Các chuyên gia bảo mật đã phát hiện một chiến dịch **tấn công mạng IIS** tinh vi, khai thác các khóa ASP.NET machine key bị lộ công khai để chiếm quyền điều khiển hàng trăm máy chủ Internet Information Services (IIS) trên toàn cầu. Hoạt động này, được phát hiện vào cuối tháng 8 và đầu tháng 9 năm 2025, đã triển khai một module độc hại chưa từng được ghi nhận trước đây, có tên là “HijackServer”, biến các máy chủ web hợp pháp thành công cụ thao túng công cụ tìm kiếm, đồng thời duy trì quyền truy cập backdoor bền vững.

Chiến Dịch Khai Thác ASP.NET Machine Key trên IIS

Cuộc tấn công lợi dụng một điểm yếu nghiêm trọng đã tồn tại trong các hệ thống quản trị web suốt hai thập kỷ. Các nhà nghiên cứu phát hiện rằng các máy chủ bị xâm nhập đã sử dụng các khóa mã hóa mẫu được công bố trong một trang trợ giúp của Microsoft Developer Network từ năm 2003.

Điểm Yếu Kỹ Thuật Lâu Năm

Những “bí mật” này, ban đầu chỉ nhằm mục đích làm ví dụ cấu hình, đã bị vô số quản trị viên sao chép nguyên văn qua nhiều năm và chia sẻ trên các diễn đàn lập trình, bao gồm cả StackOverflow.

Kẻ tấn công đã khai thác các khóa machine key công khai này để thao túng quá trình deserialization của ASP.NET viewstate, đạt được khả năng thực thi mã từ xa trên các máy chủ dễ bị tổn thương.

Microsoft đã cảnh báo về vector tấn công này vào đầu năm 2025, xác định hơn 3.000 khóa machine key bị lộ công khai trong các kho lưu trữ mã nguồn. Vấn đề càng trở nên trầm trọng hơn vào mùa hè năm 2025 khi các lỗ hổng của SharePoint cho phép trích xuất thêm khóa machine key.

Để biết thêm chi tiết về vấn đề khóa machine key, có thể tham khảo nghiên cứu của Harfanglab: Inside The Lab: Rude Panda owns IIS servers like 2003.

Cơ Chế Khai Thác và Chiếm Quyền Điều Khiển

Các tác nhân đe dọa đã triển khai một bộ công cụ toàn diện để tự động hóa các hoạt động của chúng. Quá trình lây nhiễm bắt đầu bằng việc khai thác viewstate, tiếp theo là leo thang đặc quyền bằng cách sử dụng các kỹ thuật **“Potato”** để tạo các tài khoản quản trị viên ẩn.

Kẻ tấn công có thể dễ dàng khai thác quá trình deserialization của ASP.NET viewstate để thực thi mã từ xa nếu chúng biết các bí mật mã hóa liên quan. Đây là một phương pháp **remote code execution** hiệu quả và nguy hiểm.

Các Kỹ Thuật Xâm Nhập và Duy Trì Quyền Truy Cập

Sau khi thiết lập quyền truy cập, kẻ tấn công cài đặt module **HijackServer** cùng với một rootkit tùy chỉnh, được phát triển từ dự án mã nguồn mở **“Hidden”**. Rootkit này có khả năng che giấu các tệp và khóa registry độc hại khỏi sự phát hiện.

Bộ công cụ bao gồm các công cụ triển khai GUI với giao diện tiếng Trung, các script cài đặt tự động và một driver kernel được ký bằng chứng chỉ đã hết hạn nhưng vẫn hoạt động từ “Anneng electronic Co. Ltd.”

Các nhà nghiên cứu đã xác định rằng bộ công cụ này đã được sử dụng từ cuối năm 2024, với các thành phần được tải lên các công cụ quét trực tuyến vào tháng 12 cùng năm.

Module Độc Hại HijackServer và Tác Động

Module độc hại HijackServer hoạt động bằng cách chặn các yêu cầu HTTP và tạo nội dung giả mạo cho các trình thu thập thông tin web của Google.

Khi các công cụ tìm kiếm truy cập các máy chủ bị xâm nhập trong chiến dịch **tấn công mạng IIS** này, HijackServer sẽ phục vụ các trang được tạo động chứa nội dung liên quan đến đầu tư với các liên kết chuyển hướng đến các trang web tiền điện tử đáng ngờ.

Lỗ Hổng Nguy Hiểm trong Chính Module Độc Hại

Kỹ thuật SEO mũ đen (black-hat SEO) này đã thao túng thành công thứ hạng công cụ tìm kiếm, với các trang được tạo xuất hiện trong kết quả tìm kiếm thực tế của Google.

Mặc dù mục đích chính dường như là gian lận SEO để kiếm lợi tài chính, HijackServer chứa một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến tất cả các máy chủ bị xâm nhập.

Module này bao gồm một khả năng thực thi lệnh từ xa không cần xác thực, có thể truy cập thông qua các đường dẫn URL cụ thể. Backdoor này cho phép bất kỳ kẻ tấn công nào phát hiện ra máy chủ bị xâm nhập đều có thể thực thi các lệnh tùy ý mà không cần xác thực, tạo ra một nguồn tài nguyên các hệ thống dễ bị khai thác bởi bất kỳ tác nhân độc hại nào.

Phạm Vi và Nguồn Gốc Chiến Dịch

Các nhà nghiên cứu đã xác định được 171 cài đặt HijackServer riêng biệt, ảnh hưởng đến khoảng 240 địa chỉ IP máy chủ và 280 tên miền trên toàn cầu. Chiến dịch chủ yếu nhắm mục tiêu vào các máy chủ ở châu Á, với lần xâm nhập lâu đời nhất được biết đến vào năm 2024 trên một máy chủ được định vị ở Singapore.

Các nhà điều hành dường như là người nói tiếng Trung dựa trên các dấu hiệu ngôn ngữ trong toàn bộ bộ công cụ, bao gồm tên lệnh, biến cấu hình và tài liệu.

Công ty bảo mật Elastic Security Labs, hợp tác với hai tổ chức khác, đã công bố nghiên cứu đồng thời đề cập đến các module IIS này là **“TOLLBOOTH”**, khẳng định tính chất lan rộng của mối đe dọa này.

Biện Pháp Phòng Ngừa và Phát Hiện Xâm Nhập

Các tổ chức đang vận hành máy chủ IIS cần ngay lập tức kiểm tra cấu hình ASP.NET machine key của mình. Đồng thời, cần xem xét lại các cài đặt module IIS để loại bỏ mọi thành phần độc hại hoặc không cần thiết.

Để chống lại nguy cơ của chiến dịch **tấn công mạng IIS** này, việc triển khai các quy tắc **phát hiện xâm nhập** là cực kỳ quan trọng. Các quy tắc này giúp xác định các chỉ số thỏa hiệp (IoC) liên quan đến chiến dịch, cho phép phản ứng nhanh chóng khi có dấu hiệu bất thường.

Kiểm tra các bản ghi hệ thống, lưu lượng mạng và các thay đổi cấu hình là những bước cần thiết để đảm bảo an toàn cho hệ thống và ngăn chặn các cuộc **tấn công mạng IIS** tương tự trong tương lai.