Cảnh báo Malware WordPress: Trojan Windows Tấn Công Lén Lút qua PHP Dropper

01/07/2025
5 mins read

Một chiến dịch malware tinh vi nhắm mục tiêu vào các website WordPress đã được phát hiện gần đây, thể hiện một phương pháp phức tạp và lén lút nhằm phân phối một trojan dựa trên Windows. Cuộc tấn công này hoạt động ẩn mình dưới vẻ ngoài của các website dường như sạch sẽ, sử dụng một chuỗi lây nhiễm đa tầng bao gồm các dropper dựa trên PHP, mã bị xáo trộn (obfuscated code), và các chiến thuật né tránh dựa trên IP để phân phối một payload độc hại có tên client32.exe. Phát hiện này làm nổi bật các chiến thuật ngày càng phát triển của tội phạm mạng trong việc khai thác các nền tảng web để phân phối malware.

Nội dung
Chuỗi Lây Nhiễm và Cơ chế Khai thác Ban đầu
Vai trò của header.php
Vai trò của man.php
Cơ chế Phân phối Payload và Duy trì Quyền truy cập
Tải xuống và Giải nén Payload
Thiết lập Persistence
Trojan client32.exe và Khả năng C2
Chiến thuật Né tránh và Kiểm soát của Kẻ tấn công
Indicators of Compromise (IOCs)
Biện pháp Giảm thiểu và Phòng ngừa
Đối với Chủ sở hữu Website và Quản trị viên Hệ thống:
Đối với Người dùng Cuối:

Chuỗi Lây Nhiễm và Cơ chế Khai thác Ban đầu

Quá trình lây nhiễm bắt đầu với hai tệp PHP trung tâm: header.phpman.php. Tệp header.php đóng vai trò là bộ điều khiển chính, trong khi man.php hoạt động như giao diện quản trị.

Vai trò của header.php

Kịch bản header.php thực hiện việc lập hồ sơ khách truy cập, ghi lại địa chỉ IP vào một tệp có tên count.txt. Mục đích của việc ghi nhật ký này là để ngăn chặn việc lây nhiễm lặp lại trên cùng một hệ thống. Sau khi kiểm tra IP, header.php sẽ tạo động một tệp Windows batch bị xáo trộn nặng nề, có tên update.bat. Kịch bản batch này được buộc tải xuống thông qua các tiêu đề HTTP bị thao túng, dàn dựng một cuộc tấn công nhiều giai đoạn trên hệ thống nạn nhân.

Vai trò của man.php

Tệp quản trị man.php cung cấp cho kẻ tấn công một bảng điều khiển dựa trên web để giám sát và thao tác nhật ký IP. Điều này cho phép chúng đặt lại hoặc thêm các bản ghi khi cần thiết, duy trì quyền kiểm soát đối với danh sách các địa chỉ IP đã bị lây nhiễm hoặc đang được nhắm mục tiêu.

Cơ chế Phân phối Payload và Duy trì Quyền truy cập

Kịch bản batch (update.bat) được tải xuống là trung tâm của chuỗi phân phối payload và thiết lập cơ chế duy trì quyền truy cập (persistence).

Tải xuống và Giải nén Payload

Kịch bản update.bat sử dụng các lệnh PowerShell để tải xuống một kho lưu trữ ZIP độc hại có tên psps.zip. Kho lưu trữ này chứa trojan client32.exe. Sau khi tải xuống, kịch bản sẽ giải nén tệp thực thi này vào một thư mục ẩn trong đường dẫn %APPDATA% của hệ thống nạn nhân. Việc sử dụng PowerShell cho quá trình tải xuống và giải nén giúp phức tạp hóa việc phát hiện bởi các giải pháp bảo mật điểm cuối, do kẻ tấn công ngày càng tận dụng các công cụ hệ thống hợp pháp cho mục đích độc hại.

Thiết lập Persistence

Để đảm bảo trojan khởi chạy mỗi khi hệ thống khởi động lại, kịch bản update.bat thêm một mục đăng ký vào khóa HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Điều này cho phép client32.exe tiếp tục thực thi, duy trì sự hiện diện lâu dài trên hệ thống bị nhiễm.

Trojan client32.exe và Khả năng C2

Binary client32.exe đã được xác định là một Remote Access Trojan (RAT). Khi được thực thi, nó thiết lập một kết nối bí mật đến máy chủ Command and Control (C2). Cụ thể, trojan này kết nối đến địa chỉ IP 5.252.178.123 trên cổng 443. Kết nối C2 này cho phép kẻ tấn công kiểm soát từ xa hệ thống bị nhiễm, thực hiện các hành động độc hại như thực thi lệnh, trích xuất dữ liệu (data exfiltration), và tải xuống các module bổ sung.

Chiến thuật Né tránh và Kiểm soát của Kẻ tấn công

Chiến dịch này cho thấy nỗ lực tính toán của kẻ tấn công nhằm tối đa hóa tỷ lệ lây nhiễm trong khi giảm thiểu mức độ phơi bày. Điều này đạt được thông qua một số chiến thuật:

  • Né tránh dựa trên IP: Việc ghi nhật ký IP và khả năng thao tác nhật ký này qua man.php cho phép kẻ tấn công tránh lây nhiễm lặp lại hoặc né tránh các IP đã biết của các nhà nghiên cứu bảo mật hoặc tổ chức.
  • Thực thi âm thầm: Kịch bản batch và việc sử dụng PowerShell thực hiện việc phân phối và thực thi payload một cách âm thầm, giảm khả năng người dùng nhận thấy các hoạt động đáng ngờ.
  • Lợi dụng công cụ hợp pháp: Việc sử dụng PowerShell – một công cụ quản trị hệ thống hợp pháp – để tải xuống và thực thi payload giúp mã độc hòa nhập với các hoạt động bình thường của hệ thống, gây khó khăn cho các giải pháp bảo mật trong việc phân biệt hoạt động độc hại với hoạt động hợp lệ.

Indicators of Compromise (IOCs)

Dưới đây là các chỉ số thỏa hiệp (IOCs) liên quan đến chiến dịch malware này, có thể được sử dụng để phát hiện và ngăn chặn các cuộc tấn công tương tự:

  • Địa chỉ IP C2: 5.252.178.123
  • Cổng C2: 443
  • Tên tệp độc hại: client32.exe
  • Tên tệp PHP được sử dụng trong chuỗi lây nhiễm:
    • header.php
    • man.php
  • Tên tệp nhật ký IP: count.txt
  • Tên tệp batch độc hại: update.bat
  • Tên tệp ZIP chứa payload: psps.zip
  • Khóa Registry để duy trì quyền truy cập: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Biện pháp Giảm thiểu và Phòng ngừa

Đối với chủ sở hữu website, chiến dịch này nhấn mạnh tầm quan trọng của việc giám sát liên tục, triển khai các giải pháp Web Application Firewall (WAF), và duy trì CMS (Hệ quản trị nội dung) cũng như phần mềm máy chủ được cập nhật để ngăn chặn các xâm nhập ban đầu. Các biện pháp phòng ngừa cần được áp dụng chặt chẽ để bảo vệ cả nền tảng web và người dùng cuối:

Đối với Chủ sở hữu Website và Quản trị viên Hệ thống:

  • Giám sát liên tục: Thực hiện giám sát chặt chẽ các log truy cập web, log lỗi, và hoạt động của tệp để phát hiện các hành vi bất thường, đặc biệt là các yêu cầu đến các tệp PHP đáng ngờ hoặc các lệnh tải xuống không mong muốn.
  • Triển khai WAF: Sử dụng Web Application Firewall (WAF) để lọc và chặn lưu lượng truy cập độc hại, bảo vệ website khỏi các lỗ hổng đã biết và các kỹ thuật tấn công phổ biến.
  • Cập nhật CMS và Phần mềm Máy chủ: Đảm bảo rằng tất cả các thành phần của WordPress (lõi, plugin, theme) và phần mềm máy chủ (PHP, máy chủ web như Apache/Nginx, hệ điều hành) luôn được cập nhật lên phiên bản mới nhất để vá các lỗ hổng bảo mật.
  • Kiểm tra định kỳ: Thực hiện kiểm tra bảo mật định kỳ và quét lỗ hổng trên website để xác định và khắc phục các điểm yếu.
  • Sao lưu dữ liệu: Duy trì các bản sao lưu thường xuyên và an toàn của toàn bộ website và cơ sở dữ liệu để có thể khôi phục nhanh chóng trong trường hợp bị tấn công.

Đối với Người dùng Cuối:

  • Thận trọng với các lượt tải xuống không mong muốn: Luôn cảnh giác với các tệp được tải xuống tự động hoặc không rõ nguồn gốc, đặc biệt là các tệp thực thi hoặc tệp nén từ các website không đáng tin cậy.
  • Sử dụng phần mềm diệt virus (Antivirus) hiệu quả: Đảm bảo rằng phần mềm diệt virus hoặc giải pháp bảo mật điểm cuối được cài đặt, kích hoạt và cập nhật thường xuyên trên hệ thống của bạn.
  • Cập nhật hệ điều hành và ứng dụng: Đảm bảo rằng hệ điều hành và tất cả các ứng dụng trên máy tính của bạn luôn được cập nhật các bản vá bảo mật mới nhất để giảm thiểu rủi ro bị khai thác lỗ hổng.
  • Thận trọng khi nhấp vào liên kết: Tránh nhấp vào các liên kết đáng ngờ hoặc mở các tệp đính kèm từ email không xác định.

Chiến dịch malware nhắm mục tiêu vào WordPress này là một lời nhắc nhở rõ ràng về các mối đe dọa dai dẳng và không ngừng phát triển trong bối cảnh kỹ thuật số, nơi kẻ tấn công liên tục đẩy mạnh các ranh giới của sự lén lút để xâm phạm cả nền tảng web và hệ thống người dùng cuối.