Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch tấn công mạng tinh vi. Trong chiến dịch này, các nhóm đe dọa có liên hệ với Trung Quốc đã khai thác các ứng dụng web bằng một kỹ thuật log poisoning sáng tạo. Mục tiêu là triển khai web shell và sau đó vũ khí hóa Nezha, một công cụ giám sát máy chủ hợp pháp, để thực thi lệnh độc hại.

Chiến dịch này minh họa rõ ràng về một mối đe dọa mạng đang phát triển. Kẻ tấn công sử dụng các phương pháp khó phát hiện để duy trì sự hiện diện lâu dài trên hệ thống mục tiêu. Đây là một cảnh báo nghiêm trọng về việc cần tăng cường phòng thủ.

Phân tích chiến dịch tấn công và kỹ thuật Log Poisoning

Khởi đầu xâm nhập: Khai thác lỗ hổng web phpMyAdmin

Bắt đầu từ tháng 8 năm 2025, công ty an ninh mạng Huntress đã xác định một vụ xâm nhập. Kẻ tấn công đã sử dụng kỹ thuật log poisoning để cài đặt một web shell China Chopper trên các máy chủ web dễ bị tổn thương.

Chuỗi tấn công bắt đầu bằng việc khai thác các bảng điều khiển phpMyAdmin dễ bị tấn công, thiếu cơ chế xác thực phù hợp. Đây là điểm vào ban đầu để kẻ tấn công truy cập vào hệ thống.

Sau khi truy cập các giao diện quản trị này, kẻ tấn công ngay lập tức đặt ngôn ngữ sang tiếng Trung giản thể. Điều này cung cấp một chỉ báo quan trọng về nguồn gốc của nhóm tấn công.

Chỉ trong vòng 30 giây sau khi cấu hình ngôn ngữ, kẻ tấn công tiến hành thực thi các lệnh SQL. Các lệnh này được thiết kế để kích hoạt tính năng ghi nhật ký truy vấn chung (general query logging) và triển khai tải trọng web shell của chúng.

Log Poisoning: Phương pháp ẩn giấu Web Shell tinh vi

Kỹ thuật log poisoning là một cách tiếp cận sáng tạo để giành quyền truy cập ban đầu. Nó cho phép các nhóm đe dọa kiểm soát các hệ thống bị xâm phạm. Chúng sử dụng AntSword trước khi triển khai Nezha để thực thi lệnh liên tục.

Cụ thể, kỹ thuật log poisoning liên quan đến việc thao túng chức năng ghi nhật ký chung của MariaDB. Mục đích là ghi trực tiếp mã PHP độc hại vào các tệp nhật ký với phần mở rộng có thể thực thi.

Bằng cách đặt tên tệp nhật ký có phần mở rộng .php và đặt nó vào cấu trúc thư mục có thể truy cập của máy chủ web, kẻ tấn công đã che giấu hiệu quả web shell của mình. Web shell nằm trong số các mục nhật ký hợp pháp, đồng thời duy trì khả năng truy cập từ xa.

Triển khai Web Shell và Công cụ AntSword

Việc triển khai web shell là bước quan trọng. Nó cho phép kẻ tấn công thiết lập một kênh giao tiếp bí mật với máy chủ bị xâm nhập. Từ đó, chúng có thể thực hiện các lệnh tùy ý.

Công cụ AntSword được sử dụng để điều khiển web shell này. Nó cung cấp một giao diện thuận tiện cho kẻ tấn công để quản lý các hệ thống đã bị chiếm quyền điều khiển. Sau khi web shell được cài đặt thành công, kẻ tấn công tiếp tục giai đoạn tiếp theo của chiến dịch.

Lạm dụng công cụ Nezha để duy trì kiểm soát

Nezha: Từ công cụ giám sát hợp pháp đến vũ khí tấn công

Sau khi triển khai web shell thành công, các nhóm đe dọa tải xuống và cài đặt các tác nhân Nezha trên các hệ thống bị xâm phạm. Nezha được quảng cáo là một công cụ giám sát máy chủ và quản lý tác vụ mã nguồn mở, nhẹ.

Nó cung cấp các chức năng hợp pháp cho quản trị hệ thống. Tuy nhiên, nó đã bị các nhóm đe dọa tái sử dụng cho mục đích thực thi lệnh độc hại và duy trì quyền truy cập dai dẳng. Việc lạm dụng các công cụ hợp pháp là một đặc điểm của chiến dịch này, giúp chúng tránh bị phát hiện xâm nhập.

Phạm vi ảnh hưởng và dấu hiệu nhận biết kẻ tấn công

Phân tích cho thấy rằng kẻ tấn công đã cấu hình bảng điều khiển Nezha của chúng trong cài đặt ngôn ngữ tiếng Nga. Từ đó, chúng quản lý hơn 100 máy bị xâm phạm trên nhiều khu vực địa lý. Đài Loan, Nhật Bản, Hàn Quốc và Hồng Kông là những khu vực có số lượng hệ thống bị ảnh hưởng cao nhất. Thông tin chi tiết hơn có thể tìm thấy tại bài viết của Huntress.

Điều tra cơ sở hạ tầng của nhóm đe dọa đã tiết lộ các đăng ký hệ thống tự trị đáng ngờ và các thuật toán tạo tên miền (DGA). Những dấu hiệu này nhất quán với các hoạt động của nhóm đe dọa liên tục nâng cao (APT).

Kẻ tấn công đã sử dụng cơ sở hạ tầng dựa trên đám mây trải rộng nhiều nhà cung cấp. Bao gồm các địa chỉ IP được lưu trữ trên AWS ở Hồng Kông và các máy chủ riêng ảo (VPS) ở Dublin. Điều này thể hiện các thực tiễn bảo mật hoạt động tinh vi.

Chiến dịch này chứng minh cách các nhóm đe dọa ngày càng lạm dụng các công cụ có sẵn công khai. Mục đích là để đạt được mục tiêu của chúng trong khi vẫn duy trì khả năng phủ nhận hợp lý so với việc phát triển phần mềm độc hại tùy chỉnh. Kỹ thuật log poisoning góp phần vào sự tinh vi này.

Chi phí nghiên cứu thấp, xác suất phát hiện giảm và vẻ ngoài của công cụ hợp pháp làm cho phương pháp này đặc biệt hấp dẫn cho các hoạt động duy trì.

Chỉ số tấn công (IOCs) và Đối sách phòng ngừa

Các chỉ số tấn công (IOCs)

Dựa trên phân tích, các chỉ số tấn công (IOCs) liên quan đến chiến dịch này bao gồm:

• Web shell: China Chopper
• Công cụ điều khiển web shell: AntSword
• Công cụ quản lý backdoor: Tác nhân Nezha
• Kỹ thuật:Kỹ thuật log poisoning MariaDB để tạo tệp PHP thực thi (.php) trong thư mục web dễ truy cập.
• Vulnerabilities: Các bảng điều khiển phpMyAdmin thiếu cơ chế xác thực.
• Dấu hiệu hành vi:
• Thay đổi ngôn ngữ phpMyAdmin sang tiếng Trung giản thể.
• Cấu hình bảng điều khiển Nezha với ngôn ngữ tiếng Nga.
• Thực hiện lệnh SQL để kích hoạt ghi nhật ký truy vấn chung.
• Cơ sở hạ tầng liên quan:
• Địa chỉ IP lưu trữ trên AWS ở Hồng Kông.
• Các máy chủ riêng ảo (VPS) ở Dublin.
• Đăng ký hệ thống tự trị đáng ngờ.
• Sử dụng thuật toán tạo tên miền (DGA).

Khuyến nghị bảo mật và phòng chống

Để bảo vệ hệ thống khỏi các cuộc tấn công tương tự, các tổ chức nên xem xét triển khai:

• Cập nhật bản vá thường xuyên cho tất cả ứng dụng web, đặc biệt là các bảng điều khiển quản trị như phpMyAdmin.
• Thực hiện xác thực mạnh mẽ (ví dụ: MFA) cho tất cả các giao diện quản trị.
• Áp dụng phân đoạn mạng để hạn chế sự lây lan của các cuộc tấn công.
• Triển khai các giải pháp giám sát có khả năng phát hiện các mẫu sử dụng công cụ quản trị đáng ngờ. Điều này bao gồm việc giám sát các tệp nhật ký để tìm dấu hiệu của kỹ thuật log poisoning hoặc các đoạn mã độc hại.
• Giám sát lưu lượng mạng và nhật ký hệ thống để phát hiện xâm nhập sớm. Đặc biệt chú ý đến việc tải xuống và cài đặt các tác nhân không xác định hoặc bất thường.