Một chiến dịch tấn công chuỗi cung ứng quy mô lớn đã nhắm mục tiêu vào các plugin WordPress phổ biến, đưa hơn 1.2 triệu website vào nguy cơ bị xâm phạm. Kẻ tấn công đã chèn mã độc vào các tệp JavaScript hợp pháp được phân phối thông qua cơ sở hạ tầng CDN đáng tin cậy, một hình thức tấn công mạng tinh vi.
Chi tiết về cuộc Tấn công Chuỗi Cung ứng
Các nhà nghiên cứu bảo mật đã phát hiện một chiến dịch đang diễn ra nhắm vào các plugin được phát triển bởi Awesome Motive, bao gồm OptinMonster, TrustPulse và PushEngage. Những plugin này có hàng triệu lượt cài đặt trên toàn thế giới, với OptinMonster một mình vượt quá một triệu lượt kích hoạt.
Phương thức Tấn công Lên Nguồn
Thay vì tấn công trực tiếp từng website, các đối tượng đe dọa đã xâm phạm các tệp JavaScript nguồn (upstream) được lưu trữ trên máy chủ CDN của Awesome Motive. Bất kỳ website nào tải các tập lệnh này đều vô tình thực thi mã độc được chèn vào, khiến cuộc tấn công này tương tự như các sự cố chuỗi cung ứng quy mô lớn trước đây.
Cơ chế Hoạt động của Mã Độc
Tải trọng độc hại được thiết kế để hoạt động lén lút và chỉ kích hoạt khi quản trị viên WordPress đang đăng nhập. Nó tránh thực thi trong các trình duyệt headless và môi trường tự động, làm giảm đáng kể khả năng bị phát hiện trong quá trình quét định kỳ. Khi được kích hoạt, tập lệnh sẽ xác định môi trường quản trị WordPress, thu thập siêu dữ liệu trang web và trích xuất các token xác thực từ các điểm cuối REST và AJAX.
Thiết lập Quyền Truy cập Trái phép
Sử dụng các token này, mã độc tìm cách tạo các tài khoản quản trị viên trái phép thông qua nhiều phương pháp khác nhau, bao gồm các lệnh gọi REST API và các thao tác gửi biểu mẫu. Các tập lệnh bị chèn đã được phân phối thông qua các tên miền hợp pháp, bao gồm:
*.cdn.awesome-motives.com*.cdn.updraftplus.com*.cloud.mailchimp.com
Thiết lập Persistence
Cuộc tấn công thiết lập sự tồn tại bằng cách triển khai cả một tài khoản cố định có tên developer_api1 và các tài khoản ngẫu nhiên bổ sung theo mẫu dev_xxxxxx. Thông tin đăng nhập bị đánh cắp, cùng với chi tiết trang web, được mã hóa và truyền đến một máy chủ chỉ huy và kiểm soát (C2) được lưu trữ trên tên miền tidio.cc, nơi nó bắt chước một dịch vụ hợp pháp để tránh bị nghi ngờ.
Phát triển Backdoor Ẩn
Để duy trì quyền truy cập dài hạn, kẻ tấn công cài đặt một plugin backdoor ẩn được thiết kế để chống lại việc bị phát hiện. Plugin này tự che giấu khỏi bảng điều khiển WordPress, phản hồi API, cơ chế cập nhật và nhật ký hoạt động. Nó cung cấp cho kẻ tấn công quyền kiểm soát từ xa hoàn toàn các trang web bị xâm phạm bằng cách cho phép thực thi lệnh tùy ý và remote code execution thông qua các yêu cầu được chế tạo đặc biệt.
Chỉ số Compromise (IOC)
Các tổ chức cần kiểm tra các chỉ số sau đây để phát hiện sự xâm nhập:
- Các Tên miền Đáng ngờ:
tidio.cc,*.cdn.updraftplus.com,*.cdn.awesome-motives.com,*.cloud.mailchimp.com. - Các Tài khoản Quản trị viên Cố định và Ngẫu nhiên:
developer_api1, các tài khoản có tiền tốdev_. - Các Plugin Lén lút: Thường xuyên thay đổi tên ngụy trang thành các công cụ hợp pháp như “Content Delivery Helper” hoặc “Database Optimizer”.
Lưu ý: Địa chỉ IP và tên miền được cố tình làm mờ (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết ngẫu nhiên. Chỉ làm mờ lại trong các nền tảng tình báo mối đe dọa được kiểm soát.
Bằng chứng Khai thác Thực tế
Việc khai thác tích cực đã được xác nhận. Patchstack đã chặn hàng trăm nỗ lực tạo tài khoản quản trị viên giả mạo trên nhiều trang web, cho thấy việc lạm dụng backdoor trong thực tế. Theo Awesome Motive, sự cố này là do khai thác một lỗ hổng CVE chưa được công bố trong plugin UpdraftPlus.
Phạm vi Ảnh hưởng và Nguyên nhân
Kẻ tấn công được báo cáo là đã truy cập vào một máy chủ lưu trữ cơ sở hạ tầng tiếp thị, lấy được khóa API CDN và sử dụng nó để chèn mã độc vào các tệp được phân phối cho khách hàng. Các plugin bị ảnh hưởng bao gồm OptinMonster, TrustPulse và PushEngage.
Phản ứng của Nhà cung cấp
Công ty đã gỡ bỏ các tập lệnh độc hại, xoay vòng thông tin xác thực, xóa bộ nhớ cache CDN và di chuyển các hệ thống bị ảnh hưởng sang cơ sở hạ tầng mới. Họ khuyến nghị quản trị viên sử dụng các plugin bị ảnh hưởng nên giả định khả năng bị xâm phạm nếu có phiên đăng nhập quản trị viên xảy ra trong khoảng thời gian tấn công.
Các Biện pháp Khắc phục và Phòng ngừa
Các bước khắc phục ngay lập tức bao gồm kiểm toán tất cả các tài khoản quản trị viên để tìm các mục nhập trái phép, quét hệ thống tệp trực tiếp để tìm các plugin ẩn và xoay vòng tất cả thông tin xác thực. Kể từ khi mã độc chỉ kích hoạt trong các phiên quản trị được xác thực, việc kiểm tra phía máy chủ vẫn là một trong những phương pháp phát hiện hiệu quả nhất.
Tăng cường An ninh cho WordPress
Sự cố này nêu bật mối đe dọa ngày càng tăng của các cuộc tấn công chuỗi cung ứng trong hệ sinh thái WordPress, nơi việc xâm phạm một nguồn đáng tin cậy duy nhất có thể dẫn đến tác động lan rộng trên hàng triệu website. Việc duy trì an ninh mạng cho các trang web WordPress đòi hỏi sự cảnh giác liên tục và các biện pháp bảo mật mạnh mẽ.
Để cập nhật các thông tin và phân tích mới nhất về an ninh mạng, hãy tham khảo các nguồn uy tín như CISA Advisories.
