🔒 Cấu hình NGINX độc hại cho phép chiến dịch chiếm đoạt lưu lượng truy cập web quy mô lớn

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch chiếm quyền điều khiển lưu lượng truy cập web đang hoạt động nhắm mục tiêu vào các bảng quản lý và cài đặt NGINX như Baota (BT) nhằm cố gắng định tuyến nó qua cơ sở hạ tầng của kẻ tấn công.

📋 Nội dung chi tiết

Datadog Security Labssaidit đã quan sát thấy các tác nhân đe dọa liên quan đến hoạt động khai thác React2Shell(CVE-2025-55182, CVSS: 10.0) gần đây bằng cách sử dụng cấu hình NGINX độc hại để thực hiện cuộc tấn công.

Nhà nghiên cứu bảo mật Ryan Simon cho biết: “Cấu hình độc hại chặn lưu lượng truy cập web hợp pháp giữa người dùng và trang web và định tuyến nó thông qua các máy chủ phụ trợ do kẻ tấn công kiểm soát”. "Chiến dịch nhắm vào các TLD châu Á (.in, .id, .pe, .bd, .th), cơ sở hạ tầng lưu trữ của Trung Quốc (Baota Panel) và các TLD chính phủ và giáo dục (.edu, .gov)."

Hoạt động này liên quan đến việc sử dụng các tập lệnh shell để đưa các cấu hình độc hại vào NGINX, một proxy ngược mã nguồn mở và bộ cân bằng tải để quản lý lưu lượng truy cập web. Các cấu hình "vị trí" này được thiết kế để nắm bắt các yêu cầu đến trên một số đường dẫn URL được xác định trước và chuyển hướng chúng đến các miền dưới sự kiểm soát của kẻ tấn công thông qua lệnh "proxy_pass".

Các tập lệnh này là một phần của bộ công cụ nhiều giai đoạn tạo điều kiện cho việc duy trì và tạo các tệp cấu hình độc hại kết hợp với các lệnh độc hại để chuyển hướng lưu lượng truy cập web. Các thành phần của bộ công cụ được liệt kê dưới đây -

🔍 Thông tin bổ sung

zx.sh, đóng vai trò là người điều phối để thực thi các giai đoạn tiếp theo thông qua các tiện ích hợp pháp như Curl hoặc wget. Trong trường hợp hai chương trình bị chặn, nó sẽ tạo kết nối TCP thô để gửi yêu cầu HTTP

bt.sh, nhắm mục tiêu môi trường Bảng quản lý Baota (BT) để ghi đè các tệp cấu hình NGINX

4zdh.sh, liệt kê các vị trí cấu hình Nginx phổ biến và thực hiện các bước để giảm thiểu lỗi khi tạo cấu hình mới

zdh.sh, áp dụng cách tiếp cận nhắm mục tiêu hẹp hơn bằng cách tập trung chủ yếu vào Linux hoặc cấu hình NGINX được đóng gói và nhắm mục tiêu các tên miền cấp cao nhất (TLD) như .in và .id

🔍 Thông tin bổ sung

ok.sh, chịu trách nhiệm tạo báo cáo chi tiết tất cả các quy tắc chiếm quyền điều khiển lưu lượng NGINX đang hoạt động

"Bộ công cụ này chứa khả năng phát hiện mục tiêu và một số tập lệnh được thiết kế để duy trì và tạo các tệp cấu hình độc hại chứa các lệnh nhằm chuyển hướng lưu lượng truy cập web.

Tiết lộ được đưa ra khi GreyNoise cho biết hai địa chỉ IP – 193.142.147[.]209 và 87.121.84[.]24 – chiếm 56% tổng số nỗ lực khai thác được quan sát hai tháng sau khi React2Shell được tiết lộ công khai. Tổng cộng có 1.083 địa chỉ IP nguồn duy nhất đã tham gia khai thác React2Shell từ ngày 26 tháng 1 đến .

“Các nguồn thống trị triển khai các tải trọng sau khai thác riêng biệt: một nguồn truy xuất các tệp nhị phân khai thác tiền điện tử từ các máy chủ dàn dựng, trong khi nguồn kia mở các shell đảo ngược trực tiếp tới IP của máy quét,” công ty tình báo mối đe dọa cho biết. "Cách tiếp cận này gợi ý sự quan tâm đến khả năng truy cập tương tác hơn là khai thác tài nguyên tự động."

Nó cũng theo sau việc phát hiện ra một chiến dịch trinh sát phối hợp nhắm mục tiêu vào cơ sở hạ tầng Citrix ADC Gateway và Netscaler Gateway bằng cách sử dụng hàng chục nghìn proxy dân dụng và một địa chỉ IP Microsoft Azure duy nhất ("52.139.3[.]76") để khám phá các bảng đăng nhập.

"Chiến dịch đã chạy hai chế độ riêng biệt: hoạt động khám phá bảng đăng nhập được phân phối rộng rãi bằng cách sử dụng xoay vòng proxy dân cư và chạy nước rút tiết lộ phiên bản được lưu trữ trên máy chủ AWS tập trung," GreyNoisenoted. "Họ có các mục tiêu bổ sung là tìm bảng đăng nhập và liệt kê các phiên bản, điều này gợi ý sự phối hợp trinh sát."

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.