BADIIS: Hiểm họa chiến dịch tấn công mạng IIS toàn cầu

Một chiến dịch tấn công mạng tinh vi đã xâm nhập vào hơn 1.800 máy chủ Windows trên toàn cầu. Chiến dịch này sử dụng một loại mã độc mạnh mẽ được biết đến với tên gọi BADIIS.

Hoạt động này nhắm mục tiêu vào các môi trường Internet Information Services (IIS), biến cơ sở hạ tầng hợp pháp thành một mạng lưới khổng lồ để thực hiện SEO poisoning.

Quy mô và Mục tiêu của Chiến dịch Tấn công

Bằng cách chiếm đoạt các máy chủ này, những kẻ tấn công thao túng kết quả tìm kiếm để quảng bá các nền tảng cờ bạc bất hợp pháp và các trang web tiền điện tử gian lận. Điều này giúp chúng kiếm tiền từ các hệ thống bị xâm nhập, đồng thời lẩn tránh các biện pháp phòng thủ an ninh truyền thống.

Các phương thức tấn công mạng được sử dụng trong chiến dịch này đặc biệt đáng lo ngại. Chúng có khả năng ảnh hưởng đến nhiều lĩnh vực quan trọng, bao gồm các cơ quan chính phủ, tổ chức giáo dục và tổ chức tài chính trên nhiều quốc gia.

Các nhà phân tích từ Elastic Security Labs đã xác định mã độc BADIIS sau khi quan sát các hành vi hậu xâm nhập khác biệt. Phát hiện này diễn ra trong quá trình điều tra pháp y một tổ chức đa quốc gia.

Nghiên cứu của họ liên kết hoạt động này với một nhóm tác nhân đe dọa được theo dõi là UAT-8099. Nhóm này được đánh giá cao về mức độ bảo mật hoạt động của chiến dịch.

Các nhà phân tích phát hiện rằng mã độc đã được triển khai trên nhiều ngành công nghiệp khác nhau. Một số lượng đáng kể nạn nhân tập trung ở khu vực Châu Á – Thái Bình Dương. Điều này cho thấy một nỗ lực chiến lược nhằm khai thác các khu vực có mô hình sử dụng internet đặc thù.

Mã độc BADIIS: Cơ chế Hoạt động và Khả năng Lẩn tránh

Sự tinh vi của mã độc BADIIS nằm ở việc triển khai nó như một module IIS độc hại gốc. Điều này cho phép mã độc duy trì sự hiện diện (persistence) và lẩn tránh phát hiện với hiệu quả đáng kể.

Không giống như các mã độc hoạt động dưới dạng các tiến trình riêng biệt, BADIIS tải trực tiếp vào tiến trình worker của IIS. Điều này khiến việc phân biệt nó với các hoạt động máy chủ hợp pháp trở nên khó khăn.

Một khi được cài đặt, mã độc sử dụng cơ chế lọc “context-aware” để xác định cách xử lý lưu lượng truy cập đến. Nó kiểm tra các tiêu đề HTTP của mọi yêu cầu, đặc biệt tìm kiếm các chuỗi User-Agent liên quan đến các trình thu thập thông tin của công cụ tìm kiếm, như Googlebot.

Kỹ thuật Chia Lượt Xem (Split-View)

Khi một trình thu thập thông tin được phát hiện, BADIIS sẽ tiêm các từ khóa SEO và liên kết vào phản hồi của máy chủ, tăng thứ hạng cho các trang web độc hại.

Ngược lại, nếu một quản trị viên hệ thống hoặc người dùng thông thường truy cập trang web, mã độc sẽ phục vụ nội dung gốc, sạch sẽ. Kỹ thuật chia lượt xem này đảm bảo rằng sự xâm nhập mạng vẫn vô hình đối với người dùng thông thường, trong khi tích cực gây nhiễm độc kết quả tìm kiếm. Điều này khiến cho việc phát hiện và phản ứng (EDR) gặp nhiều thách thức.

Hơn nữa, việc sử dụng các cuộc gọi hệ thống trực tiếp giúp mã độc bỏ qua các hook EDR, đảm bảo sự hiện diện của nó trên máy của nạn nhân.

Bạn có thể tìm hiểu thêm về phân tích chi tiết của Elastic Security Labs tại: Elastic Security Labs: BADIIS to the Bone.

Biện pháp Phát hiện và Phòng ngừa Nâng cao An ninh Mạng

Để phát hiện các lây nhiễm tiềm ẩn, các tổ chức phải thường xuyên kiểm tra các module IIS đã cài đặt để tìm các thành phần không có chữ ký hoặc không được nhận diện.

Việc giám sát các kết nối mạng bất ngờ được khởi tạo bởi tiến trình worker của IIS cũng rất cần thiết. Đồng thời, đảm bảo tất cả các máy chủ Windows Servers được vá lỗi chống lại các lỗ hổng đã biết để ngăn chặn các cuộc tấn công mạng trong tương lai.

Cập nhật bản vá bảo mật định kỳ là một trong những hành động quan trọng nhất để bảo vệ hệ thống trước các mối đe dọa. Việc thực hiện các biện pháp an ninh mạng chủ động này giúp giảm thiểu rủi ro và tăng cường khả năng phòng thủ tổng thể.