Vào cuối tháng 10 năm 2025, một chiến dịch mã độc mới có tên ShadowV2 đã xuất hiện, trùng hợp với sự cố gián đoạn dịch vụ AWS toàn cầu. Mối đe dọa tinh vi này tích cực khai thác các lỗ hổng IoT để xây dựng một mạng botnet phục vụ các cuộc tấn công DDoS.

Việc triển khai nhanh chóng của mã độc ShadowV2 cho thấy một nỗ lực phối hợp nhằm tận dụng các phần cứng bị xâm nhập cho các hoạt động gây gián đoạn quy mô lớn. Tốc độ lây lan của chiến dịch diễn ra nhanh chóng trên bảy ngành công nghiệp, bao gồm công nghệ, giáo dục và bán lẻ, ảnh hưởng đến các tổ chức ở Hoa Kỳ, Châu Âu và Châu Á.

Các chuyên gia an ninh mạng tin rằng sự gia tăng này có thể là một cuộc thử nghiệm được thiết kế để đánh giá tiềm năng của botnet trong việc gây ra các gián đoạn dịch vụ trên diện rộng. Tính chất phổ biến của chiến dịch này nhấn mạnh những rủi ro dai dẳng liên quan đến các thiết bị kết nối không an toàn trong môi trường doanh nghiệp.

Chiến Dịch Mã Độc ShadowV2: Tấn Công Thiết Bị IoT

Mục Tiêu Khai Thác Lỗ Hổng IoT Cũ

Các nhà phân tích bảo mật của Fortinet đã xác định mã độc ShadowV2 khai thác các lỗ hổng bảo mật cũ, chưa được vá trên bộ định tuyến (routers) và đầu ghi DVR từ các nhà cung cấp như D-Link và TP-Link. Bằng cách nhắm mục tiêu vào những điểm yếu đã biết này, những kẻ tấn công đã thành công trong việc xâm nhập nhiều thiết bị mà các tổ chức đã không cập nhật bản vá firmware mới nhất.

Việc khai thác các lỗ hổng đã được biết đến nhưng chưa được vá là một chiến thuật phổ biến. Điều này cho phép ShadowV2 thâm nhập vào các thiết bị dễ bị tổn thương một cách hiệu quả, tạo ra một mạng lưới botnet rộng lớn. Để biết thêm chi tiết về phân tích của Fortinet, bạn có thể tham khảo nghiên cứu của Fortinet.

Chuỗi Tấn Công Ban Đầu của ShadowV2

Chuỗi tấn công bắt đầu khi một thiết bị dễ bị tổn thương bị buộc phải tải xuống một script có tên binary.sh từ một máy chủ từ xa tại địa chỉ 81.88.18.108.

Script này đóng vai trò quan trọng trong việc thiết lập sự hiện diện ban đầu của ShadowV2 trên hệ thống mục tiêu. Đây là bước đầu tiên trong quá trình thiết lập botnet và chuẩn bị cho các cuộc tấn công DDoS.

Cơ Chế Triển Khai Payload Đa Nền Tảng

Sau khi được tải xuống, script binary.sh tự động phát hiện kiến trúc của máy chủ – bao gồm ARM, MIPS, hoặc x86. Dựa trên kiến trúc được xác định, script sẽ truy xuất payload mã độc tương ứng, đảm bảo việc thực thi thành công.

Cơ chế này cho phép mã độc ShadowV2 hoạt động hiệu quả trên nhiều loại thiết bị IoT khác nhau, vốn thường sử dụng các kiến trúc CPU đa dạng.

Phân Tích Kỹ Thuật Chuyên Sâu về Mã Độc ShadowV2

Đặc Điểm Kỹ Thuật và Cơ Chế Hoạt Động của Mã Độc

ShadowV2 có kiến trúc tương tự biến thể Mirai “LZRD” nhưng sử dụng các kỹ thuật che giấu khác biệt. Khi khởi chạy, nó sử dụng bộ mã hóa XOR đơn giản với khóa 0x22 để giải mã cấu hình nội bộ của nó. Kỹ thuật này giúp bảo vệ thông tin quan trọng của mã độc khỏi bị phân tích dễ dàng.

// Đoạn mã minh họa cơ chế giải mã XOR của ShadowV2
unsigned char encrypted_config[] = { /* dữ liệu cấu hình đã mã hóa */ };
unsigned char key = 0x22;

void decrypt_config(unsigned char* data, size_t len) {
    for (size_t i = 0; i < len; i++) {
        data[i] ^= key;
    }
}

Dữ liệu cấu hình đã giải mã này chứa các đường dẫn tệp, ví dụ như /proc/, và các chuỗi User-Agent lừa đảo được thiết kế để che giấu lưu lượng truy cập độc hại dưới dạng hoạt động người dùng hợp pháp. Các User-Agent giả mạo này giúp ShadowV2 né tránh sự phát hiện từ các hệ thống giám sát mạng thông thường.

Khả Năng Tấn Công và Ra Lệnh của Botnet

Một khi đã kích hoạt, mã độc ShadowV2 thiết lập liên lạc với máy chủ Command-and-Control (C2) để nhận lệnh tấn công. Máy chủ C2 là trung tâm điều khiển các hoạt động của botnet, cho phép kẻ tấn công điều phối các cuộc tấn công DDoS.

Nó hỗ trợ nhiều vector tấn công DDoS, bao gồm UDP floods và TCP SYN floods. Các hành vi này được ánh xạ tới các ID chức năng nội bộ cụ thể để nhanh chóng triển khai chống lại các mục tiêu. Khả năng đa dạng trong các phương thức tấn công giúp ShadowV2 có thể vượt qua các biện pháp phòng thủ DDoS khác nhau.

Chỉ Số Thỏa Hiệp (IOCs) của Chiến Dịch ShadowV2

Để hỗ trợ các nỗ lực phát hiện và ngăn chặn, dưới đây là các Chỉ số Thỏa hiệp (IOCs) liên quan đến mã độc ShadowV2:

• Địa chỉ IP Máy chủ Tải xuống:81.88.18.108
• Tên Script Tải xuống Ban đầu:binary.sh
• Khóa Giải mã Cấu hình XOR:0x22
• Các vector tấn công DDoS đã biết: UDP floods, TCP SYN floods

Khuyến Nghị Bảo Mật và Biện Pháp Đối Phó

Để giảm thiểu rủi ro từ các mối đe dọa như ShadowV2 và các chiến dịch khai thác lỗ hổng tương tự, các tổ chức cần áp dụng các biện pháp bảo mật chủ động:

• Cập nhật Firmware Thường xuyên: Đảm bảo tất cả thiết bị IoT, đặc biệt là bộ định tuyến và DVR, được cập nhật các bản vá firmware mới nhất từ nhà sản xuất. Điều này giúp khắc phục các lỗ hổng IoT đã biết mà ShadowV2 và các mã độc khác có thể khai thác.
• Phân đoạn Mạng: Triển khai phân đoạn mạng để cô lập các thiết bị IoT trong một mạng riêng biệt, hạn chế khả năng lây lan của mã độc nếu một thiết bị bị xâm nhập.
• Giám sát Lưu lượng Mạng: Sử dụng các hệ thống phát hiện xâm nhập (IDS) và hệ thống thông tin và quản lý sự kiện bảo mật (SIEM) để giám sát lưu lượng mạng bất thường, đặc biệt là từ và đến các thiết bị IoT, có thể chỉ ra hoạt động của ShadowV2 hoặc các tấn công DDoS.
• Quản lý Mật khẩu Mạnh: Đảm bảo tất cả thiết bị IoT sử dụng mật khẩu mạnh, duy nhất và thay đổi mật khẩu mặc định ngay lập tức sau khi cài đặt.
• Vô hiệu hóa Dịch vụ Không cần thiết: Tắt các cổng và dịch vụ không cần thiết trên thiết bị IoT để giảm bề mặt tấn công.