MDifyLoader là một trình tải (loader) được thiết kế để nạp các phần mềm độc hại khác vào bộ nhớ của hệ thống. Phần mềm này dựa trên dự án mã nguồn mở libPeConv và thực hiện quá trình tải về và giải mã một payload Cobalt Strike Beacon đã được mã hóa.
Tải và giải mã MDifyLoader: Sau khi có quyền truy cập, MDifyLoader được tải vào bộ nhớ, nạp một payload Cobalt Strike Beacon đã được mã hóa.
Lateral movement: Sau khi có quyền truy cập vào hệ thống, các tin tặc thực hiện các cuộc tấn công brute-force vào FTP, MS-SQL và SSH để lấy cắp mật khẩu và dữ liệu.
Cobalt Strike là một công cụ mạnh mẽ, được sử dụng phổ biến trong các cuộc tấn công mạng để kiểm soát hệ thống từ xa và triển khai các hoạt động tấn công phức tạp. Cobalt Strike Beacon có thể cho phép tin tặc duy trì quyền truy cập vào hệ thống đã bị xâm nhập và thực hiện các hoạt động lén lút mà người dùng không nhận thấy.
Lợi dụng các công cụ khác: Các công cụ như VShell và Fscan được sử dụng để duy trì quyền kiểm soát và quét thêm các thiết bị mạng để mở rộng phạm vi tấn công.
VShell: Một công cụ điều khiển từ xa (RAT) viết bằng Go, được sử dụng để duy trì quyền truy cập vào hệ thống. VShell kiểm tra ngôn ngữ hệ thống để xác định xem có phải là người dùng Trung Quốc hay không, trước khi thực hiện hành động.
Fscan: Một công cụ quét mạng được viết bằng Go, giúp tin tặc quét các thiết bị và hệ thống trong mạng để tìm kiếm lỗ hổng và mở rộng phạm vi tấn công.
Quá trình tấn công có thể được mô tả như sau: Lỗ hổng bảo mật trong Ivanti Connect Secure (ICS), một thiết bị VPN được sử dụng rộng rãi trong các doanh nghiệp, chính là điểm khởi đầu cho chuỗi tấn công này. Hai lỗ hổng bảo mật nghiêm trọng sau đã bị các tin tặc khai thác:
-
CVE-2025-0282: Đây là lỗ hổng cho phép thực thi mã từ xa không cần xác thực. Lỗ hổng này được phát hiện và được Ivanti vá vào tháng 1 năm 2025.
-
CVE-2025-22457: Lỗ hổng này liên quan đến tràn bộ đệm ngăn xếp, cho phép thực thi mã tùy ý và đã được vá vào tháng 4 năm 2025.
Cuộc tấn công này mang đến nhiều mối nguy hại lớn cho các tổ chức:
-
Rủi ro mất mát dữ liệu: Tin tặc có thể lấy cắp dữ liệu nhạy cảm như thông tin đăng nhập, dữ liệu tài chính hoặc thậm chí dữ liệu khách hàng.
-
Tình trạng bị chiếm đoạt hệ thống: Các tổ chức có thể mất quyền kiểm soát hệ thống và phải đối mặt với nguy cơ bị tấn công thêm.
-
Ảnh hưởng đến hoạt động kinh doanh: Việc bị tấn công có thể làm gián đoạn các hoạt động kinh doanh, gây mất thời gian và chi phí khôi phục.
-
Để lại cánh cửa mở cho các cuộc tấn công sau: Các tin tặc có thể cài đặt backdoor hoặc các tài khoản ẩn trong hệ thống, giúp họ duy trì quyền truy cập lâu dài ngay cả khi các biện pháp bảo mật khác được áp dụng.
-
Cập nhật phần mềm và vá lỗi bảo mật: Đảm bảo rằng tất cả các bản vá bảo mật, đặc biệt là đối với Ivanti Connect Secure, được áp dụng kịp thời.
-
Kiểm tra và bảo vệ hệ thống mạng: Cần phải quét và bảo mật hệ thống để phát hiện các dấu hiệu của phần mềm độc hại, chẳng hạn như Cobalt Strike hoặc VShell.
-
Sử dụng các biện pháp xác thực mạnh mẽ: Áp dụng xác thực đa yếu tố (MFA) để giảm thiểu nguy cơ tài khoản bị tấn công.
-
Giám sát hành vi hệ thống: Triển khai các công cụ giám sát mạng và hệ thống để phát hiện các hoạt động bất thường hoặc các dấu hiệu của việc bị xâm nhập.
