Prometei tái xuất: Đào coin, đánh cắp dữ liệu, âm thầm tấn công các máy chủ Linux

[WhiteHat Team]

Từ tháng 3/2025, một chiến dịch mã độc tinh vi mang tên Prometei đã quay trở lại, nhắm vào các hệ thống Linux và Windows trên toàn cầu. Với mục tiêu chiếm quyền điều khiển máy chủ, đào tiền ảo và đánh cắp thông tin đăng nhập hệ thống.

Prometei là một mã độc đa nền tảng, xuất hiện lần đầu vào năm 2020. Mục tiêu chính:

• Chiếm tài nguyên máy chủ để đào Monero (XMR) – một loại tiền mã hóa có tính ẩn danh cao.
• Đánh cắp thông tin đăng nhập (credentials) để:
  • Bán trên chợ đen
  • Mở rộng lây nhiễm trong tổ chức
  • Tấn công hệ thống khác

Prometei có cả phiên bản Windows và Linux, nhưng kể từ tháng 3/2025, biến thể Linux đang hoạt động mạnh trở lại. Các nhà nghiên cứu đã ghi nhận đợt bùng phát mới của Prometei với các đặc điểm:

• Hoạt động âm thầm, khó phát hiện.
• Tận dụng nhiều điểm yếu trong bảo mật hệ thống, đặc biệt là dịch vụ SSH, SMB, và lỗ hổng EternalBlue từng gây ra WannaCry.
• Tự cập nhật, ẩn mình, giao tiếp qua domain giả để tránh bị chặn.

Prometei hoạt động như thế nào?​

1. Phương thức lây nhiễm​

Prometei tấn công hệ thống thông qua:

• Brute-force SSH (đoán mật khẩu máy chủ Linux)
• Khai thác EternalBlue (MS17-010) – lỗ hổng đã quá nổi tiếng.
• Tấn công giao thức SMB để di chuyển ngang.

2. Cơ chế tải mã độc​

• Tải file từ URL độc hại:
  "hxxp ://103.41.204[.]104/k.php?a=x86_64"
• File có tên .php nhưng thực chất là một ELF 64-bit đã nén bằng UPX – dạng tệp thực thi trên Linux.

3. Chống phân tích bằng UPX tùy biến

• UPX là công cụ nén file thực thi.
• Prometei sửa đổi cấu trúc file nén:
  • Thêm đoạn JSON trailer chứa thông tin riêng như ParentId, ParentHostname…
  • Làm cho các công cụ giải nén UPX truyền thống không thể đọc được, gây khó khăn cho chuyên gia phân tích.

4. Thu thập thông tin hệ thống
Prometei lấy thông tin như:

• Loại CPU (/proc/cpuinfo)
• Mainboard (dmidecode)
• OS, kernel (uname -a, /etc/os-release)
• Thời gian hoạt động hệ thống (uptime)

→ Mục đích: tối ưu hóa quá trình đào coin, đánh giá khả năng lây lan.

Sau khi lây nhiễm: Mã độc làm gì?​

Prometei không “làm loạn” ngay sau khi lây nhiễm. Thay vào đó, nó thực hiện một loạt các bước sau:

1. Do thám hệ thống:
   • Thu thập CPU, bo mạch chủ, hệ điều hành, thời gian uptime…
   • Sử dụng lệnh như uname -a, dmidecode, đọc /proc/cpuinfo...
2. Tối ưu hoạt động đào coin theo tài nguyên máy nạn nhân.
3. Gửi dữ liệu về máy chủ điều khiển (C2) qua cơ chế domain sinh tự động (DGA) để tránh bị chặn IP.
4. Có khả năng cập nhật chính nó, thay đổi hành vi tùy theo phản ứng của hệ thống bảo mật.

Prometei nguy hiểm tới đâu?​

• Ẩn mình tốt, khó bị “dọn sạch”
• Đào coin âm thầm: Tăng hóa đơn, giảm hiệu năng
• Đánh cắp thông tin: Nguy cơ mất quyền quản trị hệ thống
• Phạm vi ảnh hưởng: Toàn cầu, không phân biệt khu vực, bất kỳ ai dùng Linux server
• Đặc biệt nguy hiểm với các hệ thống cloud hosting, dịch vụ web và trung tâm dữ liệu tự vận hành.

Đối tượng bị nhắm đến:​

• Doanh nghiệp vừa và nhỏ (SMB) sử dụng máy chủ Linux/VPS thiếu bảo mật.
• Hệ thống dùng mật khẩu yếu, không vá lỗ hổng lâu ngày.
• Các tổ chức có mạng nội bộ rộng, cho phép mã độc di chuyển ngang dễ dàng.

Các chuyên gia đưa ra khuyến cáo:​

• Cần vá lỗ hổng SMB/EternalBlue ngay lập tức
• Chặn IP độc hại: 103.41.204.104
• Giám sát lưu lượng HTTP GET bất thường
• Kiểm tra tiến trình UPX/ELF không rõ nguồn gốc
• Tắt dịch vụ SMBv1 nếu không cần thiết
• Bật xác thực đa yếu tố (MFA) cho SSH

Prometei là minh chứng cho xu hướng mã độc âm thầm, hiệu quả và khó phát hiện, đặc biệt nguy hiểm với các máy chủ Linux ít được giám sát. Nếu bạn hoặc doanh nghiệp sử dụng VPS, máy chủ tự quản trị, CI/CD server hãy lập tức kiểm tra lại hệ thống. Đừng để những tài nguyên quý giá của bạn trở thành “nông trại” cho tội phạm mạng khai thác.

Theo Cyber Security News​