GootLoader quay lại: chiêu dùng font WOFF2 để ẩn mã độc trên WordPress

Gần đây, GootLoader tái xuất với kỹ thuật mới: nhúng WOFF2 web font
có glyph substitution để che tên file, kết hợp với ZIP/XOR packing để né phân tích tự động.
Bài viết này mô tả dòng thời gian & luồng tấn công, cách phát hiện và các bước ứng phó cho quản trị WordPress.

1. Tóm tắt luồng tấn công (Attack Flow)

Dưới đây là mô tả tuần tự (high-level) của chuỗi tấn công mà GootLoader đang dùng:

1. SEO poisoning / Malvertising
   - Nạn nhân tìm mẫu hợp đồng trên Google/Bing.
   - Kết quả tìm kiếm chứa Google Ads hoặc redirect đến site độc hại.

2. Trang WordPress bị chiếm / trang giả mạo
   - Trang hiển thị link/download tới ZIP độc hại.
   - Trang nhúng JavaScript chứa WOFF2 (Z85-encoded) để obfuscate filenames.

3. Tải ZIP (XOR-encrypted) qua endpoint comment hoặc download link
   - ZIP chứa payload được đóng gói đặc biệt:
       • Trên công cụ phân tích: giải nén ra .TXT (nhẹ, vô hại).
       • Trên Windows Explorer: giải nén ra .js (payload thực).

4. Thực thi JavaScript loader
   - Loader giải mã, tải Supper (SocksShell) hoặc backdoor khác.
   - Tải thêm module, thiết lập SOCKS5 proxy hoặc remote shell.

5. Lateral movement
   - Kẻ tấn công dùng WinRM/AnyDesk/credentials reuse để di chuyển ngang.
   - Chiếm Domain Controller, tạo admin account, triển khai ransomware hoặc tiếp tục stealthy exfiltration.
  

Ghi chú: kỹ thuật đáng chú ý ở bước 2 là dùng @font-face với font tùy chỉnh (WOFF2) và glyph mapping để khi inspect DOM/HTML thấy ký tự lạ, nhưng khi render trên trình duyệt lại hiển thị tên file hợp lệ — nhằm né tầm nhìn con người và công cụ phân tích tĩnh.

2. Chỉ số nhận diện (Indicators of Compromise)

• HTML/JS chứa chuỗi Z85/Base85 dài hoặc đoạn mã nhúng font (.woff2) dạng blob.
• Requests POST tới endpoint comment với payload lớn (như Base85/XOR blobs).
• ZIP download có hành vi khác nhau khi unpack trên Windows Explorer vs 7-Zip/VirusTotal.
• Outbound kết nối SOCKS5 tới host lạ; AnyDesk/WinRM kết nối bất thường.
• EDR cảnh báo thực thi JS từ thư mục tải xuống hoặc %TEMP%.

3. Phát hiện & phân tích (Tactical detection)

Web / App server

• Search trong webroot cho pattern: @font-face, data:font/woff2, hoặc chuỗi Z85 dài (> 1KB).
• Quét wp_comments cho entry chứa URLs lạ hoặc blob payload.
• Phân tích access logs: POST nhiều tới /wp-comments-post.php hoặc REST endpoints.

Endpoint / Network

• Thiết lập IDS rule phát hiện traffic SOCKS5 hoặc kết nối bất thường từ web server tới host ngoài.
• EDR rule: phát hiện tạo tiến trình WinRM, AnyDesk, hoặc scripts thực thi JS từ folder download.

4. Hướng dẫn ứng phó khẩn cấp (Incident Response)

Ngắt kết nối & bảo toàn bằng chứng

1. Isolate server (block public access / chuyển site vào chế độ maintenance).
2. Snapshot / backup nguyên trạng file system & DB (label forensic).
3. Thu thập logs (webserver, PHP-FPM, WP, syslog) cho giai đoạn trước & sau nghi ngờ.

Phân tích & loại bỏ

1. Quét webroot tìm JS/HTML có dấu hiệu Z85/WOFF2; lưu hash làm IOC.
2. Kiểm tra wp_options, wp_users, wp_posts, wp_comments cho entry lạ.
3. Xóa file độc hại, thay thế bằng bản sạch, cập nhật core/theme/plugin lên phiên bản mới nhất.

Ứng phó nếu có lateral movement (DC compromise)

• Isolate Domain Controller, disable network interfaces nếu cần.
• Thực hiện AD audit: user mới, thay đổi GPO, scheduled tasks, service account.
• Rotate mật khẩu, revoke token, thực hiện forensics chuyên sâu; cân nhắc rebuild từ backup sạch.

5. Hardening & phòng ngừa dài hạn

WordPress specific

• Luôn cập nhật core, plugins, themes và loại bỏ plugin không dùng.
• Đặt define('DISALLOW_FILE_EDIT', true); trong wp-config.php.
• Sử dụng WAF (Cloudflare, Sucuri, ModSecurity) với rule chặn payload nhúng font/long-blob.
• Giới hạn upload types; scan file upload tự động (ClamAV/virus scanner).
• Áp dụng 2FA cho admin; hạn chế truy cập /wp-admin theo IP nếu có thể.

Mạng & hệ thống

• EDR/NGAV để phát hiện script execution và anomali PowerShell/WinRM.
• IDS/Suricata rules để phát hiện SOCKS5/đi ra bất thường.
• Least-privilege cho accounts; MFA cho quản trị; giới hạn remote admin từ internet.

6. Checklist nhanh (IR playbook cho admin)

1. Sao lưu forensic + snapshot.
2. Quét webroot bằng Maldet/ClamAV, tìm Z85/WOFF2 patterns.
3. Kiểm tra wp_comments, wp_users, wp_options for anomalies.
4. Đổi mật khẩu admin, rotate keys, revoke OAuth apps nghi ngờ.
5. Khôi phục site từ backup sạch nếu persistent backdoor không thể loại bỏ.
6. Thực hiện post-incident hardening: WAF, 2FA, patching, AV, logging.

7. Mô tả luồng tấn công (chi tiết để chèn vào báo cáo)

Luồng tấn công (dạng sequence):

1) Recon & SEO poisoning:
   - Attacker mua Google Ads / SEO để đẩy kết quả tới page độc hại.
2) Initial compromise:
   - Nạn nhân download ZIP từ site; site có thể là WordPress bị chiếm hoặc trang giả mạo.
3) Delivery & Evasion:
   - ZIP gửi qua comment API hoặc direct link; nội dung ZIP được XOR-coded.
   - Trang dùng WOFF2 glyph-sub substitution để hiển thị tên file 'sạch' cho người dùng.
4) Execution:
   - Người dùng mở file trên Windows => .js payload chạy (hoặc trick social-engineering để chạy).
5) Post-exploit:
   - Loader tải Supper backdoor; thiết lập SOCKS5 tunnel.
6) Lateral move & persistence:
   - Dùng WinRM/AnyDesk/credential reuse để leo sang DC -> tạo account admin -> triển khai additional payload (ransomware/exfil).
  

Bạn có thể chèn đoạn sequence này vào báo cáo forensic, kèm timeline (timestamp từ logs) để chứng minh window of compromise và các hành động điều tra tiếp theo.

GootLoader tiếp tục cho thấy tội phạm mạng ưu tiên evasion và social engineering hơn là exploit zero-day.
Với kỹ thuật WOFF2 + ZIP trick, mục tiêu là kéo dài thời gian lộ diện và đánh lừa cả người dùng lẫn hệ thống phân tích.
Việc phòng thủ hiệu quả đòi hỏi kết hợp: cập nhật, WAF, EDR, giám sát network, và quy trình IR sẵn sàng.