UAT-8099 tấn công IIS tại châu Á với biến thể BadIIS nhắm vào Việt Nam

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
125
1.561 bài viết
UAT-8099 tấn công IIS tại châu Á với biến thể BadIIS nhắm vào Việt Nam
WhiteHat Team
Một chiến dịch tấn công có chủ đích mang định danh UAT-8099 đang nhắm tới các máy chủ Internet Information Services (IIS) chưa được vá tại châu Á, với trọng tâm là Việt Nam và Thái Lan. Nhóm tấn công triển khai chuỗi xâm nhập nhiều tầng, kết hợp web shell, PowerShell và các biến thể BadIIS được tùy chỉnh sâu theo từng khu vực địa lý.
uat.png

Theo các nhà phân tích của Cisco Talos, chiến dịch này hoạt động từ cuối năm 2025 đến đầu năm 2026 và cho thấy sự chuyển dịch rõ rệt từ các cuộc tấn công diện rộng sang mô hình tấn công có chọn lọc. Thay vì sử dụng một bộ công cụ chung cho nhiều nạn nhân, nhóm tấn công phát triển các biến thể mã độc và cấu hình riêng cho từng quốc gia mục tiêu.

Chuỗi tấn công bắt đầu bằng việc khai thác các máy chủ IIS Internet-facing tồn tại lỗ hổng hoặc cấu hình yếu. Sau khi giành được quyền ghi file trên hệ thống, kẻ tấn công chèn web shell để thiết lập điểm bám ban đầu, cho phép thực thi lệnh từ xa thông qua các request HTTP được ngụy trang như lưu lượng hợp pháp. Web shell đóng vai trò bàn đạp để triển khai các hoạt động hậu khai thác tiếp theo.

Từ điểm bám này, các script PowerShell được sử dụng để tải xuống và thực thi GotoHTTP, một công cụ truy cập từ xa giao tiếp qua HTTP. Việc lạm dụng PowerShell giúp nhóm tấn công hạn chế việc đưa thêm binary rõ ràng vào hệ thống, đồng thời tận dụng các thành phần hợp pháp của Windows để né tránh phát hiện. GotoHTTP cung cấp khả năng điều khiển từ xa liên tục, cho phép thực thi lệnh và tải thêm payload trong thời gian dài.

Thành phần trung tâm của chiến dịch là BadIIS, một IIS module độc hại đã được cải tiến đáng kể so với các phiên bản trước. Phân tích cho thấy BadIIS không còn mang tính đa năng mà được tùy biến trực tiếp theo từng khu vực. Các biến thể nhắm vào Việt Nam được nhúng cứng mã quốc gia “VN” trong mã nguồn, trong khi các phiên bản triển khai tại Thái Lan sử dụng định danh “TH”.

Mỗi biến thể đi kèm cấu hình riêng về danh sách phần mở rộng tập tin, thư mục triển khai và các mẫu HTML được bản địa hóa. Với các mục tiêu tại Việt Nam, BadIIS thường được triển khai trong các thư mục chuyên biệt như “C:/Users/mssql$/Desktop/VN/”, phản ánh cách nhóm tấn công phân tách và quản lý chiến dịch theo vùng địa lý ngay từ cấu trúc hệ thống.
1769830132653.png

Biến thể BadIIS IISHijack được ghi nhận (Nguồn: Cisco Talos)


Ở cấp độ xử lý lưu lượng, BadIIS can thiệp trực tiếp vào luồng xử lý request của IIS. Mã độc kiểm tra header “Accept-Language” để xác định ngôn ngữ và khu vực của người truy cập trước khi quyết định hành vi tiếp theo. Khi các bot của công cụ tìm kiếm truy cập website bị nhiễm, chúng bị chuyển hướng tới các trang cờ bạc hoặc nội dung gian lận nhằm phục vụ các chiến dịch thao túng kết quả tìm kiếm. Ngược lại, với người dùng thông thường, BadIIS chèn mã JavaScript vào phản hồi HTTP để âm thầm chuyển hướng trình duyệt tới các đích độc hại khác, qua đó vừa duy trì lưu lượng truy cập vừa che giấu hoạt động trong thời gian dài.​

1769830474900.png

Nội dung trả về cho trình thu thập dữ liệu (Nguồn: Cisco Talos)

Song song với việc triển khai BadIIS, nhóm tấn công thiết lập cơ chế duy trì hiện diện ở mức hệ điều hành bằng cách tạo các tài khoản người dùng ẩn với quyền quản trị. Ban đầu, tài khoản có tên “admin$” được sử dụng, nhưng sau khi các sản phẩm bảo mật bắt đầu nhận diện được mô hình đặt tên này, nhóm đã chuyển sang các tên khác như “mysql$”, “admin1$”, “admin2$” và “power$” để né tránh phát hiện. Những tài khoản này được sử dụng để triển khai và cập nhật các biến thể BadIIS theo từng khu vực, bảo đảm quyền kiểm soát lâu dài đối với các máy chủ IIS bị xâm nhập.
1769828676352.png



Danh sách phần mở rộng phục vụ lọc request (Nguồn: Cisco Talos)
Để che giấu hoạt động, nhóm UAT-8099 triển khai hàng loạt công cụ chống điều tra. Sharp4RemoveLog được sử dụng để xóa nhật ký sự kiện Windows, CnCrypt Protect giúp che giấu file và payload độc hại, trong khi OpenArk64 có khả năng chấm dứt tiến trình của các phần mềm bảo mật ở cấp độ kernel. Sự kết hợp này cho phép chiến dịch duy trì hoạt động âm thầm trong thời gian dài mà không để lại nhiều dấu vết rõ ràng trên hệ thống.
Việc BadIIS được tùy biến riêng cho Việt Nam cho thấy các máy chủ IIS trong nước đang là mục tiêu cụ thể, không còn chỉ là nạn nhân ngẫu nhiên trong các chiến dịch diện rộng. Với mức độ đầu tư vào tùy biến mã độc, UAT-8099 phản ánh xu hướng tấn công ngày càng chọn lọc, nơi yếu tố khu vực, ngôn ngữ và hành vi truy cập được khai thác triệt để.

Đối với các tổ chức vận hành IIS Internet-facing, đặc biệt là các hệ thống chưa được vá đầy đủ, chiến dịch này là lời cảnh báo rõ ràng về rủi ro từ những mối đe dọa âm thầm nhưng có chiều sâu kỹ thuật ngày càng cao.

Theo Cyber Security News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • 3 lỗ hổng nghiêm trọng trong 1 tháng: SmarterMail soán ngôi “điểm nóng” tấn công mạng
  • Kỷ lục mới của DDoS: Botnet Aisuru tạo đỉnh tấn công 31,4 Tbps, vượt xa mọi tiền lệ
  • Lộ thư mục mở, framework BYOB để lộ hạ tầng tấn công đa nền tảng
  • Chiến dịch phát tán PureRAT qua bẫy tuyển dụng có nhiều dấu vết liên quan tới Việt Nam
  • GitHub Desktop thành mồi nhử trong chiến dịch phát tán mã độc tinh vi
  • Tin tặc khai thác SharePoint để thực hiện tấn công AiTM trên diện rộng
    • Thẻ
    antiforensics badiis kernellevel uat-8099 vietnamtargeted windowsserver
    Bên trên