Các nhà nghiên cứu tại c/side đã phát hiện một cuộc tấn công mạng đang diễn ra vào các trang web lưu trữ trên WordPress. Các chuyên gia đã phát hiện ra chiến dịch này khi ứng phó với một cuộc tấn công có tổ chức nhằm vào một trong những khách hàng của c/side, một công cụ an ninh mạng được thiết kế để giám sát, bảo mật và tối ưu hóa các tập lệnh của bên thứ ba được sử dụng trên các trang web.
Mục đích của chiến dịch này là đánh cắp dữ liệu từ các trang web. Để đạt được điều này, trước tiên tin tặc phải xâm nhập vào cơ sở hạ tầng của nạn nhân. Bất chấp quá trình nghiên cứu, c/side vẫn chưa phát hiện ra cách thức tội phạm mạng xâm nhập vào các trang web mục tiêu. Phương thức tấn công ban đầu vẫn còn là một bí ẩn.
Khi đã xâm nhập vào các trang web, kẻ tấn công sẽ tải một tập lệnh độc hại từ một tên miền, https://wp3[.]xyz/td.js. Tập lệnh sẽ tạo ra "tài khoản quản trị viên trái phép" bằng cách đào sâu vào mã nguồn của chính nó. Trên thực tế, tập lệnh này chứa tên người dùng và mật khẩu được liên kết với các tài khoản đã tạo này.
Sau đó, tập lệnh sẽ tải xuống một plugin WordPress độc hại từ miền được đề cập ở trên. Plugin này sẽ gửi “dữ liệu nhạy cảm đến máy chủ từ xa”. Theo c/side giải thích, plugin này được thiết kế để đánh cắp thông tin đăng nhập và nhật ký của quản trị viên trang web. Theo c/side, “hơn 5.000 trang web trên toàn thế giới” đã bị ảnh hưởng.
Để tránh rơi vào bẫy của tin tặc, c/side khuyên bạn trước tiên nên chặn tên miền https://wp3[.]xyz/td.js bằng tường lửa. Bằng cách chặn tên miền này, mọi giao tiếp với tên miền này (tải xuống, tải lên dữ liệu, yêu cầu) đều bị cấm. Biện pháp này sẽ cắt cỏ dưới chân tin tặc và ngăn chặn chúng thực hiện cuộc tấn công đến cùng.
Ngoài ra, các nhà nghiên cứu khuyên người quản trị xem xét tài khoản để xác định và xóa những người dùng trái phép. Nếu bạn đang ở trong tầm ngắm của cuộc tấn công mạng, bạn sẽ gặp phải các tài khoản quản trị viên độc hại. Làm tương tự với tất cả các plugin được cài đặt trên trang WordPress của bạn. Trên đường đi, hãy cân nhắc triển khai hệ thống xác thực hai yếu tố, điều này một lần nữa sẽ làm phức tạp thêm cuộc sống của những kẻ tấn công.
Cuối cùng, c/side khuyến nghị triển khai biện pháp bảo vệ CSRF (Làm giả yêu cầu giữa các trang web), được thiết kế để ngăn chặn kẻ tấn công buộc người dùng đã xác thực thực hiện các hành động độc hại mà họ không biết. Cho đến khi chúng ta tìm hiểu thêm về nguồn gốc của cuộc tấn công mạng, những biện pháp phòng ngừa này sẽ giúp bảo vệ trang web của bạn.
Nguồn: c/side
Vẫn chưa rõ vectơ tấn công
Mục đích của chiến dịch này là đánh cắp dữ liệu từ các trang web. Để đạt được điều này, trước tiên tin tặc phải xâm nhập vào cơ sở hạ tầng của nạn nhân. Bất chấp quá trình nghiên cứu, c/side vẫn chưa phát hiện ra cách thức tội phạm mạng xâm nhập vào các trang web mục tiêu. Phương thức tấn công ban đầu vẫn còn là một bí ẩn.
Một tên miền và một tập lệnh độc hại
Khi đã xâm nhập vào các trang web, kẻ tấn công sẽ tải một tập lệnh độc hại từ một tên miền, https://wp3[.]xyz/td.js. Tập lệnh sẽ tạo ra "tài khoản quản trị viên trái phép" bằng cách đào sâu vào mã nguồn của chính nó. Trên thực tế, tập lệnh này chứa tên người dùng và mật khẩu được liên kết với các tài khoản đã tạo này.
Sau đó, tập lệnh sẽ tải xuống một plugin WordPress độc hại từ miền được đề cập ở trên. Plugin này sẽ gửi “dữ liệu nhạy cảm đến máy chủ từ xa”. Theo c/side giải thích, plugin này được thiết kế để đánh cắp thông tin đăng nhập và nhật ký của quản trị viên trang web. Theo c/side, “hơn 5.000 trang web trên toàn thế giới” đã bị ảnh hưởng.
Làm thế nào để bảo vệ trang web của bạn khỏi tin tặc?
Để tránh rơi vào bẫy của tin tặc, c/side khuyên bạn trước tiên nên chặn tên miền https://wp3[.]xyz/td.js bằng tường lửa. Bằng cách chặn tên miền này, mọi giao tiếp với tên miền này (tải xuống, tải lên dữ liệu, yêu cầu) đều bị cấm. Biện pháp này sẽ cắt cỏ dưới chân tin tặc và ngăn chặn chúng thực hiện cuộc tấn công đến cùng.
Ngoài ra, các nhà nghiên cứu khuyên người quản trị xem xét tài khoản để xác định và xóa những người dùng trái phép. Nếu bạn đang ở trong tầm ngắm của cuộc tấn công mạng, bạn sẽ gặp phải các tài khoản quản trị viên độc hại. Làm tương tự với tất cả các plugin được cài đặt trên trang WordPress của bạn. Trên đường đi, hãy cân nhắc triển khai hệ thống xác thực hai yếu tố, điều này một lần nữa sẽ làm phức tạp thêm cuộc sống của những kẻ tấn công.
Cuối cùng, c/side khuyến nghị triển khai biện pháp bảo vệ CSRF (Làm giả yêu cầu giữa các trang web), được thiết kế để ngăn chặn kẻ tấn công buộc người dùng đã xác thực thực hiện các hành động độc hại mà họ không biết. Cho đến khi chúng ta tìm hiểu thêm về nguồn gốc của cuộc tấn công mạng, những biện pháp phòng ngừa này sẽ giúp bảo vệ trang web của bạn.
Nguồn: c/side
