CyberThao
Writer
Các nhóm tin tặc có liên hệ từ Trung Quốc bị tố đã lợi dụng hệ thống ArcGIS Server để cấy cửa hậu kéo dài hơn một năm. Công ty ReliaQuest cho biết chiến dịch này do nhóm được gọi là Flax Typhoon (cũng có tên Ethereal Panda, RedJuliett) thực hiện; chính phủ Hoa Kỳ đặt nhóm này liên quan tới Integrity Technology Group, một thực thể có trụ sở tại Bắc Kinh.
Kẻ tấn công đã chỉnh sửa phần mở rộng đối tượng máy chủ Java (SOE) của ArcGIS thành một web shell hoạt động. ReliaQuest giải thích: bằng cách nhúng web shell vào bản sao lưu hệ thống và khóa truy cập bằng một khóa mã hóa "cứng", nhóm tấn công giữ quyền kiểm soát độc quyền và đảm bảo khả năng tồn tại lâu dài ngay cả khi hệ thống được phục hồi toàn diện.
ReliaQuest mô tả Flax Typhoon là một nhóm chuyên dùng kỹ thuật “sống ngoài thực địa” (LotL) và thao tác trực tiếp trên hệ thống (hands-on-keyboard). Họ chuyển đổi các thành phần phần mềm hợp pháp thành phương tiện tấn công để né tránh phát hiện. Trong vụ này, kẻ tấn công dùng tiện ích mở rộng ArcGIS tiêu chuẩn [JavaSimpleRESTSOE] để kích hoạt một REST hoạt động, cho phép chạy lệnh trên máy chủ nội bộ qua cổng thông tin công khai — cách làm khiến hoạt động khó bị chú ý.
Web shell được dùng cho việc khám phá mạng và thiết lập bền bỉ. ReliaQuest phát hiện kẻ tấn công tải lên một tệp thực thi SoftEther VPN đã đổi tên thành "bridge.exe" vào thư mục System32, rồi tạo dịch vụ "SysBridge" để khởi động tự động tệp nhị phân khi máy chủ khởi động. Tiến trình này thiết lập kết nối HTTPS tới địa chỉ IP do kẻ tấn công kiểm soát trên cổng 443, mục tiêu là tạo kênh VPN bí mật tới máy chủ bên ngoài. Kênh VPN giúp kẻ tấn công mở rộng mạng cục bộ của mục tiêu ra vị trí từ xa, khiến hoạt động trông như phát sinh từ bên trong mạng nội bộ và qua đó vượt qua giám sát cấp mạng.
Các nhà nghiên cứu Alexa Feminella và James Xiang chỉ ra rằng cầu nối VPN này cho phép kẻ tấn công thực hiện di chuyển ngang và thao tác sâu hơn trong mạng mục tiêu. Điều tra cũng cho thấy hai máy trạm của nhân viên CNTT bị nhắm tới để lấy thông tin đăng nhập; kẻ tấn công đã truy cập tài khoản quản trị và có thể đặt lại mật khẩu, mở đường cho hành vi xâm nhập sâu.
Sự kiện này nêu rõ mối nguy khi các chức năng hệ thống và công cụ đáng tin cậy bị lợi dụng để che giấu hành vi độc hại. Không chỉ khó phát hiện, phương thức tấn công còn có thể tồn tại qua các lần phục hồi hệ thống nếu web shell được nhúng trong bản sao lưu. ReliaQuest nhấn mạnh vấn đề phát hiện và nhận diện các công cụ hợp pháp bị thao túng, thay vì chỉ tìm các dấu hiệu độc hại truyền thống.
Ngắn gọn, các điểm quan trọng rút ra từ báo cáo:
Đọc chi tiết tại đây: https://thehackernews.com/2025/10/chinese-hackers-exploit-arcgis-server.html
Kẻ tấn công đã chỉnh sửa phần mở rộng đối tượng máy chủ Java (SOE) của ArcGIS thành một web shell hoạt động. ReliaQuest giải thích: bằng cách nhúng web shell vào bản sao lưu hệ thống và khóa truy cập bằng một khóa mã hóa "cứng", nhóm tấn công giữ quyền kiểm soát độc quyền và đảm bảo khả năng tồn tại lâu dài ngay cả khi hệ thống được phục hồi toàn diện.
Chiến thuật tàng hình và cài đặt cửa hậu
ReliaQuest mô tả Flax Typhoon là một nhóm chuyên dùng kỹ thuật “sống ngoài thực địa” (LotL) và thao tác trực tiếp trên hệ thống (hands-on-keyboard). Họ chuyển đổi các thành phần phần mềm hợp pháp thành phương tiện tấn công để né tránh phát hiện. Trong vụ này, kẻ tấn công dùng tiện ích mở rộng ArcGIS tiêu chuẩn [JavaSimpleRESTSOE] để kích hoạt một REST hoạt động, cho phép chạy lệnh trên máy chủ nội bộ qua cổng thông tin công khai — cách làm khiến hoạt động khó bị chú ý.
Web shell được dùng cho việc khám phá mạng và thiết lập bền bỉ. ReliaQuest phát hiện kẻ tấn công tải lên một tệp thực thi SoftEther VPN đã đổi tên thành "bridge.exe" vào thư mục System32, rồi tạo dịch vụ "SysBridge" để khởi động tự động tệp nhị phân khi máy chủ khởi động. Tiến trình này thiết lập kết nối HTTPS tới địa chỉ IP do kẻ tấn công kiểm soát trên cổng 443, mục tiêu là tạo kênh VPN bí mật tới máy chủ bên ngoài. Kênh VPN giúp kẻ tấn công mở rộng mạng cục bộ của mục tiêu ra vị trí từ xa, khiến hoạt động trông như phát sinh từ bên trong mạng nội bộ và qua đó vượt qua giám sát cấp mạng.
Các nhà nghiên cứu Alexa Feminella và James Xiang chỉ ra rằng cầu nối VPN này cho phép kẻ tấn công thực hiện di chuyển ngang và thao tác sâu hơn trong mạng mục tiêu. Điều tra cũng cho thấy hai máy trạm của nhân viên CNTT bị nhắm tới để lấy thông tin đăng nhập; kẻ tấn công đã truy cập tài khoản quản trị và có thể đặt lại mật khẩu, mở đường cho hành vi xâm nhập sâu.
Hậu quả và khuyến nghị
Sự kiện này nêu rõ mối nguy khi các chức năng hệ thống và công cụ đáng tin cậy bị lợi dụng để che giấu hành vi độc hại. Không chỉ khó phát hiện, phương thức tấn công còn có thể tồn tại qua các lần phục hồi hệ thống nếu web shell được nhúng trong bản sao lưu. ReliaQuest nhấn mạnh vấn đề phát hiện và nhận diện các công cụ hợp pháp bị thao túng, thay vì chỉ tìm các dấu hiệu độc hại truyền thống.
Ngắn gọn, các điểm quan trọng rút ra từ báo cáo:
- Kẻ tấn công biến SOE hợp pháp thành web shell và nhúng vào bản sao lưu để duy trì tồn tại.
- Họ dùng khóa mã hóa cứng để ngăn cạnh tranh hoặc phát hiện truy cập.
- Tệp SoftEther VPN (đổi tên bridge.exe) và dịch vụ SysBridge tạo kết nối VPN bí mật qua HTTPS tới máy chủ tấn công, cho phép di chuyển ngang.
- Mục tiêu bao gồm máy trạm CNTT để chiếm quyền quản trị và đặt lại mật khẩu.
- Tấn công tận dụng công cụ đáng tin cậy và kênh hợp pháp để né tránh hệ thống giám sát.
Đọc chi tiết tại đây: https://thehackernews.com/2025/10/chinese-hackers-exploit-arcgis-server.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
