Chiến Dịch DragonRank: Khi Máy Chủ IIS Trở Thành Công Cụ Cho Tin Tặc - FPT IS
84 24 73007373 [email protected]
Đăng nhập
Liên hệ ngay
Chuyên gia viết

Chiến Dịch DragonRank: Khi Máy Chủ IIS Trở Thành Công Cụ Cho Tin Tặc

Ngày 03/06/2025

Chia sẻ:

Dragonrank Fpt Is 1742439704

Nhóm tin tặc DragonRank gần đây đã trở thành mối đe dọa nghiêm trọng khi nhắm mục tiêu vào các máy chủ Internet Information Services (IIS) của Microsoft, khai thác các lỗ hổng chưa được vá để chiếm quyền kiểm soát hệ thống.

Theo phân tích từ Microsoft, lỗ hổng mà DragonRank khai thác liên quan đến việc xử lý các HTTP Request Header trên IIS. Cụ thể, kẻ tấn công gửi một yêu cầu HTTP được thiết kế đặc biệt với phần header chứa dữ liệu vượt quá giới hạn bộ nhớ đệm, gây ra lỗi Buffer Overflow. Điều này cho phép chúng ghi đè lên vùng nhớ và thực thi mã tùy ý (Remote Code Execution – RCE).

  • Cơ Chế Khai Thác:
    Khi máy chủ IIS phân tích các header như Content-Length hoặc Transfer-Encoding, việc xử lý không đúng các giá trị lớn bất thường dẫn đến tràn bộ đệm. DragonRank tận dụng điểm yếu này để chèn mã độc vào bộ nhớ, sau đó kích hoạt payload để chiếm quyền điều khiển.
  • Mã Độc Được Sử Dụng:
    Theo báo cáo từ Cisco Talos, nhóm này sử dụng một biến thể của mã độc ChinaChopper – một webshell phổ biến trong các cuộc tấn công vào máy chủ web. Mã độc này cho phép tin tặc tải lên các công cụ khác như ransomware hoặc phần mềm khai thác tiền điện tử.

DragonRank không chỉ là một nhóm tin tặc ngẫu nhiên mà là một tổ chức có chiến lược rõ ràng, thường xuyên thực hiện các chiến dịch tấn công quy mô lớn. Dưới đây là một số thông tin nổi bật về chiến dịch của họ:

  • Mục Tiêu:
    DragonRank tập trung vào các tổ chức tài chính, cơ quan chính phủ và doanh nghiệp lớn tại khu vực châu Á, đặc biệt là Đông Nam Á và Ấn Độ. Các mục tiêu thường có hệ thống CNTT phức tạp nhưng chưa được cập nhật bảo mật đầy đủ.
  • Phương Pháp Tấn Công:
    • Reconnaissance: Sử dụng công cụ quét như Nmap và Shodan để xác định các máy chủ IIS chưa được vá lỗi.
    • Exploitation: Tận dụng lỗ hổng buffer overflow để triển khai webshell và chiếm quyền kiểm soát.
    • Persistence: Cài đặt backdoor và mã độc để duy trì quyền truy cập lâu dài.
    • Lateral Movement: Sử dụng thông tin đánh cắp được để tấn công các hệ thống khác trong cùng mạng nội bộ.
  • Công Cụ Sử Dụng:
    • Webshell: ChinaChopper, C99, và các biến thể tùy chỉnh.
    • Exploit Kits: Tận dụng các bộ công cụ khai thác lỗ hổng như Metasploit và Cobalt Strike.
    • Công Cụ Ẩn Danh: Sử dụng VPN và proxy để che giấu địa chỉ IP.
  • Mục Đích:
    • Đánh Cắp Dữ Liệu: Thu thập thông tin nhạy cảm như dữ liệu khách hàng, bí mật thương mại.
    • Tấn Công DDoS: Biến các máy chủ bị xâm nhập thành botnet để phát động tấn công từ chối dịch vụ.
    • Tài Chính: Mã độc khai thác tiền điện tử (cryptojacking) được cài đặt trên các máy chủ để kiếm lợi nhuận.
  • Các Nạn Nhân:
    Báo cáo từ Kaspersky Lab cho biết, hơn 500 máy chủ IIS tại Đông Nam Á và Ấn Độ đã bị xâm nhập trong tháng 2/2025. Trong đó, nhiều máy chủ thuộc các ngân hàng và cơ quan y tế chưa cập nhật bản vá lỗi từ Microsoft.
  • Hậu Quả:
    • Rò Rỉ Dữ Liệu: Các tệp cấu hình chứa thông tin xác thực (username/password) bị đánh cắp và bán trên dark web.
    • Tấn Công DDoS: Một số máy chủ bị biến thành botnet để phát động tấn công từ chối dịch vụ vào các mục tiêu khác.
  • Microsoft:
    Áp dụng ngay bản vá mới nhất cho IIS, đồng thời kích hoạt tính năng Request Filtering để chặn các HTTP request có header không hợp lệ.
  • CERT Coordination Center (CERT/CC):
    Triển khai Network Segmentation để cách ly máy chủ web khỏi các hệ thống nội bộ quan trọng. Sử dụng công cụ giám sát như Azure Sentinel hoặc Splunk để phát hiện hoạt động đáng ngờ.
  • Chỉ cho phép truy cập tối thiểu cần thiết. Đồng thời, quét định kỳ với công cụ như Nessus hoặc Qualys để phát hiện lỗ hổng.

Cuộc tấn công của DragonRank vào IIS không chỉ phản ánh sự tinh vi của tin tặc mà còn cho thấy tầm quan trọng của việc cập nhật hệ thống và nâng cao nhận thức an ninh. Các tổ chức cần kết hợp nhiều lớp bảo mật (đa yếu tố, mã hóa, giám sát liên tục) để giảm thiểu rủi ro.

  1. Analyzing the BadIIS Malware Campaign: A Global Threat Exploiting IIS Server Vulnerabilities
  2. Hackers Compromising IIS Servers to Deploy BadIIS Malware
  3. Chinese DragonRank Hackers Exploit Global Windows Servers in SEO Fraud
  4. DragonRank SEO Attack: The Hidden Manipulation of IIS Servers
  5. DragonRank Exploits IIS Servers with BadIIS Malware for SEO Fraud and Gambling Redirects
Chia sẻ:
FPT IS

FPT IS

Tin liên quan

Phân tích quy trình kinh doanh – Chìa khóa thành công trong tự động hóa quy trình & tối ưu hóa vận hành

Chuyên gia viết - 04/06/2024

Phân tích quy trình kinh doanh – Chìa khóa thành công trong tự động hóa quy trình & tối ưu hóa vận hành

Hệ sinh thái tài chính số đầu tiên tại Việt Nam hỗ trợ toàn diện doanh nghiệp trong tài trợ thương mại nội địa và xuyên biên giới

Chuyên gia viết - 08/01/2024

Hệ sinh thái tài chính số đầu tiên tại Việt Nam hỗ trợ toàn diện doanh nghiệp trong tài trợ thương mại nội địa và xuyên biên giới

Xu hướng mới trong mua hàng doanh nghiệp: Khi AI và ESG trở thành đòn bẩy chiến lược

Chuyên gia viết - 20/04/2025

Xu hướng mới trong mua hàng doanh nghiệp: Khi AI và ESG trở thành đòn bẩy chiến lược

Một số khái niệm cơ bản về Data Store và những yếu tố lựa chọn đúng loại data store cho ứng dụng

Chuyên gia viết - 29/06/2024

Một số khái niệm cơ bản về Data Store và những yếu tố lựa chọn đúng loại data store cho ứng dụng

Giải pháp mới cho nguy cơ “thiếu hụt lao động” – Dịch vụ BPO – từ góc nhìn FPT

Chuyên gia viết - 31/05/2024

Giải pháp mới cho nguy cơ “thiếu hụt lao động” – Dịch vụ BPO – từ góc nhìn FPT

Hackers lợi dụng quảng cáo Google để đánh cắp tài khoản Google Ads

Chuyên gia viết - 01/03/2025

Hackers lợi dụng quảng cáo Google để đánh cắp tài khoản Google Ads

Cách các giải pháp thực tế ảo của akaVerse biến đổi hoạt động đào tạo: Câu chuyện thành công của Schaeffler

Chuyên gia viết - 18/01/2024

Cách các giải pháp thực tế ảo của akaVerse biến đổi hoạt động đào tạo: Câu chuyện thành công của Schaeffler

Liên minh con người và AI tạo nên lợi thế cạnh tranh trong kỷ nguyên số

Chuyên gia viết - 01/03/2024

Liên minh con người và AI tạo nên lợi thế cạnh tranh trong kỷ nguyên số

Chuyên gia FPT IS: “Chuyển đổi số ngành nước – nhân tố quan trọng trong phát triển đô thị thông minh”

Chuyên gia viết - 08/01/2024

Chuyên gia FPT IS: “Chuyển đổi số ngành nước – nhân tố quan trọng trong phát triển đô thị thông minh”

DeepSeek Và Mối Nguy Hiểm Không Ai Nói Với Bạn

Chuyên gia viết - 13/03/2025

DeepSeek Và Mối Nguy Hiểm Không Ai Nói Với Bạn

Img Contact

Đăng ký nhận tin tức mới nhất từ FPT IS

    Tôi đồng ý chia sẻ thông tin và đồng ý với Chính sách bảo mật dữ liệu cá nhân
    Thông tin về Chính sách bảo mật dữ liệu cá nhân
    Bot Avatar