Tin tặc khai thác lỗ hổng Ivanti để phát tán mã độc và triển khai Cobalt Strike

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
108
966 bài viết
Tin tặc khai thác lỗ hổng Ivanti để phát tán mã độc và triển khai Cobalt Strike
WhiteHat Team
Mới đây, các chuyên gia an ninh mạng đã phát hiện một loại phần mềm độc hại mới mang tên MDifyLoader, được sử dụng trong các cuộc tấn công mạng nhắm vào các thiết bị Ivanti Connect Secure (ICS).
1752982631336.png

Được phát hiện trong khoảng thời gian từ tháng 12 năm 2024 đến tháng 7 năm 2025, cuộc tấn công này khai thác hai lỗ hổng bảo mật trong ICS để lây nhiễm và phát tán các loại mã độc nguy hiểm như Cobalt Strike, VShell và Fscan:

MDifyLoader là một trình tải (loader) được thiết kế để nạp các phần mềm độc hại khác vào bộ nhớ của hệ thống. Phần mềm này dựa trên dự án mã nguồn mở libPeConv và thực hiện quá trình tải về và giải mã một payload Cobalt Strike Beacon đã được mã hóa.

Tải và giải mã MDifyLoader: Sau khi có quyền truy cập, MDifyLoader được tải vào bộ nhớ, nạp một payload Cobalt Strike Beacon đã được mã hóa.

Lateral movement: Sau khi có quyền truy cập vào hệ thống, các tin tặc thực hiện các cuộc tấn công brute-force vào FTP, MS-SQL và SSH để lấy cắp mật khẩu và dữ liệu.

Cobalt Strike là một công cụ mạnh mẽ, được sử dụng phổ biến trong các cuộc tấn công mạng để kiểm soát hệ thống từ xa và triển khai các hoạt động tấn công phức tạp. Cobalt Strike Beacon có thể cho phép tin tặc duy trì quyền truy cập vào hệ thống đã bị xâm nhập và thực hiện các hoạt động lén lút mà người dùng không nhận thấy.

Lợi dụng các công cụ khác: Các công cụ như VShell và Fscan được sử dụng để duy trì quyền kiểm soát và quét thêm các thiết bị mạng để mở rộng phạm vi tấn công.

VShell: Một công cụ điều khiển từ xa (RAT) viết bằng Go, được sử dụng để duy trì quyền truy cập vào hệ thống. VShell kiểm tra ngôn ngữ hệ thống để xác định xem có phải là người dùng Trung Quốc hay không, trước khi thực hiện hành động.

Fscan: Một công cụ quét mạng được viết bằng Go, giúp tin tặc quét các thiết bị và hệ thống trong mạng để tìm kiếm lỗ hổng và mở rộng phạm vi tấn công.

Quá trình tấn công có thể được mô tả như sau: Lỗ hổng bảo mật trong Ivanti Connect Secure (ICS), một thiết bị VPN được sử dụng rộng rãi trong các doanh nghiệp, chính là điểm khởi đầu cho chuỗi tấn công này. Hai lỗ hổng bảo mật nghiêm trọng sau đã bị các tin tặc khai thác:​
  • CVE-2025-0282: Đây là lỗ hổng cho phép thực thi mã từ xa không cần xác thực. Lỗ hổng này được phát hiện và được Ivanti vá vào tháng 1 năm 2025.​
  • CVE-2025-22457: Lỗ hổng này liên quan đến tràn bộ đệm ngăn xếp, cho phép thực thi mã tùy ý và đã được vá vào tháng 4 năm 2025.​
Tin tặc khai thác lỗ hổng bảo mật CVE-2025-0282 và CVE-2025-22457 trong các thiết bị Ivanti Connect Secure để xâm nhập vào mạng nội bộ của các tổ chức. Cả hai lỗ hổng này đều đã bị tin tặc khai thác như các lỗ hổng zero-day (lỗ hổng chưa có bản vá). Điều này có nghĩa là các tổ chức chưa kịp vá lỗ hổng khi chúng bị khai thác trong các cuộc tấn công thực tế.

Cuộc tấn công này mang đến nhiều mối nguy hại lớn cho các tổ chức:​
  • Rủi ro mất mát dữ liệu: Tin tặc có thể lấy cắp dữ liệu nhạy cảm như thông tin đăng nhập, dữ liệu tài chính hoặc thậm chí dữ liệu khách hàng.​
  • Tình trạng bị chiếm đoạt hệ thống: Các tổ chức có thể mất quyền kiểm soát hệ thống và phải đối mặt với nguy cơ bị tấn công thêm.​
  • Ảnh hưởng đến hoạt động kinh doanh: Việc bị tấn công có thể làm gián đoạn các hoạt động kinh doanh, gây mất thời gian và chi phí khôi phục.​
  • Để lại cánh cửa mở cho các cuộc tấn công sau: Các tin tặc có thể cài đặt backdoor hoặc các tài khoản ẩn trong hệ thống, giúp họ duy trì quyền truy cập lâu dài ngay cả khi các biện pháp bảo mật khác được áp dụng.​
Để bảo vệ hệ thống khỏi các cuộc tấn công kiểu này, các tổ chức và người dùng cần thực hiện một số biện pháp sau:​
  • Cập nhật phần mềm và vá lỗi bảo mật: Đảm bảo rằng tất cả các bản vá bảo mật, đặc biệt là đối với Ivanti Connect Secure, được áp dụng kịp thời.​
  • Kiểm tra và bảo vệ hệ thống mạng: Cần phải quét và bảo mật hệ thống để phát hiện các dấu hiệu của phần mềm độc hại, chẳng hạn như Cobalt Strike hoặc VShell.​
  • Sử dụng các biện pháp xác thực mạnh mẽ: Áp dụng xác thực đa yếu tố (MFA) để giảm thiểu nguy cơ tài khoản bị tấn công.​
  • Giám sát hành vi hệ thống: Triển khai các công cụ giám sát mạng và hệ thống để phát hiện các hoạt động bất thường hoặc các dấu hiệu của việc bị xâm nhập.​
Cuộc tấn công qua MDifyLoader đã cho thấy mức độ tinh vi và phức tạp của các mối đe dọa mạng hiện nay. Việc khai thác các lỗ hổng trong Ivanti Connect Secure cho phép tin tặc chiếm đoạt hệ thống và thực hiện các hành vi xâm nhập lén lút. Các tổ chức cần phải chú ý đến các biện pháp bảo mật mạnh mẽ và nhanh chóng áp dụng các bản vá bảo mật để ngăn ngừa các cuộc tấn công tiếp theo.​
WhiteHat tổng hợp..​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • GitHub bị lợi dụng phát tán Amadey và mã độc đánh cắp thông tin
  • Sự trỗi dậy của AsyncRAT và những nhánh mã độc mang tính tùy biến cao
  • RenderShock: Cuộc tấn công "zero-click" đáng sợ ẩn nấp sau tính năng tiện ích hàng ngày
  • Google Gemini bị lợi dụng để lừa người dùng qua tính năng tóm tắt email
  • Fortinet vá lỗ hổng SQL Injection nghiêm trọng trên FortiWeb (CVE-2025-25257)
  • Fortinet phát hành bản vá cho lỗ hổng thực thi mã tùy ý trên FortiOS
    • Thẻ
    cobalt strike cve-2025-0282 cve-2025-22457 ivanti
    Bên trên