Tấn công chuỗi cung ứng công cụ DAEMON

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một cuộc tấn công chuỗi cung ứng tinh vi liên quan đến trình cài đặt DAEMON Tools. Các tác nhân đe dọa đã xâm nhập thành công vào các trình cài đặt Windows chính thức được phân phối thông qua trang web DAEMON Tools hợp pháp, nhúng mã độc vào các gói phần mềm được ký số. Vì các trình cài đặt này mang chứng chỉ nhà phát triển xác thực, phần mềm độc hại trông có vẻ đáng tin cậy và dễ dàng vượt qua các biện pháp phòng vệ an ninh thông thường.

Các phiên bản trình cài đặt bị xâm phạm nằm trong khoảng từ 12.5.0.2421 đến 12.5.0.2434, với hoạt động độc hại được truy vết đến ngày 8 tháng 4 năm 2026. Chỉ có phiên bản Windows của phần mềm bị ảnh hưởng, trong khi phiên bản Mac vẫn không bị ảnh hưởng. Sau khi sự cố được tiết lộ, nhà phát triển AVB Disc Soft đã phát hành phiên bản 12.6.0.2445, phiên bản này đã loại bỏ chức năng độc hại và khắc phục lỗ hổng bảo mật.

Các thành phần độc hại ẩn giấu bên trong các quy trình hợp pháp

Các nhà điều tra phát hiện ra rằng những kẻ tấn công đã sửa đổi ba thành phần quan trọng của DAEMON Tools:

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

Mỗi khi bất kỳ tập tin nhị phân nào trong số này được khởi chạy, thường là trong quá trình khởi động hệ thống, chúng sẽ kích hoạt một phần mềm độc hại ẩn trên máy tính bị nhiễm. Phần mềm độc hại này liên lạc với một tên miền bên ngoài, env-check.daemontools.cc, được đăng ký vào ngày 27 tháng 3 năm 2026, để lấy các lệnh shell được thực thi thông qua tiến trình cmd.exe của Windows.

Các lệnh được tải xuống đã kích hoạt việc triển khai thêm phần mềm độc hại, cho phép kẻ tấn công mở rộng quyền kiểm soát đối với các hệ thống bị xâm nhập trong khi vẫn ẩn mình trong hành vi phần mềm đáng tin cậy.

Việc triển khai phần mềm độc hại nhiều giai đoạn gây ra báo động.

Chuỗi tấn công bao gồm một số phần mềm độc hại phụ được thiết kế để trinh sát, duy trì hoạt động và điều khiển từ xa. Trong số các tập tin được triển khai có:

envchk.exe — một công cụ trinh sát dựa trên .NET có khả năng thu thập thông tin hệ thống chi tiết.
cdg.exe và cdg.tmp — các thành phần được sử dụng để giải mã và khởi chạy một phần mềm cửa hậu nhẹ có khả năng tải xuống tập tin, thực thi các lệnh shell và chạy shellcode trực tiếp trong bộ nhớ.

Các nhà phân tích bảo mật cũng đã xác định được sự lây lan của một loại mã độc truy cập từ xa có tên QUIC RAT. Phần mềm độc hại này hỗ trợ nhiều phương thức liên lạc điều khiển từ xa (C2), bao gồm HTTP, TCP, UDP, DNS, WSS, QUIC và HTTP/3. Ngoài ra, nó có thể chèn các phần mềm độc hại vào các tiến trình Windows hợp pháp như notepad.exe và conhost.exe, khiến việc phát hiện trở nên khó khăn hơn đáng kể.

Hàng ngàn người bị phơi nhiễm, nhưng chỉ một số nạn nhân được nhắm mục tiêu.

Các nhà nghiên cứu đã quan sát thấy hàng nghìn nỗ lực lây nhiễm liên quan đến các trình cài đặt bị xâm nhập trên hơn 100 quốc gia, bao gồm Nga, Brazil, Thổ Nhĩ Kỳ, Đức, Pháp, Ý, Tây Ban Nha và Trung Quốc. Mặc dù phạm vi lây nhiễm rộng, chỉ một số lượng hạn chế hệ thống nhận được phần mềm độc hại tiên tiến, cho thấy chiến lược nhắm mục tiêu rất chọn lọc.

Phần mềm độc hại tiếp theo đã được phát hiện trong các tổ chức hoạt động trong lĩnh vực bán lẻ, nghiên cứu khoa học, chính phủ, sản xuất và giáo dục trên khắp Nga, Belarus và Thái Lan. Một trường hợp nhiễm QUIC RAT được xác nhận đã nhắm mục tiêu cụ thể vào một cơ sở giáo dục ở Nga.

Việc triển khai có chọn lọc này cho thấy rõ ràng chiến dịch được thiết kế để nhắm mục tiêu chính xác chứ không phải lây nhiễm hàng loạt bừa bãi. Tuy nhiên, các nhà nghiên cứu vẫn chưa xác định được liệu những kẻ tấn công có ý định tiến hành các hoạt động gián điệp mạng hay các cuộc tấn công "săn mồi lớn" vì động cơ tài chính.

Bằng chứng cho thấy đây là một tác nhân đe dọa tinh vi nói tiếng Trung Quốc.

Mặc dù chưa có nhóm tội phạm mạng nào được chính thức liên kết với vụ việc, nhưng phân tích pháp y các dấu vết phần mềm độc hại cho thấy sự tham gia của một đối thủ nói tiếng Trung Quốc. Sự phức tạp của vụ xâm nhập, kết hợp với khả năng xâm phạm phần mềm có chữ ký số được phân phối thông qua kênh chính thức của nhà cung cấp, cho thấy khả năng tấn công tiên tiến và kế hoạch hoạt động dài hạn.

Vụ tấn công vào DAEMON Tools nằm trong làn sóng tấn công chuỗi cung ứng phần mềm ngày càng gia tăng được ghi nhận trong nửa đầu năm 2026. Các sự cố tương tự trước đó đã ảnh hưởng đến eScan vào tháng 1, Notepad++ vào tháng 2 và CPUID vào tháng 4.

Vì sao các cuộc tấn công chuỗi cung ứng lại nguy hiểm đến vậy?

Các lỗ hổng trong chuỗi cung ứng vẫn đặc biệt nguy hiểm vì chúng lợi dụng lòng tin vốn có của người dùng vào các nhà cung cấp phần mềm hợp pháp. Các ứng dụng được tải xuống trực tiếp từ các trang web chính thức và được ký bằng chứng chỉ số hợp lệ hiếm khi bị người dùng hoặc các sản phẩm bảo mật coi là đáng ngờ.

Trong trường hợp này, hoạt động độc hại được cho là đã không bị phát hiện trong gần một tháng, cho thấy cả sự tinh vi của những kẻ tấn công và những hạn chế của các biện pháp phòng thủ an ninh truyền thống dựa trên ranh giới mạng. Các chuyên gia bảo mật nhấn mạnh rằng các tổ chức sử dụng các phiên bản DAEMON Tools bị ảnh hưởng nên ngay lập tức cách ly các hệ thống bị ảnh hưởng và tiến hành các hoạt động săn lùng mối đe dọa toàn diện để xác định khả năng lây lan ngang hoặc các hoạt động độc hại bổ sung trong mạng lưới doanh nghiệp.

Phản hồi từ nhà cung cấp và các bước giảm thiểu rủi ro được đề xuất

AVB Disc Soft cho biết vụ xâm phạm dường như chỉ giới hạn ở phiên bản Lite của phần mềm và xác nhận rằng một cuộc điều tra đang được tiến hành để xác định phạm vi đầy đủ và nguyên nhân gốc rễ của sự cố.

Người dùng đã tải xuống hoặc cài đặt DAEMON Tools Lite phiên bản 12.5.1 trong khoảng thời gian bị ảnh hưởng được khuyến cáo mạnh mẽ nên gỡ bỏ phần mềm ngay lập tức, thực hiện quét virus và bảo mật điểm cuối toàn diện bằng các công cụ bảo mật đáng tin cậy, và chỉ cài đặt lại phiên bản mới nhất được tải trực tiếp từ trang web chính thức của DAEMON Tools.