Nguyễn Tiến Đạt
Intern Writer
Một nhóm tội phạm mạng chưa từng được biết đến đã nhắm mục tiêu vào các cơ quan chính phủ và quân đội tại Đông Nam Á, đồng thời tấn công một số nhà cung cấp dịch vụ quản lý (MSP) và nhà cung cấp dịch vụ lưu trữ tại Philippines, Lào, Canada, Nam Phi và Mỹ thông qua một lỗ hổng mới trong cPanel.
Chiến dịch này được phát hiện bởi Ctrl-Alt-Intel vào ngày 2/5/2026, liên quan đến lỗ hổng CVE-2026-41940. Đây là một lỗi nghiêm trọng trong cPanel và WebHost Manager (WHM), cho phép kẻ tấn công bỏ qua cơ chế xác thực và chiếm quyền truy cập cao hơn vào bảng điều khiển từ xa.
Các cuộc tấn công được ghi nhận xuất phát từ địa chỉ IP “95.111.250[.]175”, chủ yếu nhắm vào các tên miền chính phủ và quân đội tại Philippines (*.mil.ph, .ph) và Lào (.gov.la), cùng với các MSP và nhà cung cấp hosting. Đáng chú ý, hacker sử dụng các mã khai thác mẫu (PoC) đã được công khai.
Ngoài ra, trước khi khai thác cPanel, nhóm này còn triển khai một chuỗi tấn công riêng nhắm vào một cổng đào tạo quốc phòng tại Indonesia. Chuỗi này kết hợp giữa SQL injection có xác thực và thực thi mã từ xa (RCE). Trong trường hợp này, kẻ tấn công được cho là đã có sẵn thông tin đăng nhập hợp lệ.
Đoạn mã khai thác cho thấy hacker sử dụng thông tin đăng nhập được mã hóa sẵn và vô hiệu hóa CAPTCHA bằng cách đọc giá trị từ cookie phiên do máy chủ cấp. Sau khi vượt qua xác thực, chúng lợi dụng chức năng quản lý tài liệu, chèn mã SQL vào trường tên tài liệu khi gửi yêu cầu lưu dữ liệu.
Nhóm tấn công còn thiết lập cơ chế duy trì kết nối thông qua systemd, sau đó khai thác quyền truy cập để xâm nhập sâu hơn và đánh cắp dữ liệu, bao gồm tài liệu liên quan đến ngành đường sắt Trung Quốc.
Hiện chưa xác định được danh tính đứng sau chiến dịch này. Tuy nhiên, diễn biến này xảy ra ngay sau khi Censys phát hiện lỗ hổng cPanel bị nhiều bên khai thác chỉ trong vòng 24 giờ kể từ khi công bố. Các hoạt động bao gồm triển khai biến thể botnet Mirai và một loại ransomware có tên Sorry.
Theo dữ liệu từ Shadowserver Foundation, ít nhất 44.000 địa chỉ IP đã tham gia vào các hoạt động quét và tấn công vét cạn mật khẩu vào ngày 30/4/2026. Đến ngày 3/5, con số này giảm xuống còn 3.540 nhưng vẫn cho thấy quy mô đáng lo ngại.
Trong bối cảnh đó, cPanel đã phát hành phiên bản cập nhật của công cụ phát hiện nhằm giảm cảnh báo sai. Người dùng được khuyến nghị cập nhật bản vá càng sớm càng tốt và kiểm tra hệ thống để phát hiện dấu hiệu xâm nhập.
Chiến dịch này được phát hiện bởi Ctrl-Alt-Intel vào ngày 2/5/2026, liên quan đến lỗ hổng CVE-2026-41940. Đây là một lỗi nghiêm trọng trong cPanel và WebHost Manager (WHM), cho phép kẻ tấn công bỏ qua cơ chế xác thực và chiếm quyền truy cập cao hơn vào bảng điều khiển từ xa.
Các cuộc tấn công được ghi nhận xuất phát từ địa chỉ IP “95.111.250[.]175”, chủ yếu nhắm vào các tên miền chính phủ và quân đội tại Philippines (*.mil.ph, .ph) và Lào (.gov.la), cùng với các MSP và nhà cung cấp hosting. Đáng chú ý, hacker sử dụng các mã khai thác mẫu (PoC) đã được công khai.
Ngoài ra, trước khi khai thác cPanel, nhóm này còn triển khai một chuỗi tấn công riêng nhắm vào một cổng đào tạo quốc phòng tại Indonesia. Chuỗi này kết hợp giữa SQL injection có xác thực và thực thi mã từ xa (RCE). Trong trường hợp này, kẻ tấn công được cho là đã có sẵn thông tin đăng nhập hợp lệ.
Đoạn mã khai thác cho thấy hacker sử dụng thông tin đăng nhập được mã hóa sẵn và vô hiệu hóa CAPTCHA bằng cách đọc giá trị từ cookie phiên do máy chủ cấp. Sau khi vượt qua xác thực, chúng lợi dụng chức năng quản lý tài liệu, chèn mã SQL vào trường tên tài liệu khi gửi yêu cầu lưu dữ liệu.
Công cụ tấn công và mức độ lan rộng
Phân tích cho thấy hacker sử dụng framework điều khiển AdaptixC2 để kiểm soát các hệ thống bị xâm nhập. Đồng thời, chúng triển khai OpenVPN và Ligolo nhằm duy trì truy cập lâu dài và di chuyển داخل mạng nội bộ của nạn nhân.Nhóm tấn công còn thiết lập cơ chế duy trì kết nối thông qua systemd, sau đó khai thác quyền truy cập để xâm nhập sâu hơn và đánh cắp dữ liệu, bao gồm tài liệu liên quan đến ngành đường sắt Trung Quốc.
Hiện chưa xác định được danh tính đứng sau chiến dịch này. Tuy nhiên, diễn biến này xảy ra ngay sau khi Censys phát hiện lỗ hổng cPanel bị nhiều bên khai thác chỉ trong vòng 24 giờ kể từ khi công bố. Các hoạt động bao gồm triển khai biến thể botnet Mirai và một loại ransomware có tên Sorry.
Theo dữ liệu từ Shadowserver Foundation, ít nhất 44.000 địa chỉ IP đã tham gia vào các hoạt động quét và tấn công vét cạn mật khẩu vào ngày 30/4/2026. Đến ngày 3/5, con số này giảm xuống còn 3.540 nhưng vẫn cho thấy quy mô đáng lo ngại.
Trong bối cảnh đó, cPanel đã phát hành phiên bản cập nhật của công cụ phát hiện nhằm giảm cảnh báo sai. Người dùng được khuyến nghị cập nhật bản vá càng sớm càng tốt và kiểm tra hệ thống để phát hiện dấu hiệu xâm nhập.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
