Các nhà nghiên cứu bảo mật đã phát hiện một chiến dịch mã độc Linux tinh vi, kết hợp khả năng botnet DDoS dựa trên Mirai với một trình khai thác tiền điện tử không file (fileless cryptominer). Điều này đánh dấu một bước tiến đáng kể trong các mối đe dọa nhắm mục tiêu vào IoT và môi trường đám mây.

Mã độc, được Cyble Research Intelligence Labs đặt tên là V3G4, sử dụng một chuỗi lây nhiễm nhiều giai đoạn. Mục tiêu là xâm nhập các máy chủ Linux và thiết bị IoT trên nhiều kiến trúc khác nhau, đồng thời duy trì quyền truy cập liên tục cho cả tấn công từ chối dịch vụ (DDoS) và hoạt động khai thác tiền điện tử.

Khái Quát Về Chiến Dịch Mã Độc Linux V3G4

Phương pháp lai ghép này cho phép các tác nhân đe dọa tối đa hóa lợi nhuận tài chính bằng cách tận dụng các thiết bị bị nhiễm cho cả hai mục đích cùng lúc. Điều này tạo ra một luồng doanh thu bền vững và liên tục phát triển với các kỹ thuật, vectơ tấn công và phương pháp lẩn tránh mới.

Chiến dịch mã độc Linux V3G4 đại diện cho sự tiến hóa của các chủng Mirai trước đây, được ghi nhận trong các vụ lây nhiễm đám mây. Nó được thiết kế để duy trì khả năng truy cập bền bỉ trên các hệ thống bị xâm nhập.

Chuỗi Lây Nhiễm Và Cơ Chế Hoạt Động Của Mã Độc V3G4

Giai Đoạn Khởi Đầu: Universal Bot Downloader

Cuộc tấn công bắt đầu bằng một script shell nhỏ gọn có tên Universal Bot Downloader. Script này tự động xác định kiến trúc CPU của hệ thống nạn nhân bằng lệnh uname -m.

uname -m

Dựa trên kiến trúc được phát hiện — hỗ trợ các biến thể x86_64, ARM64, ARM7, ARM5, MIPS và MIPSEL — script tạo một URL tải xuống phù hợp và lấy binary bot tương ứng từ máy chủ do kẻ tấn công kiểm soát.

Payload được ghi vào thư mục /tmp, sau đó được gán quyền thực thi thông qua lệnh chmod và được khởi chạy ngay lập tức. Quá trình này tuân theo các mô hình triển khai botnet IoT cổ điển, ưu tiên tốc độ và khả năng tương thích rộng rãi trên các môi trường Linux đa dạng.

chmod +x /tmp/[payload_name]
/tmp/[payload_name]

Triển Khai Payload Và Che Giấu Mã Độc Linux

Sau khi thực thi, binary được đóng gói bằng UPX và đã được loại bỏ các ký hiệu (stripped) sẽ thu thập thông tin hệ thống thông qua trinh sát môi trường. Nó kiểm tra chi tiết kernel và giới hạn tiến trình để xác định các tham số hoạt động.

Các nhà phân tích bảo mật của Cyble đã ghi nhận rằng mã độc Linux này in ra một banner chữ ký xXxSlicexXxxVEGA ra stdout. Dấu hiệu này khớp với các mẫu hành vi của các chủng V3G4-Mirai đã được ghi nhận trước đây trong các vụ lây nhiễm đám mây. Bạn có thể tham khảo thêm chi tiết về phân tích này tại Cyble Research Intelligence Labs Blog.

Bot sau đó chuyển sang chế độ ẩn mình bằng cách cố gắng giả mạo thành tiến trình systemd-logind hợp lệ thông qua các lệnh gọi hệ thống prctl. Nó đóng các luồng I/O tiêu chuẩn và tách khỏi terminal điều khiển bằng setsid để loại bỏ việc theo dõi tiến trình hiển thị và tránh bị nghi ngờ hoàn toàn.

Cơ Sở Hạ Tầng Command-and-Control (C2) Và Khai Thác

Mã độc Linux này thiết lập một cơ sở hạ tầng command-and-control (C2) tinh vi, kết hợp quét socket TCP thô với khả năng phục hồi dựa trên DNS.

Quét Cổng SSH Và Lây Lan Tấn Công Mạng

Nhiều luồng worker đồng thời thực hiện việc phun gói SYN tốc độ cao trên cổng 22 trên Internet. Điều này cho phép lây lan nhanh chóng bằng tấn công brute-force SSH đến các nạn nhân mới, mở rộng quy mô botnet Mirai.

Đây là một chiến thuật phổ biến trong các cuộc tấn công mạng quy mô lớn để nhanh chóng chiếm quyền điều khiển các thiết bị có mật khẩu yếu hoặc dễ đoán.

Cấu Trúc C2 Linh Hoạt Dành Cho Botnet

Đồng thời, bot thực hiện các truy vấn DNS đa luồng chống lại máy chủ DNS công cộng của Google (8.8.8.8) để phân giải miền C2 baojunwakuang.asia. Miền này ánh xạ đến địa chỉ IP 159.75.47.123 và phục vụ cả lệnh botnet lẫn cấu hình miner thông qua các cổng không tiêu chuẩn như 60194 để tăng cường khả năng ẩn mình. Sự linh hoạt này giúp duy trì hoạt động của mã độc Linux ngay cả khi một số địa chỉ C2 bị chặn.

Mô-đun Khai Thác Tiền Điện Tử Fileless

Payload giai đoạn ba triển khai một trình khai thác Monero dựa trên XMRig ẩn danh. Đây là một ví dụ điển hình cho sự tập trung của chiến dịch vào việc né tránh phát hiện.

Triển Khai XMRig Ẩn Danh Để Khai Thác Hệ Thống

Thay vì nhúng các file cấu hình tĩnh, mã độc Linux này lấy các tham số khai thác động từ máy chủ C2 tại thời điểm chạy. Trình tải ngụy trang miner dưới dạng /tmp/.dbus-daemon để hòa lẫn với các tiến trình hợp lệ và yêu cầu dữ liệu cấu hình qua TCP. Nó nhận một blob JSON chứa địa chỉ ví, URL pool và cài đặt thuật toán mà không tạo ra bất kỳ artifact nào trên đĩa.

Lợi Ích Của Phương Pháp Fileless Trong Né Tránh Phát Hiện

Phương pháp không file này cho phép các nhà điều hành xoay vòng các tham số khai thác theo thời gian thực, đồng thời cản trở phân tích pháp y. Sự kết hợp của các tiến trình giả mạo, quét socket thô và phân phối cấu hình động cho thấy cách các botnet hiện đại tối đa hóa khả năng ẩn mình và kiếm tiền trên các môi trường Linux bị xâm nhập, đặc biệt là các thiết bị IoT và máy chủ đám mây. Sự tinh vi của mã độc Linux này đặt ra thách thức lớn cho các giải pháp an ninh mạng truyền thống.

Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến chiến dịch mã độc Linux V3G4 bao gồm:

• Địa chỉ IP máy chủ C2 và Download:
  • 103.149.93.224
  • 159.75.47.123
• Tên miền C2:
  • baojunwakuang.asia