Matrix sử dụng đa dạng các tập lệnh dựa trên Python, Shell và Golang có nguồn gốc từ GitHub và các nền tảng khác. Các công cụ như biến thể Mirai, SSH và bot Discord làm nổi bật việc tích hợp các nền tảng có sẵn vào các chiến dịch tùy chỉnh. Tin tặc cũng kiếm tiền từ các dịch vụ thông qua Telegram, cung cấp các kế hoạch tấn công DDoS cho các khoản thanh toán bằng tiền điện tử.
Chiến dịch này sử dụng các cuộc tấn công brute-force, thông tin xác thực yếu và các khai thác đã biết để xây dựng một mạng botnet có khả năng gây gián đoạn đáng kể. Điều này phản ánh xu hướng ngày càng tăng khi script kiddies tận dụng các công cụ có sẵn công khai để thực hiện các cuộc tấn công tinh vi.
Đặc trưng của chuỗi tấn công là việc khai thác các lỗ hổng bảo mật đã biết cũng như thông tin đăng nhập mặc định hoặc yếu để có quyền truy cập vào nhiều thiết bị được kết nối Internet như camera IP, DVR, bộ định tuyến và thiết bị viễn thông.
Trong đó, các tin tặc chủ yếu tấn công dựa vào mật khẩu yếu, với 80% thông tin xác thực được xác định liên quan đến người dùng root hoặc admin. Các chiến thuật này nhấn mạnh việc không áp dụng các biện pháp bảo mật cơ bản, chẳng hạn như thay đổi thông tin đăng nhập mặc định, bảo mật giao thức quản trị và áp dụng các bản cập nhật firmware, khiến thiết bị dễ bị xâm phạm.
Tin tặc cũng được phát hiện lợi dụng các máy chủ Telnet, SSH và Hadoop cấu hình lỗi, đặc biệt tập trung vào các phạm vi địa chỉ IP liên quan đến các nhà cung cấp dịch vụ đám mây như Amazon Web Services (AWS), Microsoft Azure và Google Cloud.
Hoạt động độc hại này còn dựa vào nhiều tập lệnh và công cụ có sẵn trên GitHub, cuối cùng là triển khai phần mềm độc hại botnet Mirai và các chương trình liên quan đến DDoS khác trên các thiết bị và máy chủ bị xâm phạm. PYbot, pynet, DiscordGo, Homo Network, một chương trình JavaScript thực hiện tấn công flood HTTP/HTTPS và một công cụ có thể vô hiệu hóa ứng dụng Microsoft Defender Antivirus trên máy tính chạy Windows.
Các nhà nghiên cứu nhận định chiến dịch này tuy không quá phức tạp, nhưng chứng minh được các công cụ dễ tiếp cận và kiến thức kỹ thuật cơ bản có thể giúp cá nhân thực hiện một cuộc tấn công trên phạm vi diện rộng, đa diện vào nhiều lỗ hổng và cấu hình lỗi trong các thiết bị kết nối mạng.
Như đã đề cập, mục tiêu của Matrix bao gồm các nhà cung cấp dịch vụ đám mây, các doanh nghiệp nhỏ và các khu vực có nhiều hệ thống IoT như Trung Quốc và Nhật Bản. Phân tích cho thấy có tới 35 triệu thiết bị tiềm năng có thể bị ảnh hưởng, cho thấy một mạng lưới botnet từ 350 nghìn đến 1,7 triệu thiết bị, tùy thuộc vào tỷ lệ lỗ hổng.
Chiến dịch này nhấn mạnh sự chuyển hướng sang khai thác lỗ hổng của doanh nghiệp cùng với các hệ thống IoT. Theo truyền thống, khai thác tiền điện tử chiếm ưu thế trong các cuộc tấn công như vậy, nhưng trọng tâm của Matrix bao gồm cả máy chủ sản xuất và phát triển, làm tăng rủi ro cho môi trường doanh nghiệp.
Để giải quyết những mối đe dọa này, các tổ chức cần có các biện pháp bảo mật mạnh mẽ, trong đó đặc biệt là việc cập nhật các bản vá và firmware thường xuyên, thay đổi thông tin xác thực mạnh và giám sát các lỗ hổng bảo mật.
Lê Hải Yến
15:00 | 27/12/2024
15:00 | 10/01/2025
15:00 | 19/12/2024
07:00 | 07/02/2025
13:00 | 23/01/2025
10:00 | 05/03/2025
13:00 | 09/10/2024
13:00 | 11/07/2023
09:00 | 08/06/2023
10:00 | 21/03/2025
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
09:00 | 26/02/2025
Từ ngày 22 - 25/1/2025, trong khuôn khổ Pwn2Own Automotive 2025 - một cuộc thi hackathon tập trung vào an ninh mạng trong các hệ thống ô tô diễn ra tạiTokyo, các nhà nghiên cứu bảo mật từ 13 quốc gia đã phát hiện và công bố tổng cộng 49 lỗ hổng zero-day mới trong các hệ thống ô tô hiện có.
09:00 | 24/02/2025
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-32838 có đểm CVSS 9,4 được phát hiện trong Apache Fineract, nền tảng mã nguồn mở phổ biến được sử dụng để xây dựng hệ thống ngân hàng lõi cho các dịch vụ tài chính số.
08:00 | 07/02/2025
Cracked và Nulled, hai trong số các diễn đàn tấn công mạng lớn nhất thế giới với hơn 10 triệu người dùng vừa bị các nhà chức trách đánh sập.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
