Matrix sử dụng đa dạng các tập lệnh dựa trên Python, Shell và Golang có nguồn gốc từ GitHub và các nền tảng khác. Các công cụ như biến thể Mirai, SSH và bot Discord làm nổi bật việc tích hợp các nền tảng có sẵn vào các chiến dịch tùy chỉnh. Tin tặc cũng kiếm tiền từ các dịch vụ thông qua Telegram, cung cấp các kế hoạch tấn công DDoS cho các khoản thanh toán bằng tiền điện tử.
Chiến dịch này sử dụng các cuộc tấn công brute-force, thông tin xác thực yếu và các khai thác đã biết để xây dựng một mạng botnet có khả năng gây gián đoạn đáng kể. Điều này phản ánh xu hướng ngày càng tăng khi script kiddies tận dụng các công cụ có sẵn công khai để thực hiện các cuộc tấn công tinh vi.
Đặc trưng của chuỗi tấn công là việc khai thác các lỗ hổng bảo mật đã biết cũng như thông tin đăng nhập mặc định hoặc yếu để có quyền truy cập vào nhiều thiết bị được kết nối Internet như camera IP, DVR, bộ định tuyến và thiết bị viễn thông.
Trong đó, các tin tặc chủ yếu tấn công dựa vào mật khẩu yếu, với 80% thông tin xác thực được xác định liên quan đến người dùng root hoặc admin. Các chiến thuật này nhấn mạnh việc không áp dụng các biện pháp bảo mật cơ bản, chẳng hạn như thay đổi thông tin đăng nhập mặc định, bảo mật giao thức quản trị và áp dụng các bản cập nhật firmware, khiến thiết bị dễ bị xâm phạm.
Tin tặc cũng được phát hiện lợi dụng các máy chủ Telnet, SSH và Hadoop cấu hình lỗi, đặc biệt tập trung vào các phạm vi địa chỉ IP liên quan đến các nhà cung cấp dịch vụ đám mây như Amazon Web Services (AWS), Microsoft Azure và Google Cloud.
Hoạt động độc hại này còn dựa vào nhiều tập lệnh và công cụ có sẵn trên GitHub, cuối cùng là triển khai phần mềm độc hại botnet Mirai và các chương trình liên quan đến DDoS khác trên các thiết bị và máy chủ bị xâm phạm. PYbot, pynet, DiscordGo, Homo Network, một chương trình JavaScript thực hiện tấn công flood HTTP/HTTPS và một công cụ có thể vô hiệu hóa ứng dụng Microsoft Defender Antivirus trên máy tính chạy Windows.
Các nhà nghiên cứu nhận định chiến dịch này tuy không quá phức tạp, nhưng chứng minh được các công cụ dễ tiếp cận và kiến thức kỹ thuật cơ bản có thể giúp cá nhân thực hiện một cuộc tấn công trên phạm vi diện rộng, đa diện vào nhiều lỗ hổng và cấu hình lỗi trong các thiết bị kết nối mạng.
Như đã đề cập, mục tiêu của Matrix bao gồm các nhà cung cấp dịch vụ đám mây, các doanh nghiệp nhỏ và các khu vực có nhiều hệ thống IoT như Trung Quốc và Nhật Bản. Phân tích cho thấy có tới 35 triệu thiết bị tiềm năng có thể bị ảnh hưởng, cho thấy một mạng lưới botnet từ 350 nghìn đến 1,7 triệu thiết bị, tùy thuộc vào tỷ lệ lỗ hổng.
Chiến dịch này nhấn mạnh sự chuyển hướng sang khai thác lỗ hổng của doanh nghiệp cùng với các hệ thống IoT. Theo truyền thống, khai thác tiền điện tử chiếm ưu thế trong các cuộc tấn công như vậy, nhưng trọng tâm của Matrix bao gồm cả máy chủ sản xuất và phát triển, làm tăng rủi ro cho môi trường doanh nghiệp.
Để giải quyết những mối đe dọa này, các tổ chức cần có các biện pháp bảo mật mạnh mẽ, trong đó đặc biệt là việc cập nhật các bản vá và firmware thường xuyên, thay đổi thông tin xác thực mạnh và giám sát các lỗ hổng bảo mật.
Lê Hải Yến
15:00 | 27/12/2024
15:00 | 10/01/2025
15:00 | 19/12/2024
13:00 | 09/10/2024
13:00 | 11/07/2023
09:00 | 08/06/2023
09:00 | 27/12/2024
Các tên miền mới như ".shop", ".xyz" đang ngày càng trở nên phổ biến với tội phạm mạng do giá rẻ và quy trình đăng ký đơn giản là cảnh báo được đưa ra trong báo cáo Cybercrime Supply Chain 2024 của Interisle Consulting Group (Mỹ).
13:00 | 03/12/2024
Chuyên gia bảo mật Jan Michael Alcantara của nhà cung cấp giải pháp an ninh mạng Netskope (Mỹ) cho biết, họ đã phát hiện ra một biến thể mới của mã độc NodeStealer đang tấn công các tài khoản Facebook Ads Manager.
07:00 | 17/11/2024
Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam VNCERT/CC (Cục An toàn thông tin, Bộ TT&TT) vừa tiếp tục cảnh báo về mã độc Pygmy Goat, xuất hiện trên các thiết bị SOPHOS FIREWALL nhắm vào các chuyên gia kinh tế số.
08:00 | 15/11/2024
Hơn 30 lỗ hổng bảo mật đã được tiết lộ trong nhiều mô hình trí tuệ nhân tạo (AI) và máy học (ML) nguồn mở khác nhau. Đáng lưu ý, một số trong đó có thể dẫn đến thực thi mã từ xa và đánh cắp thông tin.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025