Mối Đe Dọa Mạng Nghiêm Trọng: Chiến Dịch Quét Lỗ Hổng CVE

Trong giai đoạn từ ngày 25 đến 28 tháng 12, một tác nhân đe dọa đơn lẻ đã tiến hành chiến dịch quét quy mô lớn, kiểm tra hơn 240 khai thác khác nhau chống lại các hệ thống kết nối internet. Chiến dịch này thu thập dữ liệu về mọi mục tiêu dễ bị tổn thương được tìm thấy, đại diện cho một mối đe dọa mạng đáng kể trong bối cảnh an ninh mạng hiện nay.

Hoạt động trinh sát này, được thực hiện từ hai địa chỉ IP liên kết với CTG Server Limited (AS152194), cho thấy mức độ tinh vi mới trong cách thức truy cập ban đầu được đảm bảo cho các hoạt động ransomware.

Chi Tiết Chiến Dịch Quét Quy Mô Lớn

Quy mô và Mục tiêu của Chiến dịch

Tác nhân đã dò quét các mục tiêu một cách có hệ thống, với khoảng thời gian từ một đến năm giây. Mỗi hệ thống phải chịu 11 loại khai thác khác nhau để xác định các điểm yếu.

Chiến dịch này tiết lộ một sự thay đổi đáng lo ngại trong các hoạt động ransomware. Thay vì phát động các cuộc tấn công trực tiếp, những tác nhân đe dọa này đang hoạt động như các nhà môi giới truy cập ban đầu (Initial Access Brokers – IABs).

Họ xây dựng danh mục các hệ thống có lỗ hổng CVE để bán cho các nhóm ransomware. Dữ liệu thu thập trong khoảng thời gian bốn ngày này cung cấp một kho dữ liệu đã được xác nhận về các mục tiêu có thể khai thác. Những thông tin này có khả năng sẽ thúc đẩy các cuộc xâm nhập có mục tiêu trong suốt năm 2026.

Kỹ thuật Khai thác và Thời điểm Tấn công

Thời điểm tiến hành chiến dịch được lựa chọn có chủ đích, tận dụng các kỳ nghỉ lễ khi đội ngũ an ninh giảm số lượng và các hệ thống phát hiện nhận được ít sự chú ý tối thiểu. Điều này làm tăng rủi ro bảo mật cho các tổ chức trong giai đoạn này.

Kỹ thuật quét bao gồm việc sử dụng các công cụ mạnh mẽ như Nuclei, một công cụ quét lỗ hổng mã nguồn mở. Nó được vận hành ở quy mô công nghiệp để phát hiện các điểm yếu một cách hiệu quả.

Phát hiện và Phân tích Mối Đe Dọa Mạng

Phương pháp Phát hiện và Công cụ Phân tích

Các nhà phân tích của Greynoise đã xác định chiến dịch này bằng cách phát hiện hơn 57.000 tên miền phụ OAST (Out-of-Band Application Security Testing) độc nhất.

Những tên miền này được liên kết với nền tảng Interactsh của ProjectDiscovery. Các nhà nghiên cứu lưu ý rằng bộ công cụ được sử dụng phù hợp với Nuclei, một trình quét lỗ hổng mã nguồn mở, được chạy ở quy mô công nghiệp.

Việc theo dõi các tên miền phụ OAST là một phương pháp hiệu quả để phát hiện xâm nhập và các hoạt động trinh sát sớm.

Xác định Tác nhân Đơn lẻ

Bằng cách phân tích dấu vân tay mạng JA4 và ID máy chung trên 98% số lần thử, các nhà phân tích của Greynoise đã xác nhận rằng đây là một tác nhân duy nhất đang thực hiện cuộc tấn công, chứ không phải là nỗ lực của một nhóm phối hợp.

Phân tích này nhấn mạnh tầm quan trọng của các kỹ thuật phân tích dấu vân tay mạng để hiểu rõ hơn về tác nhân đứng sau các tấn công mạng.

Để biết thêm chi tiết về chiến dịch này, có thể tham khảo báo cáo của Greynoise: Greynoise Blog.

Hạ tầng Hỗ trợ Các Cuộc Tấn Công Mạng

Vai trò của CTG Server Limited

Sự lựa chọn CTG Server Limited của tác nhân tấn công đặt ra những lo ngại đáng kể về hạ tầng kiên cường cho các hoạt động tội phạm. Nhà cung cấp dịch vụ lưu trữ đăng ký tại Hồng Kông này kiểm soát khoảng 201.000 địa chỉ IPv4 trên 672 tiền tố và hoạt động với việc thực thi chính sách lạm dụng ở mức tối thiểu.

Đặc điểm Mạng lưới

Mạng lưới này trước đây đã được xác định là nơi lưu trữ các tên miền lừa đảo (phishing domains) trong hạ tầng FUNNULL CDN và công bố các tuyến bogon, cho thấy các thực hành vệ sinh mạng kém.

Những đặc điểm này khiến CTG Server Limited trở nên hấp dẫn đối với các hoạt động đòi hỏi hạ tầng có thể chịu được các nỗ lực chặn. Điều này tạo điều kiện thuận lợi cho việc duy trì các mối đe dọa mạng dai dẳng.

Chỉ số Thỏa hiệp (IOCs) và Khuyến nghị Khắc phục

Các tổ chức cần kiểm tra nhật ký của họ từ những ngày diễn ra chiến dịch để tìm kiếm các kết nối đến các địa chỉ IP đáng ngờ và các truy vấn DNS đến các tên miền OAST. Việc này giúp xác định sớm các dấu hiệu của rủi ro bảo mật tiềm ẩn.

Danh sách Chỉ số Thỏa hiệp (IOCs)

Dưới đây là các chỉ số thỏa hiệp (IOCs) được xác định từ chiến dịch này:

• Địa chỉ IP:
  • 134.122.136.119
  • 134.122.136.96
• Tên miền OAST (DNS Queries):
  • oast.pro
  • oast.site
  • oast.me
  • oast.online
  • oast.fun
  • oast.live

Khuyến nghị và Hành động Khắc phục

Nếu phát hiện có kết quả khớp với các IOCs trên, các tổ chức nên giả định rằng kẻ tấn công đã xác nhận các lỗ hổng trong mạng của họ. Thông tin truy cập này có thể đã có sẵn để mua bán trên các thị trường tội phạm, đặt ra rủi ro bảo mật nghiêm trọng.

Các bước hành động cần thiết bao gồm:

• Rà soát nhật ký: Kiểm tra kỹ lưỡng các nhật ký hệ thống, nhật ký tường lửa, và nhật ký DNS trong khoảng thời gian từ 25 đến 28 tháng 12.
• Đánh giá lỗ hổng: Thực hiện đánh giá lỗ hổng toàn diện các hệ thống kết nối internet để xác định và khắc phục mọi lỗ hổng CVE tiềm ẩn.
• Cập nhật và vá lỗi: Đảm bảo tất cả các hệ thống được cập nhật với các bản vá bảo mật mới nhất.
• Giám sát tăng cường: Tăng cường giám sát các hoạt động mạng bất thường, đặc biệt là các kết nối từ các địa chỉ IP không xác định hoặc truy vấn đến các tên miền đáng ngờ.
• Chuẩn bị ứng phó sự cố: Kích hoạt các quy trình ứng phó sự cố nếu có bằng chứng rõ ràng về việc phát hiện xâm nhập hoặc thỏa hiệp.