Chiến dịch OAST Riêng tư: Nguy hiểm Khai thác 200+ CVE
Một mối đe dọa mạng mới đã xuất hiện trong bối cảnh an ninh mạng, khi các chuyên gia phát hiện một dịch vụ Out-of-Band Application Security Testing (OAST) riêng tư đang hoạt động trên cơ sở hạ tầng Google Cloud. Hoạt động bí ẩn này khác biệt so với các hoạt động quét khai thác thông thường vì sử dụng hạ tầng tùy chỉnh thay vì dựa vào các dịch vụ công cộng. Kẻ tấn công đã thực hiện một chiến dịch tập trung, nhắm vào các khu vực cụ thể với hơn 200 loại lỗ hổng khác nhau.
Phát hiện Dịch vụ OAST Riêng tư và Chiến dịch Khai thác Lỗ hổng
Trong khoảng thời gian từ tháng 10 đến tháng 11 năm 2025, các nhà nghiên cứu đã quan sát thấy khoảng 1.400 lần cố gắng khai thác liên quan đến hơn 200 CVE trong chiến dịch này. Điểm đáng chú ý là thay vì sử dụng các dịch vụ OAST công cộng như oast.fun hoặc interact.sh, tác nhân đe dọa này vận hành tên miền OAST riêng của mình tại detectors-testing.com.
Cơ chế Hoạt động Độc đáo
Thiết lập khác thường này đã thu hút sự chú ý khi các callback bắt đầu xuất hiện đến các tên miền phụ của i-sh.detectors-testing.com. Tên miền này không liên kết với bất kỳ nhà cung cấp OAST nào đã biết hoặc các framework quét phổ biến.
Các nhà nghiên cứu bảo mật của VulnCheck đã xác định được hoạt động này sau khi nhận thấy các mẫu bất thường trong lưu lượng Canary Intelligence của họ. Chiến dịch này kết hợp các template quét Nuclei tiêu chuẩn với các payload tùy chỉnh để mở rộng phạm vi tấn công.
Điều làm cho hoạt động này đặc biệt thú vị là tất cả các hoạt động được quan sát đều nhắm mục tiêu vào các hệ thống được triển khai ở Brazil, cho thấy một sự tập trung rõ ràng theo khu vực. Mặc dù cùng các địa chỉ IP của kẻ tấn công đã được báo cáo ở Serbia và Thổ Nhĩ Kỳ thông qua AbuseIPDB, tập dữ liệu của VulnCheck cho thấy hoạt động hoàn toàn tập trung vào các mục tiêu ở Brazil.
Cơ sở hạ tầng Kỹ thuật của Kẻ Tấn công
Cơ sở hạ tầng đằng sau hoạt động này bao gồm nhiều địa chỉ IP của Google Cloud. Cụ thể, sáu địa chỉ IP được sử dụng làm máy quét khai thác và một địa chỉ IP được dùng làm máy chủ OAST. Việc sử dụng Google Cloud mang lại lợi thế thực tế cho kẻ tấn công, bởi vì các nhà phòng thủ hiếm khi chặn các nhà cung cấp dịch vụ đám mây lớn của Hoa Kỳ, và lưu lượng truy cập đến mạng Google dễ dàng hòa lẫn vào giao tiếp nền bình thường.
Chiến dịch khai thác lỗ hổng này đã hoạt động từ ít nhất là tháng 11 năm 2024. Điều này cho thấy một nỗ lực duy trì dài hạn hơn là các hoạt động quét cơ hội nhanh chóng.
Phân tích Mã khai thác Tùy chỉnh
Bằng chứng từ một thư mục mở trên cổng 9000 đã tiết lộ một tệp lớp Java đã sửa đổi có tên TouchFile.class. Tệp này ban đầu được tài liệu hóa trong các ví dụ khai thác Fastjson 1.2.47.
Kẻ tấn công đã mở rộng phiên bản cơ bản để chấp nhận các lệnh tùy chỉnh và yêu cầu HTTP thông qua các tham số. Điều này chứng tỏ chúng tích cực sửa đổi các công cụ khai thác có sẵn công khai thay vì sử dụng chúng nguyên trạng.
Mã đã decompiled cho thấy nếu không có tham số nào được cung cấp, nó sẽ chạy một lệnh mặc định để tạo tệp /tmp/success3125. Tuy nhiên, khi các tham số cmd hoặc http có mặt, nó sẽ thực thi các lệnh đó hoặc thực hiện các yêu cầu HTTP ra bên ngoài.
// Đoạn mã minh họa cho TouchFile.class (đã được lược giản)public class TouchFile { public static void main(String[] args) throws Exception { String cmd = System.getProperty("cmd"); String httpUrl = System.getProperty("http"); if (cmd != null && !cmd.isEmpty()) { Runtime.getRuntime().exec(cmd); } else if (httpUrl != null && !httpUrl.isEmpty()) { // Thực hiện yêu cầu HTTP ra bên ngoài // ... (ví dụ: new URL(httpUrl).openConnection().connect();) } else { // Lệnh mặc định nếu không có tham số Runtime.getRuntime().exec("touch /tmp/success3125"); } }}Chiến thuật Khai thác và Xác minh Lỗ hổng CVE
Kẻ tấn công sử dụng kết hợp các template Nuclei hiện tại và lỗi thời để thăm dò lỗ hổng CVE. Một ví dụ là template cũ grafana-file-read.yaml, đã bị loại bỏ khỏi kho lưu trữ nuclei-templates chính thức vào đầu tháng 10 năm 2025. Việc tìm thấy template cũ này đang được sử dụng tích cực cho thấy kẻ tấn công có thể sử dụng các máy quét dựa trên Nuclei của bên thứ ba hoặc đơn giản là chưa cập nhật công cụ quét của mình. Sự kết hợp giữa các template cũ và mới giúp chúng mở rộng phạm vi quét trên nhiều loại lỗ hổng khác nhau.
Cơ chế Callback OAST để Xác minh Khai thác
Các payload khai thác tuân theo một mẫu chuẩn. Khi khai thác lỗ hổng thành công, hệ thống bị xâm nhập sẽ thực hiện các yêu cầu HTTP quay trở lại các tên miền phụ OAST do kẻ tấn công kiểm soát. Ví dụ, trong một nỗ lực chống lại CVE-2025-4428 ảnh hưởng đến Ivanti Endpoint Manager Mobile, payload sẽ buộc hệ thống nạn nhân liên hệ với d4bqsd6e47mo47d93lpgq55d3j111y6em.i-sh.detectors-testing.com.
Cơ chế callback này cho phép kẻ tấn công xác minh hệ thống nào dễ bị tổn thương mà không cần truy cập trực tiếp. Điều này khiến việc phát hiện trở nên khó khăn hơn đối với các nhà phòng thủ.
Máy chủ OAST tại 34.136.22.26 liên tục cung cấp dịch vụ Interactsh trên các cổng 80, 443 và 389. Điều này xác nhận vai trò của nó là một điểm cuối Command and Control (C2) chuyên dụng để thu thập các callback xác minh khai thác từ các hệ thống bị xâm nhập trên toàn thế giới. Để hiểu rõ hơn về cách các dịch vụ OAST hoạt động và được phát hiện, bạn có thể tham khảo nghiên cứu của VulnCheck tại VulnCheck Blog.
Chỉ số Nhận diện Sự Thỏa hiệp (IOCs)
Các chỉ số nhận diện sự thỏa hiệp liên quan đến chiến dịch khai thác lỗ hổng này bao gồm:
- Tên miền OAST:
detectors-testing.com - Tên miền phụ OAST:
i-sh.detectors-testing.com - Địa chỉ IP của máy chủ OAST:
34.136.22.26 - Địa chỉ IP máy quét: Nhiều địa chỉ IP của Google Cloud
- Tệp mã độc đã sửa đổi:
TouchFile.class(phiên bản mở rộng từ Fastjson 1.2.47 exploit)
