát và duy trì
    Watchdog, cố gắng liên kết với cổng UDP 47272
    Kẻ tấn công, kẻ phát động các cuộc tấn công DDoS bằng giao thức UDP, TCP và ICMP và cho phép truy cập cửa sau bằng cách kết nối với máy chủ từ xa để nhận lệnh
    Killer, tự kết thúc nếu nhận được lệnh từ máy chủ hoặc phát hiện thao tác hộp cát

"Mặc dù Gayfemboy kế thừa các yếu tố cấu trúc từ Mirai, nhưng nó cũng mang đến những thay đổi đáng kể, giúp tăng cường cả tính phức tạp lẫn khả năng tránh bị phát hiện", nhà nghiên cứu bảo mật Vincent Li cho biết. "Sự phát triển này phản ánh sự tinh vi ngày càng tăng của phần mềm độc hại hiện đại và củng cố nhu cầu về các chiến lược phòng thủ chủ động, dựa trên thông tin tình báo."

Những phát hiện này cũng trùng khớp với chiến dịch khai thác tiền điện tử do một tác nhân đe dọa có tên TA-NATALSTATUS thực hiện, nhắm vào các máy chủ Redis bị lộ để cung cấp phần mềm khai thác tiền điện tử.

Cuộc tấn công về cơ bản bao gồm việc quét các máy chủ Redis chưa được xác thực trên cổng 6379, sau đó phát hành các lệnh CONFIG, SET và SAVE hợp pháp để thực thi tác vụ cron độc hại được thiết kế để chạy tập lệnh shell vô hiệu hóa SELinux, thực hiện các bước trốn tránh phòng thủ, chặn các kết nối bên ngoài tới cổng Redis để ngăn chặn các tác nhân đối thủ sử dụng đường dẫn truy cập ban đầu để xâm nhập và chấm dứt các quy trình khai thác cạnh tranh (ví dụ: Kinsing).

Ngoài ra còn có các tập lệnh để cài đặt các công cụ như masscan hoặc pnscan, sau đó khởi chạy các lệnh như "masscan --shard" để quét internet tìm các phiên bản Redis dễ bị tấn công. Bước cuối cùng bao gồm thiết lập tính bền bỉ thông qua một cron job hàng giờ và khởi động quá trình khai thác.

Công ty an ninh mạng CloudSEK cho biết hoạt động này là sự phát triển của chiến dịch tấn công được Trend Micro tiết lộ vào tháng 4 năm 2020, tích hợp các tính năng mới để chứa các tính năng giống rootkit nhằm ẩn các quy trình độc hại và thay đổi dấu thời gian của tệp để đánh lừa phân tích pháp y.

"Bằng cách đổi tên các tệp nhị phân hệ thống như ps và top thành ps.original và thay thế chúng bằng các wrapper độc hại, chúng đã lọc phần mềm độc hại của chính chúng (httpgd) ra khỏi đầu ra. Một quản trị viên tìm kiếm trình khai thác sẽ không thể phát hiện ra nó bằng các công cụ tiêu chuẩn", nhà nghiên cứu Abhishek Mathew cho biết. "Chúng đổi tên curl và wget thành cd1 và wd1. Đây là một phương pháp đơn giản nhưng hiệu quả để vượt qua các sản phẩm bảo mật giám sát các lượt tải xuống độc hại được khởi tạo cụ thể bởi các tên công cụ phổ biến này."