Tấn công chuỗi cung ứng Daemon Tools nhắm vào các cơ quan chính phủ và khoa học

Theo báo cáo mới nhất từ Kaspersky, các tổ chức thuộc lĩnh vực chính phủ, khoa học, sản xuất và bán lẻ đang trở thành mục tiêu của một cuộc tấn công chuỗi cung ứng tinh vi thông qua phần mềm tạo đĩa ảo Daemon Tools.

Trong chiến dịch này, các tin tặc nói tiếng Trung được cho là đã tiêm mã độc vào nhiều phiên bản cập nhật của Daemon Tools được phân phối thông qua trang web chính thức của nhà phát triển.

Các phiên bản bị ảnh hưởng

Kaspersky xác nhận rằng các phiên bản Daemon Tools từ 12.5.0.2421 đến 12.5.0.2434, được phát hành kể từ ngày 8 tháng 4, đều chứa mã độc đã bị tiêm. Hiện tại, cuộc tấn công vẫn đang hoạt động và công ty phát triển phần mềm AVB Disc Soft đã được thông báo về sự cố bảo mật này.

Là một phần của cuộc tấn công chuỗi cung ứng, các tác giả đe dọa đã xâm phạm thành công ba tệp thực thi (binary) trong phần mềm: DTHelper.exe, DiscSoftBusServiceLite.exe và DTShellHlp.exe. Đáng chú ý, tất cả các tệp này đều được ký kỹ thuật số bằng các chứng chỉ hợp lệ thuộc về AVB Disc Soft.

"Bất cứ khi nào một trong các tệp nhị phân này được khởi chạy — điều xảy ra khi máy tính khởi động — một cửa sau (backdoor) sẽ được kích hoạt. Cửa sau này được cài đặt trong mã khởi động chịu trách nhiệm khởi tạo môi trường CRT," Kaspersky giải thích về cơ chế hoạt động của mã độc.

Cơ chế lây nhiễm và phạm vi tác động

Cửa sau được quan sát thấy gửi yêu cầu kết nối đến một tên miền giả mạo (typosquatting) được đăng ký vào ngày 27 tháng 3. Máy chủ điều khiển sẽ phản hồi bằng một lệnh shell được thực thi thông qua command prompt để tải và chạy payload độc hại.

Các tin tặc đã sử dụng cơ chế này để cố gắng triển khai công cụ thu thập thông tin trên hàng nghìn máy tính tại hơn 100 quốc gia, chủ yếu tập trung ở Brazil, Trung Quốc, Pháp, Đức, Ý, Nga, Tây Ban Nha và Thổ Nhĩ Kỳ. Khoảng 10% số máy bị ảnh hưởng thuộc về các doanh nghiệp và tổ chức khác nhau.

Tuy nhiên, mục tiêu thực sự của cuộc tấn công có tính chọn lọc cao hơn nhiều. Dựa trên thông tin thu thập được từ giai đoạn đầu, tin tặc đã xác định các hệ thống có giá trị quan trọng và lây nhiễm chúng bằng một biến thể cửa sau thứ hai, tối giản và khó phát hiện hơn.

Mục tiêu có chọn lọc

Chỉ khoảng một chục hệ thống tại các tổ chức chính phủ, khoa học, sản xuất và bán lẻ tại Belarus, Nga và Thái Lan thực sự bị nhiễm cửa sau thứ hai này. Điều này cho thấy rõ ràng động thái tấn công có mục tiêu (targeted attack) thay vì phát tán ngẫu nhiên.

Hơn nữa, cửa sau này còn được sử dụng để triển khai phần mềm độc hại phức tạp hơn, cụ thể là QUIC RAT, nhắm vào một cơ sở giáo dục duy nhất tại Nga.

"Cách triển khai cửa sau cho một tập hợp nhỏ các máy bị nhiễm rõ ràng cho thấy kẻ tấn công có ý định thực hiện việc lây nhiễm theo cách có mục tiêu. Tuy nhiên, ý định cụ thể của họ — dù là gián điệp mạng hay săn 'con mồi lớn' (big game hunting) — hiện vẫn chưa được làm rõ," Kaspersky nhận định trong báo cáo.