An ninh mạng

RustDuck: Botnet mới chuyển sang ngôn ngữ Rust để chiếm quyền điều khiển router và server

Các nhà nghiên cứu cảnh báo về RustDuck, một họ malware mới đang lây nhiễm vào các thiết bị IoT và server để thực hiện tấn công DDoS, với điểm nhấn là việc chuyển đổi sang ngôn ngữ Rust và khả năng...

Nguyen Hung
1 Tháng 7, 2026 2 Min Read
1 0

Một họ malware hai giai đoạn mới có tên gọi RustDuck đang nhắm mục tiêu vào các router gia đình, camera IP, Android box và các server có cấu hình bảo mật kém. Mục đích cuối cùng của chiến dịch này là biến các thiết bị bị lây nhiễm thành một mạng lưới botnet phục vụ các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Table Of Content

Phương thức lây nhiễm đa dạng

Theo các nhà nghiên cứu tại XLab của QiAnXin, RustDuck không dựa vào một lỗ hổng duy nhất mà sử dụng kết hợp nhiều phương thức tấn công:

  • Tấn công brute-force: Khai thác các thiết bị để lộ dịch vụ Telnet hoặc SSH với mật khẩu mặc định hoặc yếu.
  • Khai thác lỗ hổng chưa được vá: Malware tấn công vào các giao diện gỡ lỗi Android và các lỗ hổng đã biết trên thiết bị của TVT, Ruijie, TP-Link và ZTE. Đáng chú ý, nó còn khai thác các CVE cũ như CVE-2017-17215 (Huawei HG532), CVE-2025-29635 (D-Link DIR-823X), CVE-2024-1781 (Totolink X6000R) và CVE-2018-8007 (Apache CouchDB).
  • Lỗ hổng phần mềm web: Nhắm vào các điểm yếu trong ThinkPHP, Jenkins và Hadoop YARN.

Khả năng né tránh và kỹ thuật tinh vi

Điểm đáng chú ý nhất của RustDuck là việc chuyển đổi từ ngôn ngữ C sang Rust. Việc sử dụng Rust giúp mã độc khó bị phân tích ngược hơn so với các biến thể malware truyền thống. Ngoài ra, RustDuck còn tích hợp cơ chế tự kiểm tra môi trường thực thi:

  • Phát hiện môi trường phân tích: Malware quét các công cụ như Wireshark, gdb, hoặc các dấu hiệu của máy ảo (VM) và honeypot. Nếu phát hiện đang bị theo dõi, nó sẽ tự xóa dấu vết và ngừng hoạt động.
  • Kiểm tra thời gian: Sử dụng kỹ thuật so sánh đồng hồ hệ thống để phát hiện các sandbox cố tình tăng tốc thời gian nhằm ép malware bộc lộ hành vi.
  • Giao tiếp bảo mật: Sử dụng các thuật toán mã hóa hiện đại như ChaCha20-Poly1305 và AES-GCM, kết hợp với việc xoay vòng khóa mỗi 10 phút để ngụy trang lưu lượng truy cập giống như web thông thường.

Khuyến nghị bảo mật

Vì RustDuck là một loại malware đa hình, không có bản vá đơn lẻ nào để loại bỏ hoàn toàn. Các chuyên gia khuyến cáo người dùng và quản trị viên hệ thống cần thực hiện các biện pháp phòng ngừa:

  • Cách ly quản trị: Tắt các giao diện quản lý từ xa (Telnet, SSH, Android Debug Bridge) khỏi internet công cộng.
  • Cập nhật hoặc thay thế: Vá các lỗ hổng trên phần mềm server. Đối với các thiết bị router đã hết hạn hỗ trợ (end-of-life) hoặc không có bản vá, cách tốt nhất là ngừng sử dụng và thay thế bằng thiết bị mới.
  • Giám sát: Cập nhật các chỉ số IOC (Indicators of Compromise) bao gồm file hash, tên miền điều khiển (C2) và địa chỉ IP nguồn vào hệ thống giám sát an ninh mạng.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept