Trong những tin tức bảo mật mới nhất, các nhà nghiên cứu an ninh mạng gần đây đã phát hiện một chiến dịch tấn công phần mềm độc hại tinh vi nhắm mục tiêu vào các website WordPress. Chiến dịch này lợi dụng thư mục mu-plugins (must-use plugins) thường bị bỏ qua để chèn một backdoor ẩn. Thư mục này chứa các plugin được kích hoạt tự động và không thể bị vô hiệu hóa thông qua giao diện quản trị WordPress tiêu chuẩn, biến nó thành một nơi ẩn náu lý tưởng cho các mối đe dọa dai dẳng.
Khai Thác Thư Mục mu-plugins
Chiến dịch tấn công này sử dụng một tệp tin dường như vô hại có tên wp-index.php, được đặt trong thư mục /wp-content/mu-plugins/. Tệp này hoạt động như một trình tải (loader), có nhiệm vụ âm thầm lấy một payload từ xa từ một URL được mã hóa bằng ROT13, giải mã nó, và sau đó thực thi mã PHP tùy ý. Kỹ thuật này lặp lại một đợt lây nhiễm tương tự đã được báo cáo vào tháng 3 năm 2025, cho thấy các chiến lược tấn công không ngừng phát triển để duy trì quyền truy cập lâu dài vào các website bị xâm nhập. Bằng cách tận dụng các chức năng cốt lõi của WordPress để tìm nạp và thực thi payload, phần mềm độc hại đảm bảo nó hoạt động một cách im lặng, né tránh các lần quét hệ thống tệp thông thường và hòa trộn liền mạch với các hoạt động hợp pháp của trang web.
Cơ Chế Hoạt Động Của Backdoor wp-index.php
Tệp wp-index.php là thành phần khởi điểm cho chuỗi lây nhiễm. Nó được thiết kế để tự động kích hoạt ngay khi WordPress khởi động, nhờ vào vị trí của nó trong thư mục mu-plugins. Điều này giúp kẻ tấn công đảm bảo rằng backdoor sẽ luôn hoạt động mà không cần can thiệp thủ công hoặc lo ngại về việc bị vô hiệu hóa qua bảng điều khiển quản trị WordPress.
Kỹ Thuật Che Giấu và Khai Thác Payload
Theo báo cáo của Sucuri, kỹ thuật mã hóa ROT13, một loại mã hóa Caesar đơn giản bằng cách dịch chuyển các chữ cái 13 vị trí trong bảng chữ cái, không phục vụ mục đích mã hóa thực sự nào mà chủ yếu để che giấu các URL độc hại trong giai đoạn lây nhiễm ban đầu. Kỹ thuật này nhằm mục đích vượt qua các hệ thống phát hiện dựa trên chữ ký đơn giản và làm chậm quá trình phân tích ban đầu.
Giải Mã Obfuscation ROT13
Ví dụ, chuỗi được mã hóa ‘uggcf://1870l4ee4l3q1x757673d.klm/peba.cuc’ khi được giải mã ROT13 sẽ cho ra một URL có cấu trúc rõ ràng hơn, nơi payload base64 được tải xuống.
hxxps://1870y4rr4y3d1k757673q[.]xyz/cron.phpCơ Chế Lưu Trữ và Thực Thi Payload
Payload được tải xuống từ URL đã giải mã sau đó được lưu trữ trong cơ sở dữ liệu WordPress dưới khóa tùy chọn _hdra_core. Điều này cung cấp một cơ chế duy trì (persistence) không dựa trên hệ thống tệp, làm phức tạp việc phát hiện bởi các công cụ bảo mật thông thường vốn tập trung vào việc quét các tệp trên đĩa. Script kiểm tra tính toàn vẹn của mã base64 trước khi tạm thời ghi nội dung đã giải mã vào một tệp như .sess-[hash].php trong thư mục uploads. Sau khi tệp này được bao gồm để thực thi, nó sẽ nhanh chóng bị xóa để giảm thiểu các dấu vết pháp y.
Các Phương Pháp Duy Trì Quyền Truy Cập và Tăng Cường Tấn Công
Chiến dịch phần mềm độc hại này không chỉ dừng lại ở việc chèn backdoor cơ bản mà còn triển khai các kỹ thuật tinh vi để duy trì và mở rộng quyền truy cập, cũng như củng cố khả năng tấn công của kẻ xấu.
Tạo Tài Khoản Quản Trị Ẩn và Quản Lý Tệp
Ngoài ra, phần mềm độc hại còn tạo một tài khoản quản trị viên ẩn có tên officialwp. Tài khoản này cho phép kẻ tấn công duy trì quyền kiểm soát cấp cao mà không bị phát hiện dễ dàng. Kèm theo đó, một trình quản lý tệp được chèn vào thư mục chủ đề với tên pricing-table-3.php. Trình quản lý tệp này có thể truy cập được thông qua một mã thông báo (token) trong HTTP header tùy chỉnh, cho phép thực hiện các hoạt động như duyệt tệp, tải lên và xóa tệp. Điều này cung cấp cho kẻ tấn công khả năng quản lý trực tiếp các tệp trên máy chủ, từ đó thực hiện các hành vi độc hại như tải lên mã độc bổ sung hoặc thay đổi các tệp cấu hình quan trọng.
Phục Hồi và Tái Kích Hoạt Backdoor
Đi sâu hơn vào payload được lưu trữ tại endpoint cron.php đã giải mã, các nhà phân tích đã tìm thấy một framework backdoor toàn diện mở rộng hơn là chỉ duy trì quyền truy cập. Phần mềm độc hại này tải xuống và buộc kích hoạt một plugin thứ cấp, wp-bot-protect.php, từ một URL khác được mã hóa bằng ROT13, giải mã thành hxxps://1870y4rr4y3d1k757673q[.]xyz/shp. Plugin này có khả năng khôi phục lại quá trình lây nhiễm nếu các thành phần chính bị xóa, tạo ra một cơ chế tự phục hồi, cực kỳ khó loại bỏ hoàn toàn.
Khả Năng Thực Thi Lệnh Động và Đặt Lại Mật Khẩu
Một tính năng đặc biệt nguy hiểm là khả năng đặt lại mật khẩu theo chương trình cho các tên người dùng quản trị phổ biến bao gồm admin, root, wpsupport, và thậm chí cả tài khoản officialwp của chính nó, về một mật khẩu mặc định do kẻ tấn công kiểm soát. Điều này hiệu quả là khóa người dùng hợp pháp khỏi trang web và đảm bảo khả năng tái nhập của kẻ tấn công. Khả năng thực thi lệnh động này cho phép tiêm mã PHP từ xa, cho phép kẻ tấn công điều chỉnh hành vi của phần mềm độc hại ngay lập tức, chẳng hạn như nhúng thêm các backdoor hoặc vô hiệu hóa các plugin bảo mật.
Tác Động Nghiêm Trọng và Các Biện Pháp Phát Hiện, Giảm Thiểu
Tác động rộng lớn của việc lây nhiễm này là rất sâu rộng, cấp cho kẻ tấn công các đặc quyền quản trị viên không giới hạn để thao túng nội dung trang web, đánh cắp dữ liệu người dùng nhạy cảm, hoặc tái sử dụng trang web cho các mục đích lừa đảo (phishing), phát tán ransomware, hoặc các cuộc tấn công từ chối dịch vụ phân tán (DDoS) chống lại bên thứ ba. Đây là một rủi ro bảo mật hệ thống đáng kể mà các quản trị viên cần hết sức lưu ý.
Rủi Ro Bảo Mật Hệ Thống và Hậu Quả
Các kỹ thuật né tránh đa lớp của phần mềm độc hại, bao gồm lưu trữ trong cơ sở dữ liệu, xử lý tệp tạm thời và tự tăng cường thông qua các plugin, khiến nó cực kỳ khó bị loại bỏ bằng các biện pháp khắc phục tiêu chuẩn. Khả năng tự phục hồi và che giấu khiến việc phát hiện và làm sạch trở nên phức tạp, có thể dẫn đến việc lây nhiễm tái diễn nếu không được xử lý triệt để.
Chỉ Dấu Thỏa Hiệp (IOCs)
Các quản trị viên website được khuyến nghị quét tìm các chỉ dấu thỏa hiệp (IOCs) sau:
- Sự hiện diện của tệp
wp-index.phptrong thư mục/wp-content/mu-plugins/. - Mục nhập cơ sở dữ liệu
_hdra_coretrong bảngwp_options(hoặc bảng options của tiền tố cài đặt WordPress của bạn). - Sự xuất hiện của các tài khoản quản trị viên bất thường hoặc không rõ ràng, đặc biệt là tài khoản có tên
officialwp. - Sự hiện diện của tệp
pricing-table-3.phptrong thư mục chủ đề đang hoạt động hoặc các tệp PHP khả nghi khác có tên tương tự.
Khuyến Nghị Phát Hiện và Phòng Ngừa
Để giảm thiểu các mối đe dọa như vậy, việc triển khai giám sát tính toàn vẹn tệp (file integrity monitoring) nghiêm ngặt và kiểm toán cơ sở dữ liệu thường xuyên là cực kỳ quan trọng. Các công cụ giám sát tính toàn vẹn tệp có thể phát hiện bất kỳ thay đổi trái phép nào đối với các tệp cốt lõi của WordPress, các thư mục plugin và theme. Kiểm toán cơ sở dữ liệu định kỳ giúp phát hiện các mục nhập bất thường như khóa _hdra_core hoặc các tài khoản người dùng độc hại. Sự cố này một lần nữa nhấn mạnh sự cần thiết cấp bách của việc tăng cường cảnh giác đối với các thư mục ít được biết đến trong kiến trúc WordPress, vì những kẻ tấn công tiếp tục khai thác các sắc thái kiến trúc để duy trì các hoạt động bí mật, kéo dài.
