Nguyễn Tiến Đạt
Intern Writer
Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về một chiến dịch chiếm đoạt lưu lượng truy cập web đang hoạt động, nhắm vào các máy chủ sử dụng NGINX và các bảng điều khiển quản lý như Baota (BT Panel). Mục tiêu của chiến dịch là chuyển hướng lưu lượng truy cập hợp pháp qua cơ sở hạ tầng do kẻ tấn công kiểm soát.
Theo Phòng thí nghiệm bảo mật Datadog, các tác nhân đe dọa có liên quan đến việc khai thác lỗ hổng React2Shell (CVE-2025-55182, điểm CVSS 10.0) đang sử dụng các cấu hình NGINX độc hại để thực hiện hành vi chiếm quyền điều hướng.
Nhà nghiên cứu bảo mật Ryan Simon cho biết, cấu hình này có khả năng chặn lưu lượng truy cập hợp pháp giữa người dùng và website, sau đó chuyển tiếp các yêu cầu thông qua các máy chủ trung gian do kẻ tấn công kiểm soát. Chiến dịch đặc biệt nhắm đến các tên miền cấp cao nhất tại châu Á như .in, .id, .pe, .bd, .th, cơ sở hạ tầng lưu trữ sử dụng Baota Panel tại Trung Quốc, cùng các tên miền thuộc khối chính phủ và giáo dục như .gov và .edu.
Những tập lệnh này là một phần của bộ công cụ nhiều giai đoạn, được thiết kế để duy trì sự hiện diện lâu dài và tự động tạo các tệp cấu hình NGINX chứa chỉ thị chuyển hướng. Bộ công cụ bao gồm:
zx.sh: đóng vai trò điều phối, thực thi các giai đoạn tiếp theo bằng các tiện ích hợp pháp như curl hoặc wget. Nếu các công cụ này bị chặn, tập lệnh sẽ thiết lập kết nối TCP thô để gửi yêu cầu HTTP.
Thông tin này xuất hiện sau khi GreyNoise công bố rằng hai địa chỉ IP 193.142.147[.]209 và 87.121.84[.]24 chiếm 56% tổng số nỗ lực khai thác React2Shell được ghi nhận trong vòng hai tháng sau khi lỗ hổng được công khai. Từ ngày 26 tháng 1 đến ngày 2 tháng 2 năm 2026, có tổng cộng 1.083 địa chỉ IP nguồn duy nhất tham gia khai thác lỗ hổng này.
GreyNoise cũng cho biết các nguồn tấn công triển khai những payload hậu khai thác khác nhau. Một nguồn tải về các tệp nhị phân phục vụ khai thác tiền điện tử từ máy chủ trung gian, trong khi nguồn còn lại mở shell ngược trực tiếp đến IP của hệ thống quét. Điều này cho thấy kẻ tấn công ưu tiên truy cập tương tác, thay vì chỉ khai thác tài nguyên tự động.
Song song đó, các nhà nghiên cứu còn phát hiện một chiến dịch trinh sát phối hợp nhắm vào Citrix ADC Gateway và Netscaler Gateway. Chiến dịch này sử dụng hàng chục nghìn proxy dân cư kết hợp với một địa chỉ IP Microsoft Azure duy nhất (52.139.3[.]76) để dò tìm các trang đăng nhập.
GreyNoise mô tả hoạt động này diễn ra theo hai hướng: một chiến dịch phân tán quy mô lớn nhằm tìm kiếm bảng đăng nhập thông qua proxy luân phiên, và một đợt tấn công tập trung để lộ phiên bản hệ thống được lưu trữ trên AWS. Hai hướng tấn công bổ trợ cho nhau, cho thấy dấu hiệu của hoạt động trinh sát có tổ chức và phối hợp chặt chẽ.
Theo Phòng thí nghiệm bảo mật Datadog, các tác nhân đe dọa có liên quan đến việc khai thác lỗ hổng React2Shell (CVE-2025-55182, điểm CVSS 10.0) đang sử dụng các cấu hình NGINX độc hại để thực hiện hành vi chiếm quyền điều hướng.
Nhà nghiên cứu bảo mật Ryan Simon cho biết, cấu hình này có khả năng chặn lưu lượng truy cập hợp pháp giữa người dùng và website, sau đó chuyển tiếp các yêu cầu thông qua các máy chủ trung gian do kẻ tấn công kiểm soát. Chiến dịch đặc biệt nhắm đến các tên miền cấp cao nhất tại châu Á như .in, .id, .pe, .bd, .th, cơ sở hạ tầng lưu trữ sử dụng Baota Panel tại Trung Quốc, cùng các tên miền thuộc khối chính phủ và giáo dục như .gov và .edu.
Cách thức tấn công và bộ công cụ duy trì cấu hình độc hại
Hoạt động tấn công dựa trên việc sử dụng các tập lệnh shell để chèn cấu hình độc hại vào NGINX, vốn là một máy chủ proxy ngược và bộ cân bằng tải phổ biến. Các cấu hình dạng location được tạo ra nhằm bắt giữ các yêu cầu HTTP đến một số đường dẫn URL cụ thể, sau đó chuyển hướng chúng đến các miền do kẻ tấn công kiểm soát thông qua chỉ thị proxy_pass.
Những tập lệnh này là một phần của bộ công cụ nhiều giai đoạn, được thiết kế để duy trì sự hiện diện lâu dài và tự động tạo các tệp cấu hình NGINX chứa chỉ thị chuyển hướng. Bộ công cụ bao gồm:
zx.sh: đóng vai trò điều phối, thực thi các giai đoạn tiếp theo bằng các tiện ích hợp pháp như curl hoặc wget. Nếu các công cụ này bị chặn, tập lệnh sẽ thiết lập kết nối TCP thô để gửi yêu cầu HTTP.
- bt.sh: nhắm trực tiếp vào môi trường Baota Panel để ghi đè các tệp cấu hình NGINX.
- 4zdh.sh: liệt kê các vị trí cấu hình NGINX phổ biến và giảm thiểu lỗi khi tạo cấu hình mới.
- zdh.sh: tập trung vào môi trường Linux hoặc NGINX chạy trong container, đồng thời nhắm đến các TLD như .in và .id.
- ok.sh: tạo báo cáo chi tiết về toàn bộ các quy tắc chiếm đoạt lưu lượng NGINX đang hoạt động.
Thông tin này xuất hiện sau khi GreyNoise công bố rằng hai địa chỉ IP 193.142.147[.]209 và 87.121.84[.]24 chiếm 56% tổng số nỗ lực khai thác React2Shell được ghi nhận trong vòng hai tháng sau khi lỗ hổng được công khai. Từ ngày 26 tháng 1 đến ngày 2 tháng 2 năm 2026, có tổng cộng 1.083 địa chỉ IP nguồn duy nhất tham gia khai thác lỗ hổng này.
GreyNoise cũng cho biết các nguồn tấn công triển khai những payload hậu khai thác khác nhau. Một nguồn tải về các tệp nhị phân phục vụ khai thác tiền điện tử từ máy chủ trung gian, trong khi nguồn còn lại mở shell ngược trực tiếp đến IP của hệ thống quét. Điều này cho thấy kẻ tấn công ưu tiên truy cập tương tác, thay vì chỉ khai thác tài nguyên tự động.
Song song đó, các nhà nghiên cứu còn phát hiện một chiến dịch trinh sát phối hợp nhắm vào Citrix ADC Gateway và Netscaler Gateway. Chiến dịch này sử dụng hàng chục nghìn proxy dân cư kết hợp với một địa chỉ IP Microsoft Azure duy nhất (52.139.3[.]76) để dò tìm các trang đăng nhập.
GreyNoise mô tả hoạt động này diễn ra theo hai hướng: một chiến dịch phân tán quy mô lớn nhằm tìm kiếm bảng đăng nhập thông qua proxy luân phiên, và một đợt tấn công tập trung để lộ phiên bản hệ thống được lưu trữ trên AWS. Hai hướng tấn công bổ trợ cho nhau, cho thấy dấu hiệu của hoạt động trinh sát có tổ chức và phối hợp chặt chẽ.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
