Nghiêm trọng: Tấn công mạng PCPcat khai thác RCE, ảnh hưởng lớn

Một chiến dịch tấn công mạng PCPcat quy mô lớn nhằm vào hành vi đánh cắp thông tin xác thực đã gây ảnh hưởng đến 59.128 máy chủ Next.js chỉ trong vòng 48 giờ. Chiến dịch này khai thác các lỗ hổng CVE nghiêm trọng là CVE-2025-29927 và CVE-2025-66478, đạt tỷ lệ thành công 64,6% trên tổng số 91.505 mục tiêu được quét.

Phân tích kỹ thuật lỗ hổng và cơ chế khai thác

Các máy quét của PCPcat, được phân phối thông qua mã độc react.py, dò tìm các triển khai Next.js công khai để phát hiện các lỗ hổng remote code execution (RCE).

Kẻ tấn công lợi dụng lỗ hổng prototype pollution trong các payload JSON để tiêm lệnh thông qua hàm child_process.execSync(). Sau đó, chúng xác nhận quyền RCE bằng cách chạy lệnh id.

Sau khi thiết lập quyền RCE, mục tiêu chính của PCPcat là trích xuất thông tin xác thực nhạy cảm. Các loại dữ liệu bị đánh cắp bao gồm:

• Các tệp .env chứa biến môi trường.
• Khóa SSH.
• Cấu hình AWS.
• Token Docker.
• Thông tin xác thực Git.
• Lịch sử Bash.

Hạ tầng Command-and-Control (C2) và hành vi hậu khai thác

Triển khai Backdoor và thiết lập Proxy

Theo phân tích của Mario Candela, các máy chủ bị xâm nhập sẽ tải xuống tập lệnh proxy.sh từ địa chỉ 67.217.57.240:666.

Tập lệnh này cài đặt các công cụ sau:

• Proxy GOST SOCKS5.
• Các đường hầm ngược (reverse tunnels) FRP.
• Thiết lập các dịch vụ systemd có tính bền bỉ như pcpcat-gost.service để duy trì quyền truy cập.

# Ví dụ về dịch vụ systemd được cài đặt bởi PCPcat[Unit]Description=PCPcat GOST SOCKS5 ProxyAfter=network.target[Service]Type=simpleExecStart=/opt/pcpcat/gost -L socks5://:1080Restart=always[Install]WantedBy=multi-user.target

Phân tích chi tiết về chiến dịch này có thể được tìm thấy tại Beelzebub AI Blog.

Hoạt động của máy chủ C2 và thu thập thông tin

Máy chủ Command-and-Control (C2) của PCPcat đặt tại 67.217.57.240:5656, chạy một API không yêu cầu xác thực.

API này công khai các số liệu thống kê của chiến dịch thông qua yêu cầu GET /stats, bao gồm:

• 91.505 địa chỉ IP đã quét.
• 59.128 trường hợp thành công.
• Kích thước lô (batch size) là 2.000 địa chỉ IP ngẫu nhiên.

Các node bị xâm nhập lấy danh sách mục tiêu thông qua GET /domains?client=<ID>, xuất dữ liệu qua POST /result (với payload JSON lên tới 2MB), và kiểm tra tình trạng kết nối tại /health.

Các honeypot đã xác nhận việc thu thập dữ liệu thành công. Đường hầm FRP trên cổng 888 cho phép kẻ tấn công xoay vòng tấn công (pivoting) sâu hơn vào mạng.

Các chỉ số thỏa hiệp (IoC) của chiến dịch PCPcat

Để phát hiện và đối phó với chiến dịch tấn công mạng PCPcat, các chỉ số thỏa hiệp (IoC) sau đây là rất quan trọng:

• Địa chỉ IP C2:
  • 67.217.57.240 (Cổng: 666, 888, 5656)
• Tệp tin:
  • /opt/pcpcat/* (thư mục và các tệp bên trong)
  • ~/.pcpcat_installed
• Tiến trình:
  • gost -L socks5://:1080
  • frpc
• Chuỗi nhật ký:
  • "UwU PCP Cat was here~"
• Kênh Telegram:
  • t.me/Persy_PCP
  • t.me/teampcp

Các honeypot cũng đã ghi nhận hành vi lạm dụng Docker API trên cổng 2375 để thiết lập quyền kiểm soát bền vững trong các môi trường container.

Chiến lược phát hiện và biện pháp phòng ngừa

Quy tắc phát hiện

Các tổ chức có thể sử dụng các quy tắc sau để phát hiện các hoạt động liên quan đến PCPcat:

• Cảnh báo Suricata: Phát hiện các yêu cầu POST tới /result với các payload chứa chuỗi "env", chỉ ra nỗ lực xuất thông tin môi trường.
• Chữ ký YARA: Sử dụng các chuỗi như "CVE-2025-29927" và "PCPcat" để xác định mã độc react.py.

Thông tin chi tiết về CVE-2025-29927 có thể được tìm thấy tại Cyber Security News.

Liên kết với MITRE ATT&CK

Chiến dịch PCPcat liên kết với các kỹ thuật trong khung MITRE ATT&CK như:

• T1190 (Exploit Public-Facing Application): Khai thác các lỗ hổng trên ứng dụng công khai, điển hình là các lỗ hổng RCE trong Next.js.
• T1552 (Unsecured Credentials): Thu thập các thông tin xác thực không được bảo vệ đúng cách từ các tệp và cấu hình hệ thống.

Khuyến nghị bảo mật khẩn cấp

Để giảm thiểu rủi ro từ chiến dịch tấn công mạng PCPcat, điều cần thiết là thực hiện các biện pháp sau:

• Cập nhật bản vá bảo mật: Ngay lập tức áp dụng các bản vá mới nhất cho Next.js và các thành phần liên quan để khắc phục các lỗ hổng.
• Chặn tên miền C2: Cấu hình tường lửa và hệ thống phát hiện xâm nhập (IDS) để chặn các địa chỉ IP và tên miền C2 đã biết.
• Xoay vòng khóa và thông tin xác thực: Thay đổi tất cả các khóa SSH, token API, và các thông tin xác thực khác được lưu trữ trên các máy chủ Next.js.
• Giám sát bất thường của systemd: Theo dõi nhật ký và hoạt động của các dịch vụ systemd để phát hiện bất kỳ sự thay đổi hoặc cài đặt dịch vụ trái phép nào.

Tác động và hành động cần thiết

Dựa trên các dự đoán, chiến dịch tấn công mạng PCPcat có thể gây ra khoảng 41.000 lượt xâm nhập hàng ngày, dẫn đến việc thu thập hơn 300.000 thông tin xác thực. Những thông tin này có thể được sử dụng để chiếm đoạt tài khoản đám mây hoặc bán lại trên chợ đen.

Người dùng Next.js phải khẩn cấp thực hiện các biện pháp bảo vệ để ngăn chặn các cuộc tấn công mạng PCPcat. Việc chủ động trong việc cập nhật bản vá, giám sát hệ thống và quản lý thông tin xác thực là tối quan trọng để bảo vệ hạ tầng của mình khỏi các mối đe dọa mạng.