Chiến Dịch Malware Tận Dụng Thư Viện jQuery Migrate Bị Xâm Phạm
Một chiến dịch malware tinh vi đã được phát hiện, sử dụng phiên bản bị xâm phạm của thư viện jQuery Migrate để phát tán mã độc. Chuỗi lây nhiễm này được triển khai thông qua một tài sản WordPress bị tấn công, kết hợp với công cụ Parrot Traffic Direction System (TDS).
Tổng Quan
Chiến dịch này khai thác các lỗ hổng trong cách quản lý tài sản frontend trên WordPress, đặc biệt thông qua plugin Autoptimize, để cấy ghép mã độc vào các thư mục cache. Công cụ Parrot TDS đã được sử dụng để phân phối malware, cho phép mã độc vượt qua các cơ chế bảo mật nội dung bằng cách phục vụ script từ các tên miền hợp lệ và đường dẫn tương tự CDN.
Chiến Thuật và Kỹ Thuật (TTPs)
- Khai thác Autoptimize và quy trình tài sản (asset pipelines): Malware được cấy ghép bằng cách thao túng plugin Autoptimize của WordPress. Plugin này kết hợp và nén các tài sản frontend vào thư mục cache. Các thư mục này thường có quyền ghi và không được kiểm tra theo tiêu chuẩn toàn vẹn tệp (file integrity), khiến chúng trở thành mục tiêu lý tưởng để cấy mã độc.
- Sử dụng Parrot TDS: Công cụ phát tán malware Parrot TDS được dùng để nhúng loader của nó vào cache của Autoptimize. Điều này cho phép mã độc vượt qua các biện pháp bảo mật nội dung bằng cách cung cấp script từ những tên miền hợp lệ và đường dẫn giống như CDN.
Cơ Sở Hạ Tầng Tấn Công
- URL Bị Xâm Phạm: Tệp JavaScript độc hại được phân phối từ một trang web kinh doanh ở Trung Đông có vẻ hợp pháp với đường dẫn sau:
hxxps://tabukchamber[.]sa/wp-content/cache/autoptimize/js/autoptimize_979aed35e1d8b90442a7373c2ef98a82[.]js - Tệp Độc Hại: Tệp JavaScript bị xâm phạm được ngụy trang dưới dạng tệp chính thức với tên
jquery-migrate-3.4.1.min.js.
Chỉ Số Xâm Phạm (IOCs)
- File Hash: Không có thông tin về giá trị hash của tệp độc hại được cung cấp.
- URL Độc Hại:
hxxps://tabukchamber[.]sa/wp-content/cache/autoptimize/js/autoptimize_979aed35e1d8b90442a7373c2ef98a82[.]js - Tên Tệp Độc Hại:
jquery-migrate-3.4.1.min.js
Khuyến Nghị Khắc Phục
- Kiểm Tra Toàn Vẹn Tệp: Đảm bảo rằng các thư mục cache chứa tài sản frontend được kiểm tra theo tiêu chuẩn toàn vẹn tệp (file integrity) để phát hiện và ngăn chặn các tệp bị thay đổi bất thường.
- Bảo Mật Plugin Autoptimize: Cấu hình plugin Autoptimize để không cho phép quyền ghi vào các thư mục cache, đồng thời kiểm tra định kỳ toàn vẹn của các thư mục này.
- Theo Dõi Hoạt Động Khả Nghi: Giám sát các hành vi trực tuyến bất thường và điều tra ngay lập tức các script hoặc tệp đáng ngờ được phân phối từ các tên miền hợp lệ.
Kết Luận
Chiến dịch malware này sử dụng chuỗi lây nhiễm phức tạp thông qua phiên bản bị xâm phạm của thư viện jQuery Migrate. Nó khai thác lỗ hổng trong plugin Autoptimize của WordPress và tận dụng công cụ Parrot TDS để phát tán mã độc qua các tên miền hợp lệ. Thông tin về URL và tên tệp độc hại đã được cung cấp để hỗ trợ các đội ngũ vận hành SOC, nền tảng tình báo mối đe dọa và các nhóm phản ứng sự cố trong việc xác định và ngăn chặn các cuộc tấn công tương tự.
