Các tin tặc đang lạm dụng máy chủ của Proton66 để thực hiện tấn công trên toàn cầu
Mở đầu
Trong 2 tuần qua, các nhà nghiên cứu tới từ Trustwave SpiderLabs đã phát hiện các kết nối khả nghi tới các máy chủ của Proton66 nằm ở Nga, cho thấy sự mở rộng của các cuộc tấn công. Đầu tiên, chúng thực hiện rà quét số lượng lớn và khai thác lỗ hổng, một vài địa chỉ IP liên quan tới hoạt động của mã độc tống tiền SuperBlack. Sau đó các tin tặc này sẽ đi sâu vào các chiến dịch mã độc liên kết tới Proton66, bao gồm tấn công các website sử dụng WordPress để chuyển hướng các thiết bị Android tới Google Play giả mạo, chiến dịch XWorm nhắm tới các phòng chat và phát tán mã độc tống tiền WeaXor.
Điều tra chi tiết
vào tháng 11/2024, công ty an ninh mạng Intrinsec chỉ ra mối liên hệ giữa nahf cung cấp PROSPERO (AS200593) và Proton66 (AS198953) liên kết tới các hội nhóm ngầm dưới cái tên UNDERGROUND và BEARHOST. Rất nhiều chiến dịch mã độc có địa chỉ IP thay đổi qua lại giữa các mạng này. Các nhà nghiên cứu tới từ SpiderLabs còn ghi nhận một số sự chuyển dịch địa chỉ IP từ của Proton66 ASN tới Chang Way Technologies ASN trong các chiến dịch nhằm tấn công các website WordPress.
Từ tháng 1/2025, SpiderLabs ghi nhận một số lượng lớn hành vi rà quét, thực hiện tấn công brute force và cố khai thác các lỗ hổng đến từ Proton66 ASN trên toàn cầu. AS198953 thuộc về Proton66 OOO chứa 5 net block và đang nằm trong danh sách bị chặn như của Spamhaus do có các hành vi khả nghi. 2 net block 45.135.232.0/24 và 45.140.17.0/24 có các hoạt động liên quan tới rà quét và thực hiện brute force.
Liên quan tới chiến dịch mã độc tống tiền Superback, các yêu cầu khả nghi tới từ IP 193.143.1.65 được điều tra bởi SpiderLabs trong tháng 2/2025 cho thấy chúng đang thực hiện khai thác một số lỗ hổng nghiêm trọng gần đây như:
CVE-2025-0108 là lỗ hổng vượt qua xác thực trên giao diện quản lý web của Palo Alto Network.
CVE-2024-41713 là một lỗ hổng trên Mitel MiCollab 9.8 SP1 FP2 (9.8.1.201) cho phép thực hiện tấn công path traversal.
CVE-2024-10914 là một lỗ hổng command injection trên D-Link NAS cho phép kẻ tấn công không xác thực chèn các câu lệnh bằng cách khai thác trong tham số name của câu lệnh cgi_user_add.
Trong một nghiên cứu của Forescout trong tháng 3 vừa qua cũng phát hiện các hành vi tới từ IP 193.143.1.65 cho thấy rằng một chiến dịch tấn công mã độc mới khai thác lỗ hổng trên các thiết bị FortiOS của Fortinet sử dụng CVE-2024-55591 và CVE-2025-24472. Cuộc tấn công khai thác lỗ hổng trên FortiOS dẫn tới sự ra đời của một loại mã độc tống tiền mới tên là SuperBlack, gần giống với LockBit 3.0.
Khuyến nghị
Phía FPT Threat Intelligence đưa ra khuyến nghị:
Theo dõi giám sát các hành vi kết nối bất thường đến từ các IP trong danh sách IOC.
Thường xuyên cập nhật các địa chỉ IP đáng ngờ.
Thường xuyên kiểm tra thông tin các lỗ hổng trên các thiết bị mạng đang có và thực hiện cập nhật vá các lỗ hổng hiện có.
IOC
| Type | Value | Description |
| IP | 45.134.26.38 | Proton66 |
| IP | 45.140.17.21 | Proton66 |
| IP | 45.140.17.98 | Proton66 |
| IP | 45.135.232.108 | Proton66 |
| IP | 45.135.232.171 | Proton66 |
| IP | 45.135.232.174 | Proton66 |
| IP | 45.135.232.103 | Proton66 |
| IP | 45.135.232.24 | Proton66 |
| IP | 45.134.26.80 | Proton66 |
| IP | 45.134.26.81 | Proton66 |
| IP | 45.134.26.104 | Proton66 |
| IP | 45.134.26.124 | Proton66 |
| IP | 45.134.26.199 | Proton66 |
| IP | 45.134.26.8 | Proton66 |
| IP | 91.212.166.65 | Proton66 |
| IP | 91.212.166.62 | Proton66 |
| IP | 91.212.166.60 | Proton66 |
| IP | 91.212.166.27 | Proton66 |
| IP | 193.143.1.78 | Proton66 |
| IP | 193.143.1.33 | Proton66 |
| IP | 193.143.1.64 | Proton66 |
| IP | 193.143.1.65 | Proton66 |
