Tấn công mạng IIS: Nguy hiểm từ mã độc BadIIS chuyên biệt khu vực

Một làn sóng **tấn công mạng** có chủ đích mới đã nhắm vào các máy chủ Internet Information Services (IIS) trên khắp châu Á. Các tác nhân đe dọa đã triển khai mã độc tinh vi được thiết kế để xâm phạm các hệ thống dễ bị tổn thương.

Chiến dịch, hoạt động từ cuối năm **2025** đến đầu năm **2026**, chủ yếu tập trung vào các nạn nhân ở Thái Lan và Việt Nam. Điều này đánh dấu một sự thay đổi chiến lược sang các hoạt động cụ thể theo khu vực.

Tổng quan về Chiến dịch Tấn công mạng IIS

Các kẻ tấn công khai thác các máy chủ IIS chưa được vá lỗi để chèn web shell độc hại, thực thi các script PowerShell và triển khai mã độc BadIIS. Biến thể BadIIS hiện bao gồm các cấu hình khu vực được mã hóa cứng, điều chỉnh cho từng quốc gia cụ thể.

Chiến dịch đe dọa này cho thấy sự chồng chéo trong hoạt động với chiến dịch WEBJACK đã được ghi nhận trước đây. Cả hai đều chia sẻ các chỉ số nhận diện chung như chữ ký mã độc, cơ sở hạ tầng Command and Control (C2) và hồ sơ nạn nhân mục tiêu.

Các nhà phân tích từ Cisco Talos đã xác định chiến dịch này sau khi quan sát hoạt động đáng ngờ trên nhiều triển khai IIS ở Nam và Đông Nam Á. Xem chi tiết báo cáo tại: Cisco Talos Intelligence.

Kỹ thuật Khai thác và Xâm nhập Ban đầu

Các tác nhân đe dọa sử dụng web shell làm điểm tựa ban đầu, cho phép chúng thực thi các lệnh từ xa trên các máy chủ bị xâm phạm. Đây là một phương pháp phổ biến để thiết lập quyền truy cập ban đầu.

Sau khi xâm nhập thành công, chúng triển khai các script PowerShell để tải xuống và thực thi công cụ truy cập từ xa (RAT) **GotoHTTP**. Công cụ này cấp quyền kiểm soát liên tục đối với các hệ thống bị nhiễm. Thông tin thêm về việc lạm dụng PowerShell có thể tìm thấy tại: Cyber Security News.

Chuỗi lây nhiễm đa giai đoạn này cho phép các tác nhân đe dọa duy trì quyền truy cập dài hạn. Đồng thời, chúng tránh được việc bị phát hiện thông qua việc sử dụng các công cụ quản trị hợp pháp của hệ thống.

Sự Phát triển của Mã Độc BadIIS và Tùy biến Khu vực

Các nhà nghiên cứu đã lưu ý rằng các biến thể của **mã độc BadIIS** hiện nhúng trực tiếp mã quốc gia vào mã nguồn của chúng. Điều này tạo ra các phiên bản chuyên biệt cho Việt Nam (được xác định bằng thẻ “VN”) và Thái Lan (được đánh dấu bằng ký hiệu “TH”).

Những biến thể tùy chỉnh này bao gồm các phần mở rộng tệp cụ thể theo khu vực, cấu hình trang động và các mẫu HTML được bản địa hóa. Chúng tạo điều kiện thuận lợi cho gian lận tối ưu hóa công cụ tìm kiếm (SEO fraud) nhắm mục tiêu vào các sở thích ngôn ngữ cụ thể.

Cơ chế Lọc Lưu lượng và Chuyển hướng Độc hại

Sự phát triển của mã độc phản ánh một cách tiếp cận có mục tiêu hơn so với các phiên bản trước. Mỗi biến thể BadIIS lọc lưu lượng truy cập web dựa trên tiêu đề “Accept-Language” để xác minh khu vực của khách truy cập trước khi phân phối payload độc hại.

Khi các trình thu thập thông tin của công cụ tìm kiếm truy cập các trang web bị nhiễm, chúng sẽ được chuyển hướng đến các trang web cờ bạc gian lận. Trong khi đó, người dùng thông thường nhận được JavaScript được chèn, âm thầm chuyển hướng trình duyệt của họ đến các đích đến độc hại khác. Đây là một kỹ thuật lừa đảo tinh vi, tận dụng ưu tiên ngôn ngữ của người dùng để phân phối nội dung độc hại.

Duy trì Quyền Kiểm Soát và Kỹ thuật Chống Phát hiện

Sau khi thiết lập quyền truy cập ban đầu, các tác nhân đe dọa tạo các tài khoản người dùng ẩn để duy trì quyền kiểm soát liên tục trên các máy chủ bị xâm phạm. Việc này cho phép chúng giữ vững vị trí trong hệ thống trong thời gian dài.

Ban đầu, các kẻ tấn công sử dụng một tài khoản có tên “admin$”. Tuy nhiên, chúng đã chuyển sang các tên thay thế như “mysql$”, “admin1$”, “admin2$” và “power$” sau khi các sản phẩm bảo mật bắt đầu phát hiện mẫu đặt tên ban đầu.

Các tài khoản này được gán quyền quản trị và được sử dụng để triển khai các phiên bản cập nhật của **mã độc BadIIS** vào các thư mục cụ thể theo khu vực. Ví dụ:

• Đối với hoạt động nhắm vào Việt Nam: C:/Users/mssql$/Desktop/VN/
• Đối với hoạt động nhắm vào Thái Lan: C:/Users/mssql$/Desktop/newth/

Công cụ Chống Phân tích Pháp y (Anti-Forensic Tools)

Các tác nhân đe dọa cũng triển khai các công cụ chống phân tích pháp y để che giấu hoạt động của chúng. Các công cụ này giúp chúng duy trì quyền truy cập và tránh bị phát hiện trong thời gian dài, gây khó khăn cho các nhà phân tích **an ninh mạng**.

Các công cụ này bao gồm:

• Sharp4RemoveLog: Được sử dụng để xóa các nhật ký sự kiện Windows. Việc này cản trở khả năng điều tra của các chuyên gia an ninh. Thông tin về tầm quan trọng của nhật ký sự kiện Windows: Cyber Security News – Windows Event Logs.
• CnCrypt Protect: Dùng để ẩn các tệp độc hại trên hệ thống.
• OpenArk64: Có khả năng chấm dứt các tiến trình bảo mật ở cấp độ kernel. Điều này giúp vô hiệu hóa các biện pháp phòng thủ của hệ thống.

Chỉ số Nhận diện Tấn công (IOCs)

Để hỗ trợ các nỗ lực phát hiện và ứng phó, dưới đây là các chỉ số nhận diện tấn công được quan sát trong chiến dịch **tấn công mạng** này:

Tên Tài khoản Người dùng Độc hại

admin$mysql$admin1$admin2$power$

Đường dẫn Triển khai Mã độc

C:/Users/mssql$/Desktop/VN/C:/Users/mssql$/Desktop/newth/