Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Tin tặc Trung Quốc khai thác lỗ hổng của SAP và SQL Server trong các chiến dịch tấn công mạng

10:21 | 03/06/2025
Nguyễn Ngọc Nguyên

Các tin tặc Earth Lamia đến từ Trung Quốc đứng sau vụ khai thác lỗ hổng bảo mật nghiêm trọng gần đây trong SAP NetWeaver, đã được xác định là thủ phạm của nhiều vụ tấn công mạng khác nhắm vào các tổ chức ở Brazil, Ấn Độ và Đông Nam Á kể từ năm 2023.

“Kẻ tấn công chủ yếu nhắm vào các lỗ hổng SQL injection được phát hiện trên các ứng dụng web để truy cập vào máy chủ SQL của các tổ chức mục tiêu. Bên cạnh đó, các tin tặc cũng lợi dụng nhiều lỗ hổng đã biết để khai thác các máy chủ công khai”, nhà nghiên cứu bảo mật của Trend Micro Joseph C Chen cho biết trong một phân tích được công bố mới đây.

Một số mục tiêu nổi bật khác trong chiến dịch bao gồm Indonesia, Malaysia, Philippines, Thái Lan và Việt Nam. Các nhà nghiên cứu của hãng bảo mật Trend Micro cho biết, hoạt động của Earth Lamia có một số điểm trùng lặp với các nhóm mối đe dọa được các công ty an ninh mạng khác công bố, ví dụ như Elastic Labs ghi nhận là REF0657, Sophos là STAC6451 và Palo Alto Networks là CL-STA-0048.

Mỗi cuộc tấn công này đều nhắm vào các tổ chức trải dài trên nhiều lĩnh vực ở Nam Á, thường tận dụng Microsoft SQL Server và các phiên bản khác có kết nối Internet để tiến hành do thám, triển khai các công cụ post-exploitation như Cobalt Strike và Supershell, cũng như thiết lập tunnel proxy đến hệ thống mạng của nạn nhân bằng mã độc Rakshasa và Stowaway.

Ngoài ra, còn có các công cụ leo thang đặc quyền như GodPotato và JuicyPotato, cùng các tiện ích rà quét mạng như Fscan và Kscan. Đồng thời, các tin tặc lạm dụng các chương trình hợp pháp như wevtutil[.]exe để xóa nhật ký trong Windows Application, System hay Security event logs,…

Một số cuộc xâm nhập nhắm vào các thực thể Ấn Độ cũng đã cố gắng triển khai mã nhị phân mã độc tống tiền Mimic để mã hóa các tệp của nạn nhân, mặc dù những nỗ lực này phần lớn không thành công.

"Mặc dù kẻ tấn công đang triển khai các tệp nhị phân Mimic trong tất cả các sự cố được quan sát, nhưng mã độc tống tiền này thường không thực thi thành công và trong một số trường hợp, kẻ tấn công đang cố gắng xóa các tệp nhị phân sau khi đã triển khai", công ty an ninh mạng Sophos (Vương quốc Anh) lưu ý trong một phân tích được công bố vào tháng 8/2024.

Sau đó, vào đầu tháng 5/2025, Công ty Tình báo mối đe dọa EclecticIQ (Hà Lan) đã tiết lộ rằng CL-STA-0048 là một trong nhiều nhóm gián điệp mạng có liên hệ với Trung Quốc khai thác lỗ hổng CVE-2025-31324, một lỗ hổng tải tệp chưa xác thực nghiêm trọng trong SAP NetWeaver, để thiết lập một reverse shell vào cơ sở hạ tầng do nhóm này kiểm soát.

Bên cạnh CVE-2025-31324, các tin tặc được cho là đã lợi dụng tới tám lỗ hổng khác nhau để xâm nhập vào các máy chủ công khai, bao gồm:

- CVE-2017-9805: Lỗ hổng thực thi mã từ xa của Apache Struts2.

- CVE-2021-22205: Lỗ hổng thực thi mã từ xa của GitLab.

- CVE-2024-9047: Lỗ hổng truy cập tệp tùy ý File Upload plugin của WordPress.

- CVE-2024-27198: Lỗ hổng vượt qua xác thực JetBrains TeamCity.

- CVE-2024-27199: Lỗ hổng Path Traversal TeamCity của JetBrains.

- CVE-2024-51378: Lỗ hổng thực thi mã từ xa của CyberPanel.

- CVE-2024-51567: Lỗ hổng thực thi mã từ xa của CyberPanel.

- CVE-2024-56145: Lỗ hổng thực thi mã từ xa của Craft CMS.

Trend Micro cho biết: “Đầu năm 2024 và trước đó, chúng tôi nhận thấy rằng hầu hết các mục tiêu của Earth Lamia là các tổ chức trong ngành tài chính, cụ thể là liên quan đến chứng khoán và môi giới. Vào nửa cuối năm 2024, các tin tặc chuyển mục tiêu sang các tổ chức chủ yếu trong ngành hậu cần và bán lẻ trực tuyến. Gần đây, chúng tôi nhận thấy rằng mục tiêu của họ lại chuyển sang các công ty công nghệ thông tin, trường đại học và tổ chức chính phủ".

Một kỹ thuật đáng chú ý được Earth Lamia áp dụng là khởi chạy các backdoor tùy chỉnh như PULSEPACK thông qua DLL sideloading, một cách tiếp cận được các nhóm tin tặc Trung Quốc áp dụng rộng rãi. Là một mô-đun độc hại dựa trên .NET, PULSEPACK giao tiếp với máy chủ từ xa để truy xuất các plugin khác nhau để thực hiện các chức năng của nó.

Trend Micro cho biết họ đã quan sát thấy một phiên bản cập nhật của backdoor vào tháng 3/2025, thay đổi phương thức giao tiếp với máy chủ điều khiển và ra lệnh (C2) từ TCP sang WebSocket, cho thấy phần mềm độc hại đang phát triển tích cực.

“Earth Lamia đang tiến hành các hoạt động của mình trên nhiều quốc gia và ngành công nghiệp với mục đích gây hấn. Đồng thời, các tác nhân đe dọa liên tục cải tiến các chiến thuật tấn công của mình bằng cách phát triển các công cụ hack tùy chỉnh và các backdoor mới”, Trend Micro kết luận.

Twitter Zalo Facebook YouTube Copy Link QR Code
PHẦN MỀM ĐỘC HẠI POST-EXPLOITATION EARTH LAMIA SQL INJECTION TIN TẶC TRUNG QUỐC BACKDOOR
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết