Một chiến dịch tấn công mạng có tổ chức, nhắm mục tiêu vào các tổ chức tiền điện tử, đã thu hút sự chú ý đáng kể từ cộng đồng bảo mật. Các bằng chứng thu thập được chỉ ra một cuộc tấn công phức tạp, kết hợp khai thác lỗ hổng CVE ứng dụng web và lạm dụng thông tin đăng nhập đám mây.

Kẻ tấn công đã di chuyển một cách có hệ thống qua nhiều lớp của chuỗi cung ứng crypto. Các mục tiêu bao gồm nền tảng staking, nhà cung cấp phần mềm sàn giao dịch và chính các sàn giao dịch.

Mục tiêu chính là đánh cắp mã nguồn độc quyền, khóa riêng và các bí mật lưu trữ trên đám mây.

Tổng Quan Chiến Dịch Tấn Công Mạng

Chiến dịch này nổi bật bởi sự kết hợp giữa khai thác ứng dụng web và sử dụng thông tin đăng nhập đám mây bị đánh cắp. Điều này khiến nó trở thành một trong những vụ xâm nhập được tính toán kỹ lưỡng nhất trong lĩnh vực tiền điện tử gần đây.

Kẻ tấn công đã sử dụng hai điểm xâm nhập khác biệt để thâm nhập vào các tổ chức nạn nhân.

Phương Thức Xâm Nhập Ban Đầu

Trong một trường hợp, kẻ tấn công đã khai thác CVE-2025-55182, một lỗ hổng đã biết trong framework React2Shell.

Chúng sử dụng kỹ thuật quét hàng loạt với các phương pháp bypass WAF để xác định các nền tảng staking crypto bị lộ.

Trong một vụ xâm nhập khác, kẻ tấn công đã có sẵn các mã thông báo truy cập AWS hợp lệ. Điều này cho phép chúng bỏ qua hoàn toàn giai đoạn khai thác ban đầu.

Thay vào đó, chúng tiến thẳng vào việc liệt kê hạ tầng đám mây.

Cả hai cách tiếp cận này đều cho thấy mức độ chuẩn bị kỹ lưỡng, vượt xa khả năng của những kẻ tấn công cơ hội. Đây là những hoạt động có chủ đích, nhắm vào các tổ chức xử lý tài sản kỹ thuật số thực.

Các nhà nghiên cứu của Ctrl-Alt-Intel đã xác định được cả hai chuỗi xâm nhập. Phát hiện này thông qua một loạt các thư mục mở bị lộ trong khoảng thời gian hai tuần vào tháng 1 năm 2026.

Báo cáo chi tiết về chiến dịch tấn công đã được công bố.

Các nhà điều tra đã thu hồi các tệp từ chính hạ tầng làm việc của kẻ tấn công. Chúng bao gồm nhật ký lịch sử shell, mã nguồn đã lưu trữ và cấu hình công cụ.

Cửa sổ hiếm có này vào môi trường của kẻ tấn công đã cung cấp tầm nhìn rõ ràng. Nó bao quát mọi giai đoạn của hoạt động, từ các lệnh đầu tiên được thực thi sau khi truy cập ban đầu đến việc thiết lập command-and-control.

Chi Tiết Về Dữ Liệu Bị Đánh Cắp

Trong một trong các nền tảng staking bị xâm nhập, kẻ tấn công đã trích xuất mã nguồn backend. Mã nguồn này bao gồm các tệp .env chứa các khóa riêng (private keys) được hardcoded cho ví blockchain Tron.

Các bản ghi blockchain cho thấy khoảng 52.6 TRX đã được chuyển đi. Giao dịch này diễn ra trong cùng khoảng thời gian khai thác tích cực.

Tuy nhiên, các nhà nghiên cứu lưu ý rằng vẫn chưa rõ liệu kẻ tấn công hay một tác nhân độc lập khác thực hiện giao dịch này.

Không có sự nghi ngờ, sự hiện diện của thông tin đăng nhập tài chính trực tiếp trong mã ứng dụng đã cấp cho bất kỳ kẻ tấn công nào quyền truy cập ngay lập tức vào các khoản tiền thực.

Phạm vi đánh cắp rộng hơn bao gồm cả các hình ảnh Docker container được kéo từ một sàn giao dịch tiền điện tử. Các hình ảnh này chứa thông tin đăng nhập cơ sở dữ liệu hardcoded, cấu hình dịch vụ nội bộ và logic sàn giao dịch độc quyền.

Logic này được xây dựng bằng phần mềm của nhà cung cấp blockchain ChainUp.

Các nhà nghiên cứu đánh giá rằng kẻ tấn công đã xâm nhập một khách hàng của ChainUp, không phải chính công ty đó. Mô hình đánh cắp hệ thống backend và phần mềm sàn giao dịch này phù hợp với chiến lược đã được ghi nhận.

Mục tiêu là chuẩn bị cho các vụ trộm tiền điện tử quy mô lớn thay vì rút tiền ngay lập tức.

Xâm Nhập Hạ Tầng Đám Mây AWS

Giai đoạn tấn công tập trung vào đám mây đã chứng minh một phương pháp tiếp cận có cấu trúc để khai thác AWS. Sau khi xác thực thông tin đăng nhập bị đánh cắp, kẻ tấn công đã thực hiện một cuộc quét liệt kê rộng khắp.

Cuộc quét này nhắm vào các phiên bản EC2, cơ sở dữ liệu RDS, S3 buckets, chức năng Lambda, cụm EKS và vai trò IAM. Chúng lọc nội dung S3 bằng cách sử dụng các tìm kiếm grep nhắm mục tiêu các tệp .pem, .key và .ppk.

Ngoài ra, kẻ tấn công còn tìm kiếm các tệp cấu hình chứa các từ khóa như “secret”, “cred” và “pass”.

Các tệp trạng thái Terraform — lưu trữ ánh xạ hạ tầng và thường chứa mật khẩu cơ sở dữ liệu cũng như khóa API — đã được tải xuống và phân tích để tìm thông tin đăng nhập.

Kẻ tấn công sau đó chuyển hướng vào cụm Kubernetes của nạn nhân. Chúng cập nhật tệp kubeconfig bằng cách sử dụng lệnh aws eks update-kubeconfig, xác thực kubectl thông qua AWS IAM.

aws eks update-kubeconfig --name [CLUSTER_NAME] --region [REGION]

Khi đã ở bên trong, chúng liệt kê tất cả các pod đang chạy. Kẻ tấn công trích xuất ConfigMaps và Kubernetes Secrets dưới dạng plaintext.

Đồng thời, chúng kéo năm hình ảnh Docker container từ Elastic Container Registry, lưu mỗi hình ảnh dưới dạng tệp tar archive trước khi đánh cắp dữ liệu.

Hạ Tầng Command-and-Control (C2)

Để thiết lập cơ chế command-and-control, kẻ tấn công đã chạy VShell trên cổng 8082. Chúng sử dụng FRP như một proxy tunneling qua cổng 53.

Cổng 53, thường được dùng cho DNS, là một lựa chọn phổ biến để lẩn tránh các công cụ giám sát mạng tiêu chuẩn. Các kết nối đến VPS chính của chúng được thực hiện qua IPv6 thay vì IPv4.

Đây là một lựa chọn nhằm né tránh các công cụ phát hiện được xây dựng để giám sát lưu lượng IPv4.

Chỉ Số IOC (Indicators of Compromise)

Dưới đây là một số chỉ số xâm nhập được xác định trong chiến dịch tấn công mạng này:

• CVE được khai thác:CVE-2025-55182 (trong framework React2Shell)
• Tệp bị nhắm mục tiêu:.env (chứa khóa riêng), .pem, .key, .ppk, các tệp cấu hình chứa “secret”, “cred”, “pass”.
• Tệp hạ tầng: Các tệp trạng thái Terraform.
• Cổng C2:8082 (VShell), 53 (FRP tunneling).
• Giao thức C2:IPv6 (thay vì IPv4).
• Dữ liệu bị đánh cắp: Mã nguồn backend, khóa riêng Tron, thông tin đăng nhập cơ sở dữ liệu, cấu hình dịch vụ nội bộ, hình ảnh Docker container, Kubernetes ConfigMaps và Secrets.

Biện Pháp Giảm Thiểu và Nâng Cao An Toàn Thông Tin

Các đội an ninh mạng cần vá ngay lập tức lỗ hổng CVE-2025-55182 và kiểm tra tất cả các ứng dụng web bị lộ công khai.

Trong môi trường AWS, cần áp dụng chính sách IAM ít đặc quyền nhất. Thực hiện luân chuyển mã thông báo thường xuyên và thiết lập cảnh báo cho các cuộc gọi API bất thường.

Ví dụ như liệt kê S3 hàng loạt hoặc tiết lộ RDS công khai không mong muốn.

Các tệp trạng thái Terraform cần có kiểm soát truy cập nghiêm ngặt và không được chứa các bí mật dưới dạng plaintext. Mã nguồn không bao giờ được chứa thông tin đăng nhập hoặc khóa riêng được hardcoded.

Giám sát mạng cần bao gồm lưu lượng IPv6 và các kết nối đi ra trên cổng 53. Các registry container nên thực thi hạn chế pull.

Quyền kubeconfig của Kubernetes phải được giới hạn cho các chủ thể được ủy quyền. Việc tăng cường các biện pháp này là cần thiết để đảm bảo bảo mật đám mây toàn diện.