Mối đe dọa mạng nghiêm trọng: Nezha biến thành RAT nguy hiểm

Các nhà nghiên cứu tại Trung tâm Phòng thủ Mạng (Cyber Defense Center) của Ontinue đã phát hiện một mối đe dọa mạng đáng kể: những kẻ tấn công đang lợi dụng Nezha, một công cụ giám sát máy chủ mã nguồn mở hợp pháp, để truy cập sau khai thác (post-exploitation access). Phát hiện này cho thấy cách các tác nhân đe dọa tinh vi tái sử dụng phần mềm lành tính để chiếm toàn quyền kiểm soát các hệ thống bị xâm nhập, đồng thời lẩn tránh các cơ chế phát hiện bảo mật truyền thống.

Nezha: Công Cụ Giám Sát Hợp Pháp Bị Lạm Dụng

Nezha, ban đầu được phát triển cho cộng đồng IT Trung Quốc, là một công cụ mã nguồn mở hữu ích. Dự án này đã nhận được gần 10.000 ngôi sao trên GitHub và được các quản trị viên hợp pháp sử dụng để giám sát nhiều máy chủ, theo dõi mức sử dụng tài nguyên và thực hiện bảo trì từ xa.

Kiến trúc của Nezha bao gồm một máy chủ bảng điều khiển trung tâm (central dashboard server) điều phối các tác nhân nhẹ (lightweight agents) được triển khai trên các hệ thống được giám sát. Điều này cho phép quan sát tình trạng hệ thống, thực thi lệnh, truyền tệp và các phiên terminal tương tác – những yếu tố cốt lõi trong bất kỳ hoạt động xâm nhập mạng nào.

Tuy nhiên, chính những khả năng mạnh mẽ này đã biến Nezha thành mục tiêu hấp dẫn cho các tác nhân độc hại tìm kiếm quyền truy cập từ xa mà không bị phát hiện. Đây là một ví dụ điển hình về cách các công cụ hợp pháp có thể trở thành mối đe dọa mạng nghiêm trọng khi bị lạm dụng.

Cơ chế Khai thác Sau Xâm nhập (Post-Exploitation)

Các nhà phân tích và nghiên cứu của Ontinue đã xác định việc vũ khí hóa phần mềm này trong quá trình điều tra sự cố sau khai thác. Kịch bản triển khai bash đã tiết lộ chi tiết hạ tầng của kẻ tấn công, bao gồm địa chỉ máy chủ chỉ huy và kiểm soát (C2), mã thông báo xác thực và cấu hình TLS bị vô hiệu hóa.

Kịch bản này chứa các thông báo trạng thái bằng tiếng Trung Quốc, cho thấy một người bản địa đã viết nó. Điều đáng chú ý là các tác nhân đe dọa đã xâm phạm hàng trăm điểm cuối (endpoints) bằng kỹ thuật này, cho thấy quy mô của mối đe dọa mạng hiện hữu.

Phương pháp tiếp cận của kẻ tấn công thể hiện kỹ năng tác nghiệp tinh vi. Kịch bản bash bao gồm các tham số cấu hình trỏ đến máy chủ C2 được lưu trữ trên dịch vụ Alibaba Cloud, với địa chỉ IP là 47.79.42.91.

#!/bin/bash# Install Nezha Agent# ... (relevant parts of the script would be here if available, simplified for example)# Set C2 server address and portNEZHA_SERVER="47.79.42.91:8008" # Example: server and portNEZHA_KEY="your_auth_token_here" # Example: authentication token# ... (installation commands)

Việc cài đặt diễn ra âm thầm trên các hệ thống mục tiêu. Hệ thống chỉ kích hoạt cảnh báo khi kẻ tấn công thực thi lệnh thông qua tác nhân. Các nhà nghiên cứu của Ontinue đã truy cập vào bảng điều khiển của tác nhân đe dọa trong môi trường sandbox, qua đó khám phá toàn bộ phạm vi hạ tầng bị xâm phạm.

Để tìm hiểu thêm về nghiên cứu gốc, bạn có thể tham khảo báo cáo của Ontinue: Nezha: The Monitoring Tool That’s Also a Perfect RAT.

Quyền Hạn Cao Cấp và Khả năng Lẩn tránh Phát hiện trong Xâm Nhập Mạng

Điều khiến Nezha trở nên đặc biệt nguy hiểm khi bị lạm dụng là tác nhân này chạy với đặc quyền SYSTEM trên Windows và quyền root trên Linux. Điều này là do tác nhân yêu cầu quyền hạn cao để đọc các chỉ số hệ thống và quản lý các tiến trình.

Khi kẻ tấn công yêu cầu các phiên terminal, ngữ cảnh tiến trình kế thừa đảm bảo quyền truy cập shell hoạt động với đầy đủ khả năng quản trị. Điều này loại bỏ mọi yêu cầu leo thang đặc quyền mà đáng lẽ có thể cảnh báo các nhà phòng thủ, góp phần vào sự khó khăn trong việc phát hiện xâm nhập.

Các chuyên gia bảo mật cần đặc biệt lưu ý đến đặc điểm này khi đánh giá rủi ro từ việc sử dụng các công cụ hợp pháp. Sự thiếu hụt các dấu hiệu leo thang đặc quyền làm cho việc phát hiện xâm nhập trở nên thách thức hơn.

Bởi vì Nezha là phần mềm hợp pháp, nhị phân của nó đạt không phát hiện (zero detections) trên 72 nhà cung cấp bảo mật trên VirusTotal. Điều này xảy ra khi nhị phân thực tế không chứa mã độc hại, mà chỉ đơn thuần là các điểm cuối C2 bị cấu hình sai trỏ đến hạ tầng của kẻ tấn công.

Khả năng quản lý tệp, thực thi lệnh và các phiên terminal tương tác cung cấp quyền kiểm soát hoàn toàn sau khi thỏa hiệp, mà không yêu cầu các công cụ bổ sung hoặc phát triển payload tùy chỉnh. Đây là một mối đe dọa mạng tiềm ẩn lớn cho bất kỳ tổ chức nào sử dụng Nezha.

Bạn có thể tham khảo dự án Nezha trên GitHub để hiểu rõ hơn về tính năng và cấu trúc của nó: https://github.com/naiba/nezha.

Chỉ số Thỏa hiệp (IOCs)

Để hỗ trợ các nỗ lực phát hiện xâm nhập và phòng thủ, các tổ chức nên chú ý đến các chỉ số thỏa hiệp sau đây liên quan đến hạ tầng C2 của kẻ tấn công:

• Địa chỉ IP C2: 47.79.42.91
• Dịch vụ lưu trữ: Alibaba Cloud
• Hành vi: Cấu hình sai các tham số kết nối tác nhân Nezha đến C2 độc hại, thực thi lệnh âm thầm.

Biện pháp Phòng ngừa và Phát hiện Mối Đe Dọa Mạng

Các tổ chức nên ngay lập tức thực hiện việc săn lùng (hunt) sự hiện diện của Nezha trên các hệ thống của mình. Điều này bao gồm kiểm tra các tiến trình đang chạy, các tệp cài đặt và các kết nối mạng ra bên ngoài không mong muốn.

Việc triển khai giám sát hành vi (behavioral monitoring) là cần thiết để xác định các hoạt động terminal đáng ngờ và các thao tác tệp chỉ ra sự thỏa hiệp. Các hành vi bất thường, đặc biệt là khi liên quan đến một công cụ hợp pháp, có thể là dấu hiệu của một mối đe dọa mạng đang diễn ra.

Để tăng cường khả năng phát hiện xâm nhập, hãy xem xét các quy tắc SIEM hoặc EDR phát hiện:

• Các kết nối mạng từ tác nhân Nezha đến các địa chỉ IP không xác định hoặc nằm ngoài danh sách trắng.
• Thực thi lệnh shell hoặc các tệp script lạ thông qua tiến trình Nezha.
• Thay đổi cấu hình hệ thống hoặc quyền truy cập tệp bởi tiến trình Nezha mà không có lý do chính đáng.

Việc chủ động tìm kiếm và giám sát các dấu hiệu này sẽ giúp các đội an ninh mạng sớm nhận diện và ứng phó với các chiến thuật xâm nhập mạng tinh vi đang lợi dụng các công cụ hợp pháp.