Theo các chuyên gia bảo mật tại Microsoft, chiến dịch tấn công được tin tặc thực hiện bằng việc sử dụng backdoor trên các thiết bị để triển khai mã độc và IRC bot để đánh cắp, chiếm đoạt tài nguyên thiết bị. Tin tặc bắt đầu bằng chuỗi tấn công Brute-force các thông tin xác thực để xâm nhậm vào các thiết bị Linux và IoT có cấu hình sai hoặc để cấu hình xác thực yếu theo mặc định ban đầu của nhà sản xuất.
Sau khi xâm nhập vào thiết bị, một phiên bản OpenSSH có chứa Trojan từ một máy chủ ở xa sẽ được tải về và cài đặt trên thiết bị mục tiêu nhằm chiếm đoạn các thông tin xác thực SSH, giúp tin tặc di chuyển được bên trong mạng và che giấu các kết nối SSH bất hợp pháp tới các thiết bị bị xâm hại. Để duy trì tấn công và che giấu các hành động xâm phạm, tin tặc còn được cho là đã cài đặt thêm các rootkit mã nguồn mở như Diamorphine và Reptile (có mã nguồn trên Github) để xóa các bản ghi và nhật ký hệ thống trên thiết bị mục tiêu (Hình 1).
Hình 1. Chuỗi tấn công đào tiền số trên thiết bị Linux hoặc IoT của tin tặc
Để đảm bảo quyền truy cập SSH liên tục vào thiết bị, tin tặc tiến hành chèn thêm hai khóa công khai vào trong tập tin cấu hình khóa xác thực SSH của tất cả người dùng trên hệ thống thiết bị mục tiêu. Sau khi xâm nhập vào thiết bị, các mã độc chạy tiến trình đào tiền số trên thiết bị, thậm chí chúng còn ưu tiên chạy các tiến trình đào do mình tạo ra và loại bỏ các tiến trình đào tiền số khác đã cài bởi nhóm tin tặc khác trước đó nếu có.
Hơn nữa, tin tặc còn triển khai thêm một phiên bản chỉnh sửa của mã độc "ZiggyStarTux" nhằm biến thiết bị thành một IRC bot có khả năng nhận lệnh từ xa bởi máy chủ được điều khiển bởi tin tặc (C2 Server – Máy chủ IRC được điều khiển bởi tin tặc) để thực hiện tấn công từ chối dịch vụ phân tán. Mã độc này được chỉnh sửa từ mã độc botnet khác có tên là "Kaiten" (hay còn gọi là "Tsunami").
ZiggyStartux được đăng ký chạy như một dịch vụ hệ thống trên thiết bị mục tiêu và được cấu hình dịch vụ tại tệp tin /etc/systemd/system/network-check.service. Sự giao tiếp giữa ZiggyStartux Bots tới máy chủ C2 được che giấu và duy trì thông qua việc sử dụng tên miền phụ của một tổ chức tài chính Đông Nam Á hợp pháp.
Microsoft quy kết chiến dịch tấn công này cho người dùng có tên "Asterzeu" trên diễn đàn tấn công mạng là cardingforum.cx. Người dùng này đã cung cấp nhiều công cụ tấn công để bán đối với các nền tảng linux, bao gồm cả backdoor SSH.
Các công bố về chiến dịch tấn công này của Microsoft diễn ra hai ngày sau khi một báo cáo về chiến dịch tấn công tương tự đã được xuất bản bởi Trung tâm ứng phó bảo mật khẩn cấp Ahnlab. Chiến dịch tấn công bao gồm mã độc Tsunami - một tên khác cho Kaiten hay một dạng DDoS Bot được cài đặt trên các máy chủ Linux SSH được cấu hình yếu. Theo phân tích của các chuyên gia an ninh mạng Microsoft, Tsunami được sử dụng để cài đặt nhiều công cụ độc hại và đào tiền điện tử khác nhau, như shellbot, xmrig coinminer và log Cleaner.
Đinh Văn Hùng
(Học viện Kỹ thuật mật mã)
15:00 | 04/08/2023
10:00 | 20/11/2024
11:00 | 21/03/2023
14:00 | 17/10/2022
15:00 | 20/12/2023
10:00 | 26/05/2023
22:00 | 31/01/2025
Sau khi gây sốt trên toàn cầu, công ty trí tuệ nhân tạo Trung Quốc DeepSeek liên tiếp gặp sự cố.
13:00 | 13/01/2025
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
12:00 | 26/12/2024
Giữa tháng 12/2024, giới chức bang Rhode Island của Mỹ cho biết, một nhóm tin tặc quốc tế có thể đã đánh cắp hàng trăm nghìn dữ liệu cá nhân và ngân hàng của cư dân bang này, đồng thời đòi tiền chuộc.
12:00 | 23/12/2024
Mỹ tuyên bố thưởng 10 triệu USD cho người cung cấp thông tin về tin tặc Trung Quốc bị cáo buộc tấn công 81.000 thiết bị tường lửa.
Một lỗ hổng bảo mật trong Bypass SAML trên GitHub Enterpris định danh CVE-2025-23369 có điểm CVSS là 7,6 vừa được công bố, cho phép kẻ tấn công bỏ qua cơ chế xác thực SAML trên GitHub Enterprise.
08:00 | 19/02/2025