-
09/04/2020
-
141
-
1.982 bài viết
Tấn công chuỗi cung ứng đe dọa hơn 1,2 triệu website WordPress
Một chiến dịch tấn công chuỗi cung ứng nhắm vào hệ sinh thái WordPress vừa bị phát hiện, đặt hơn 1,2 triệu website vào tình trạng rủi ro sau khi tin tặc cài mã độc vào các tệp JavaScript hợp pháp được phân phối thông qua hạ tầng CDN đáng tin cậy.
Theo Sansec, mục tiêu của chiến dịch là một loạt plugin WordPress phổ biến do Awesome Motive phát triển, bao gồm OptinMonster, TrustPulse và PushEngage. Đây đều là những tiện ích được sử dụng rộng rãi trên hàng triệu website trên toàn thế giới để phục vụ tiếp thị, tương tác khách hàng và gửi thông báo. Riêng OptinMonster hiện có hơn một triệu website đang hoạt động, việc hạ tầng phân phối của các plugin này bị xâm phạm đã tạo ra nguy cơ ảnh hưởng trên diện rộng, biến đây thành một trong những sự cố chuỗi cung ứng đáng chú ý nhất nhắm vào WordPress trong thời gian gần đây.
Khác với các cuộc tấn công thông thường nhắm trực tiếp vào từng website riêng lẻ, kẻ tấn công đã xâm nhập vào chuỗi cung ứng phần mềm bằng cách chèn mã độc vào các tệp JavaScript được phân phối qua hạ tầng CDN của nhà cung cấp plugin, chúng đã biến một thành phần được hàng triệu website tin cậy sử dụng thành công cụ phát tán mã độc trên diện rộng. Mọi website tải các tệp bị sửa đổi đều có nguy cơ thực thi mã của kẻ tấn công mà không hề hay biết. Đây cũng là lý do các cuộc tấn công chuỗi cung ứng luôn được giới chuyên gia đánh giá là đặc biệt nguy hiểm, bởi việc xâm phạm một nguồn cung cấp đáng tin cậy có thể kéo theo sự ảnh hưởng đồng thời tới hàng trăm nghìn hoặc thậm chí hàng triệu hệ thống ở phía sau.
Không chỉ tận dụng chuỗi cung ứng để phát tán trên diện rộng, mã độc còn được trang bị nhiều cơ chế né tránh phân tích. Payload chỉ kích hoạt khi phát hiện phiên quản trị WordPress hợp lệ, giúp tin tặc tập trung vào những mục tiêu có giá trị cao nhất là các tài khoản sở hữu đặc quyền quản trị. Trong khi đó, các môi trường sandbox, trình duyệt headless và hệ thống phân tích tự động lại bị loại khỏi danh sách mục tiêu, khiến phần lớn hoạt động độc hại không xuất hiện trong quá trình kiểm tra thông thường. Chính cách tiếp cận này đã giúp chiến dịch duy trì sự hiện diện trong thời gian dài trước khi bị phát hiện.
Khi được kích hoạt, mã độc bắt đầu xác định môi trường quản trị WordPress, thu thập thông tin về website và trích xuất các token xác thực từ những giao diện REST API và AJAX đang hoạt động. Những token này đóng vai trò như "chìa khóa truy cập", cho phép tin tặc thực hiện nhiều hành động với quyền của quản trị viên hợp pháp. Tận dụng quyền truy cập có được, mã độc tiếp tục tìm cách tạo các tài khoản quản trị trái phép thông qua nhiều cơ chế khác nhau, từ việc gửi yêu cầu trực tiếp tới API cho đến giả mạo các thao tác quản trị thông thường trên website.
Một trong những yếu tố khiến chiến dịch đặc biệt nguy hiểm là toàn bộ mã độc được phân phối thông qua các tên miền hợp pháp thuộc hạ tầng của những plugin bị ảnh hưởng. Từ góc nhìn của website và các giải pháp giám sát mạng, các kết nối này hoàn toàn giống với lưu lượng hợp lệ phục vụ hoạt động bình thường của plugin, khiến việc phát hiện dấu hiệu bất thường trở nên khó khăn hơn đáng kể. Nhờ tận dụng các kênh phân phối đáng tin cậy, tin tặc có thể đưa mã độc đến số lượng lớn website mà không làm dấy lên nghi ngờ ngay lập tức.
Sau khi chiếm được quyền truy cập, mục tiêu tiếp theo của mã độc là thiết lập sự hiện diện lâu dài trên hệ thống. Nó tự động tạo một tài khoản quản trị cố định mang tên developer_api1 cùng nhiều tài khoản khác theo mẫu dev_xxxxxx, giúp tin tặc duy trì quyền kiểm soát ngay cả khi phiên truy cập ban đầu bị chấm dứt. Song song với đó, thông tin thu thập được từ website, bao gồm dữ liệu nhận dạng hệ thống và các thông tin xác thực có giá trị, sẽ được mã hóa trước khi gửi về máy chủ điều khiển từ xa tại tên miền tidio.cc để phục vụ các hoạt động tiếp theo.
Tuy nhiên, việc tạo tài khoản quản trị mới chỉ là một phần trong chiến lược duy trì truy cập. Các nhà nghiên cứu phát hiện chiến dịch còn triển khai thêm một plugin backdoor được thiết kế chuyên biệt nhằm che giấu sự hiện diện của mình khỏi quản trị viên. Plugin này có khả năng tự ẩn khỏi bảng điều khiển WordPress, các API quản trị, cơ chế cập nhật cũng như nhật ký hoạt động của hệ thống, khiến việc phát hiện bằng các phương pháp kiểm tra thông thường trở nên rất khó khăn. Một khi được cài đặt thành công, backdoor sẽ cho phép kẻ tấn công thực thi lệnh từ xa, tải xuống các thành phần độc hại bổ sung và giành quyền kiểm soát hoàn toàn website bị xâm nhập. Điều này đồng nghĩa với việc ngay cả khi mã JavaScript độc hại ban đầu đã bị loại bỏ, tin tặc vẫn có thể duy trì quyền truy cập và tiếp tục thực hiện các hoạt động hậu xâm nhập trên hệ thống trong thời gian dài.
Để hỗ trợ hoạt động điều tra và rà soát hệ thống, Sansec đã công bố một số chỉ dấu tấn công (IoC) liên quan đến chiến dịch:
- Tên miền điều khiển (C2): tidio.cc
- Tài khoản quản trị bất thường: developer_api1 hoặc các tài khoản theo mẫu dev_xxxxxx
- Plugin khả nghi: Content Delivery Helper, Database Optimizer
- Chuỗi nhận diện mã độc: jX9kM2nP4qR6sT8v
Sự xuất hiện của một hoặc nhiều chỉ dấu trên có thể là dấu hiệu cho thấy website đã bị ảnh hưởng và cần được kiểm tra kỹ lưỡng để xác định mức độ xâm nhập.
Theo ghi nhận của Patchstack, hàng trăm nỗ lực tạo tài khoản quản trị trái phép đã bị ngăn chặn trên nhiều website, cho thấy chiến dịch này đang bị tin tặc khai thác tích cực trong thực tế. Quá trình điều tra sau đó xác định nguồn gốc vụ việc bắt đầu từ việc kẻ tấn công lợi dụng một lỗ hổng trên plugin UpdraftPlus để xâm nhập vào máy chủ phục vụ hạ tầng tiếp thị của Awesome Motive. Từ đây, chúng đánh cắp khóa API của hệ thống CDN và sử dụng quyền truy cập có được để chèn mã độc vào các tệp JavaScript hợp pháp, biến hạ tầng phân phối nội dung đáng tin cậy thành công cụ phát tán mã độc tới hàng triệu website WordPress.
Về phía nhà cung cấp, Awesome Motive cho biết đã khẩn trương triển khai các biện pháp ứng phó, bao gồm gỡ bỏ toàn bộ mã độc khỏi hệ thống, thu hồi và thay thế các thông tin xác thực có nguy cơ bị lộ, làm sạch bộ nhớ đệm CDN cũng như di chuyển các dịch vụ bị ảnh hưởng sang hạ tầng mới nhằm ngăn chặn nguy cơ tái xâm nhập.
Với khả năng hoạt động bí mật và duy trì quyền kiểm soát lâu dài, chiến dịch này có thể để lại những dấu vết rất khó phát hiện trên các website bị ảnh hưởng. Các chuyên gia khuyến nghị mọi quản trị viên từng đăng nhập vào hệ thống trong thời gian xảy ra sự cố cần nhanh chóng kiểm tra dấu hiệu xâm nhập, rà soát các tài khoản quản trị bất thường, tìm kiếm các plugin cửa hậu bị ẩn và thay đổi toàn bộ thông tin xác thực. Do mã độc chỉ kích hoạt khi có phiên quản trị hợp lệ, việc kiểm tra trực tiếp trên máy chủ được xem là phương pháp hiệu quả nhất để xác định hệ thống có bị xâm phạm hay không.
Theo ghi nhận của Patchstack, hàng trăm nỗ lực tạo tài khoản quản trị trái phép đã bị ngăn chặn trên nhiều website, cho thấy chiến dịch này đang bị tin tặc khai thác tích cực trong thực tế. Quá trình điều tra sau đó xác định nguồn gốc vụ việc bắt đầu từ việc kẻ tấn công lợi dụng một lỗ hổng trên plugin UpdraftPlus để xâm nhập vào máy chủ phục vụ hạ tầng tiếp thị của Awesome Motive. Từ đây, chúng đánh cắp khóa API của hệ thống CDN và sử dụng quyền truy cập có được để chèn mã độc vào các tệp JavaScript hợp pháp, biến hạ tầng phân phối nội dung đáng tin cậy thành công cụ phát tán mã độc tới hàng triệu website WordPress.
Về phía nhà cung cấp, Awesome Motive cho biết đã khẩn trương triển khai các biện pháp ứng phó, bao gồm gỡ bỏ toàn bộ mã độc khỏi hệ thống, thu hồi và thay thế các thông tin xác thực có nguy cơ bị lộ, làm sạch bộ nhớ đệm CDN cũng như di chuyển các dịch vụ bị ảnh hưởng sang hạ tầng mới nhằm ngăn chặn nguy cơ tái xâm nhập.
Với khả năng hoạt động bí mật và duy trì quyền kiểm soát lâu dài, chiến dịch này có thể để lại những dấu vết rất khó phát hiện trên các website bị ảnh hưởng. Các chuyên gia khuyến nghị mọi quản trị viên từng đăng nhập vào hệ thống trong thời gian xảy ra sự cố cần nhanh chóng kiểm tra dấu hiệu xâm nhập, rà soát các tài khoản quản trị bất thường, tìm kiếm các plugin cửa hậu bị ẩn và thay đổi toàn bộ thông tin xác thực. Do mã độc chỉ kích hoạt khi có phiên quản trị hợp lệ, việc kiểm tra trực tiếp trên máy chủ được xem là phương pháp hiệu quả nhất để xác định hệ thống có bị xâm phạm hay không.