Một chiến dịch tấn công mạng WARP PANDA tinh vi mới đã xuất hiện trong bối cảnh an ninh mạng toàn cầu, nhắm mục tiêu vào các môi trường VMware vCenter tại nhiều tổ chức thuộc nhiều lĩnh vực khác nhau. Nhóm tác nhân đe dọa này, hoạt động dưới tên WARP PANDA, đã thể hiện khả năng kỹ thuật vượt trội trong việc xâm nhập các hệ thống cơ sở hạ tầng đám mây và ảo hóa. Điều này đánh dấu một sự leo thang đáng kể trong các cuộc tấn công dựa trên nền tảng đám mây, cho thấy mức độ phức tạp ngày càng tăng của mối đe dọa mạng hiện nay.

Mối Đe Dọa Mạng WARP PANDA và Mục Tiêu Tấn Công

Sự xuất hiện của WARP PANDA là một tín hiệu đáng báo động, với trọng tâm đặc biệt là giành quyền truy cập lâu dài vào các mạng nhạy cảm và kho lưu trữ dữ liệu. Các cuộc tấn công này có thể gây ra những hậu quả nghiêm trọng, từ rò rỉ thông tin nhạy cảm đến gián đoạn hoạt động hệ thống. Chiến dịch tấn công mạng WARP PANDA cho thấy một phương pháp tiếp cận có chủ đích và được tính toán kỹ lưỡng, với bằng chứng cho thấy một số vụ xâm nhập đã diễn ra từ cuối năm 2023.

Các tác nhân đe dọa WARP PANDA hoạt động với kiến thức chuyên sâu về cơ sở hạ tầng đám mây và môi trường máy ảo, giúp nhóm này di chuyển liền mạch qua các cấu trúc mạng phức tạp. Khả năng này cho phép chúng duy trì quyền kiểm soát trong thời gian dài và tiếp cận các tài nguyên quan trọng. CrowdStrike đã xác định và theo dõi nhóm này sau khi phát hiện nhiều vụ xâm nhập phối hợp trong suốt năm 2025. Để hiểu rõ hơn về hoạt động của WARP PANDA và các kỹ thuật liên quan, bạn có thể tham khảo báo cáo chuyên sâu của CrowdStrike: WARP PANDA Cloud Threats.

Khai thác Ban đầu và Xâm nhập VMware vCenter

Hoạt động ban đầu của tấn công mạng WARP PANDA thường bắt đầu bằng việc nhắm mục tiêu vào các thiết bị biên hướng Internet. Các thiết bị này thường là điểm yếu đầu tiên có thể bị khai thác để xâm nhập vào mạng nội bộ. Sau khi có được chỗ đứng ban đầu, chúng sẽ chuyển hướng sang môi trường vCenter, nơi tập trung quản lý toàn bộ cơ sở hạ tầng ảo hóa. Tại đây, chúng khai thác các lỗ hổng đã biết hoặc sử dụng thông tin xác thực bị đánh cắp để thiết lập chỗ đứng vững chắc và mở rộng quyền kiểm soát.

Việc nhắm mục tiêu vào vCenter là chiến lược bởi vì nó cung cấp quyền truy cập toàn diện vào các máy chủ ảo, dữ liệu và các thành phần quan trọng khác của hệ thống. Đây là một điểm kiểm soát trung tâm mà từ đó WARP PANDA có thể dễ dàng di chuyển ngang và thực hiện các hành động độc hại khác.

Bộ Công Cụ Mã Độc của WARP PANDA

Các nhà nghiên cứu đã ghi nhận cách WARP PANDA triển khai một bộ công cụ đa dạng gồm ba loại riêng biệt: mã độc BRICKSTORM, các JSP web shell, và hai implant chưa từng được biết đến trước đây có tên là Junction và GuestConduit. Sự kết hợp của các công cụ này cho phép nhóm duy trì quyền truy cập liên tục, thực hiện các lệnh từ xa và né tránh các cơ chế phát hiện trong môi trường bị xâm nhập.

BRICKSTORM: Backdoor Đa Năng và Khó Phát Hiện

BRICKSTORM đóng vai trò là backdoor chính trong các chiến dịch tấn công mạng WARP PANDA, được phát triển bằng ngôn ngữ Golang. Điểm đặc biệt của mã độc BRICKSTORM là khả năng ngụy trang tinh vi, thường giả dạng các tiến trình vCenter hợp pháp như updatermgr hoặc vami-http. Kỹ thuật này giúp nó ẩn mình hiệu quả khỏi các công cụ giám sát hệ thống thông thường.

Để giao tiếp với các máy chủ Command and Control (C2), BRICKSTORM sử dụng kết nối WebSocket được mã hóa bằng TLS. Mã độc này còn triển khai các kỹ thuật che giấu tinh vi để tránh bị phát hiện trên mạng, bao gồm việc sử dụng DNS-over-HTTPS (DoH) để phân giải tên miền và tạo các kênh TLS lồng nhau. Hơn nữa, để tăng cường khả năng tàng hình và phân tán hạ tầng C2, BRICKSTORM tận dụng các dịch vụ đám mây công cộng lớn như Cloudflare Workers và Heroku. Điều này làm cho việc theo dõi và chặn các giao tiếp C2 trở nên cực kỳ khó khăn cho các đội an ninh mạng.

Junction và GuestConduit: Cơ Chế Điều Khiển Máy Ảo

Hai implant Junction và GuestConduit hoạt động cùng nhau để thiết lập quyền kiểm soát sâu hơn trong môi trường ảo hóa. Junction có chức năng lắng nghe trên cổng 8090 để giao tiếp với các máy ảo khách (guest VMs) thông qua VM sockets. Đây là một phương pháp hiệu quả để tương tác với các máy ảo mà không cần kết nối mạng truyền thống. Trong khi đó, GuestConduit tạo điều kiện cho việc đào hầm lưu lượng mạng (network traffic tunneling) bên trong các máy ảo, giúp che giấu hoạt động độc hại.

Sự kết hợp của Junction và GuestConduit cho phép WARP PANDA duy trì sự hiện diện dai dẳng và di chuyển linh hoạt giữa các máy ảo. Khả năng này làm cho việc phát hiện và loại bỏ mối đe dọa này trở nên thách thức hơn đối với các hệ thống phòng thủ. Đây là một ví dụ điển hình về sự tinh vi của các công cụ được sử dụng trong chiến dịch tấn công mạng WARP PANDA.

Chiến Thuật Né Tránh Phát Hiện và Duy trì Quyền Truy Cập

Các cơ chế duy trì quyền truy cập được WARP PANDA sử dụng cho thấy các thực hành bảo mật vận hành (operational security – OPSEC) nâng cao, được thiết kế để kéo dài thời gian tồn tại trong mạng mục tiêu. Nhóm này thường sử dụng SSH và tài khoản đặc quyền vpxuser để di chuyển ngang trong mạng. Việc lạm dụng tài khoản đặc quyền này cho phép chúng mở rộng phạm vi kiểm soát sau khi xâm nhập thành công, tiếp cận các hệ thống và dữ liệu nhạy cảm hơn.

Các Kỹ Thuật Che Dấu Nâng Cao

Để che dấu dấu vết và tránh bị phát hiện, WARP PANDA sử dụng nhiều kỹ thuật tinh vi. Chúng thực hiện xóa nhật ký (log clearing) để loại bỏ các bản ghi về hoạt động độc hại của mình. Kỹ thuật thay đổi dấu thời gian tệp (file timestomping) cũng được áp dụng để làm sai lệch thông tin thời gian tạo, sửa đổi hoặc truy cập tệp, khiến các nhà phân tích khó xác định chuỗi sự kiện tấn công.

Ngoài ra, nhóm này còn tạo ra các máy ảo độc hại không đăng ký. Các máy ảo này được tắt ngay sau khi sử dụng, giảm thiểu khả năng bị phát hiện thông qua giám sát tài nguyên. Để tiếp tục che giấu giao tiếp độc hại, WARP PANDA đào hầm lưu lượng truy cập qua các hệ thống bị xâm nhập. Kỹ thuật này giúp hòa lẫn các giao tiếp độc hại với hoạt động mạng hợp pháp, gây khó khăn đáng kể cho việc phân tích lưu lượng và phát hiện sự bất thường bởi các công cụ an ninh mạng truyền thống.

Các Lỗ Hổng và Kỹ Thuật Khai Thác Chính

Theo phân tích, chiến dịch tấn công mạng WARP PANDA khai thác các lỗ hổng đã biết trong môi trường mục tiêu và sử dụng thông tin xác thực bị đánh cắp để thiết lập, cũng như duy trì quyền truy cập. Mặc dù thông tin chi tiết về các CVE nghiêm trọng hoặc mã định danh lỗ hổng cụ thể không được cung cấp trong nguồn dữ liệu này, việc nhóm này tập trung vào các “lỗ hổng đã biết” và thông tin xác thực bị đánh cắp nhấn mạnh tầm quan trọng của việc duy trì các bản vá bảo mật định kỳ và giám sát chặt chẽ các tài khoản đặc quyền. Đặc biệt, việc bảo vệ tài khoản vpxuser trong môi trường VMware vCenter là cực kỳ cần thiết. Các tổ chức cần ưu tiên quản lý vá lỗi, triển khai xác thực đa yếu tố (MFA) cho tất cả các tài khoản quản trị, và áp dụng các biện pháp bảo vệ toàn diện để giảm thiểu rủi ro bảo mật từ các mối đe dọa tinh vi và dai dẳng như WARP PANDA.