Chiến dịch WP-SHELLSTORM: Hacker vô tình để lộ máy chủ chứa danh sách 1,4 triệu website mục tiêu
Một nhóm tội phạm mạng vừa vô tình để lộ máy chủ chứa các công cụ tấn công, nhật ký hoạt động và danh sách 1,4 triệu website mục tiêu, phơi bày phương thức vận hành của chiến dịch...
Một nhóm tội phạm mạng đã mắc sai lầm nghiêm trọng khi để hở một máy chủ chứa toàn bộ dữ liệu vận hành trong suốt ba tuần. Sự cố này đã phơi bày các công cụ hacking, nhật ký hoạt động và danh sách hơn 1,4 triệu website mục tiêu, cho phép các chuyên gia an ninh mạng giải mã cách thức vận hành của chiến dịch được đặt tên là WP-SHELLSTORM.
Table Of Content
Chiến dịch WP-SHELLSTORM là gì?
Theo báo cáo từ SOCRadar, WP-SHELLSTORM hoạt động như một dịch vụ môi giới quyền truy cập webshell. Nhóm này thực hiện tấn công quy mô lớn vào các website, cài đặt backdoor (webshell) để chiếm quyền điều khiển, sau đó đóng gói quyền truy cập này để bán lại. Các mục tiêu chính là những website WordPress và Joomla sử dụng các plugin lỗi thời.
Sự cố lộ dữ liệu xảy ra do hacker sử dụng một máy chủ thuê tại Mỹ (địa chỉ 137.175.93[.]126) và khởi chạy một server Python để di chuyển file nhưng quên thiết lập mật khẩu bảo vệ. Trong 800MB dữ liệu bị lộ bao gồm các script exploit, kết quả quét lỗ hổng và lịch sử lệnh của kẻ tấn công.
Phương thức tấn công
Nhóm này sử dụng các lỗ hổng đã biết (CVE) trong các plugin website, kết hợp với công cụ quét tự động dựa trên nền tảng tìm kiếm FOFA. Khi phát hiện website có lỗ hổng, chúng sẽ chèn webshell để thực thi lệnh từ xa, đọc file và đánh cắp dữ liệu. Một trong những lỗ hổng bị khai thác mạnh nhất là CVE-2026-3844 trong plugin Breeze caching, giúp chúng chiếm quyền kiểm soát hơn 17.000 website.
Đáng chú ý, nhóm này còn sử dụng backdoor VShell, được ngụy trang dưới tên tiến trình [kworker/0:2] để đánh lừa quản trị viên. Công cụ này có khả năng quản lý file, thực thi lệnh và quét mạng nội bộ.
Dấu vết từ các chiến dịch trước
Trước khi tập trung vào WordPress, nhóm này từng thực hiện một chiến dịch tinh vi hơn nhắm vào các hệ thống Java doanh nghiệp vào tháng 5/2026. Chúng đã đánh cắp thông tin đăng nhập cloud (AWS, Alibaba Cloud, Oracle, v.v.) và các khóa bảo mật quan trọng bằng cách khai thác lỗ hổng trong Nacos (CVE-2021-29441). Các chuyên gia nhận định đây là bước chuẩn bị tài chính trước khi mở rộng quy mô tấn công hàng loạt.
Khuyến nghị bảo mật
Dựa trên các phát hiện, quản trị viên cần thực hiện ngay các bước sau:
- Cập nhật phần mềm: Ưu tiên patch plugin Breeze (bản 2.4.5 trở lên) và Joomla JCE (bản 2.9.99.5 trở lên).
- Kiểm tra lỗ hổng: Rà soát các plugin như ThemeREX Addons, Simple File List, Custom CSS JS PHP, BerqWP, Ninja Forms, WavePlayer, WPBookit và WP File Manager.
- Bảo mật Nacos: Nâng cấp lên phiên bản 2.2.1 trở lên và kích hoạt xác thực (
nacos.core.auth.enabled=true). - Rà soát backdoor: Tìm kiếm các file có tên như
.bd.php,.wp-log.php, hoặc.brq-*.php. Kiểm tra các tiến trình[kworker/X:Y]; nếu tiến trình này không có đường dẫn thực thi hoặc kết nối mạng bất thường, đó có thể là dấu hiệu bị nhiễm mã độc. - Chặn hạ tầng tấn công: Cân nhắc chặn các địa chỉ IP 137.175.93[.]126, 43.108.17[.]80 và tên miền xs.xxooonline[.]eu[.]cc.
Sự việc này là lời nhắc nhở rằng không cần đến các lỗ hổng zero-day phức tạp, chỉ với các lỗ hổng công khai và công cụ tự động, kẻ tấn công vẫn có thể gây ra thiệt hại trên quy mô lớn nếu quản trị viên không thực hiện tốt công tác vá lỗi (patching).
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.