Phần mềm ổ đĩa quang ảo DAEMON Tools đã hứng chịu các cuộc tấn công vào chuỗi cung ứng kể từ tháng 4, ảnh hưởng đến hàng nghìn người dùng

Các nhà nghiên cứu bảo mật gần đây đã tiết lộ rằng phần mềm ổ đĩa quang ảo được sử dụng rộng rãi DAEMON Tools đã phải hứng chịu một cuộc tấn công nghiêm trọng vào chuỗi cung ứng. Trình cài đặt chính thức của nó đã được cấy một cửa hậu từ đầu tháng 4 năm 2026 và được phân phối qua các kênh chính thức, ảnh hưởng đến hàng nghìn thiết bị trên khắp thế giới. Theo kết quả điều tra do Kaspersky công bố, những kẻ tấn công đã xâm nhập gói cài đặt hợp pháp và tiêm mã độc vào tệp nhị phân được ký điện tử chính thức, cho phép phân phối chương trình độc hại được ngụy trang dưới dạng bản cập nhật phần mềm đáng tin cậy.

Điều tra cho thấy đợt tấn công này bắt đầu vào ngày 8 tháng 4 năm 2026, với nhiều phiên bản của DAEMON Tools (12.5.0.2421 đến 12.5.0.2434) đã bị "đầu độc" và bản cài đặt bị giả mạo chương trình được lưu trữ trực tiếp trên trang web chính thức của phần mềm và được ký bằng chứng chỉ kỹ thuật số hợp lệ của nhà phát triển AVB Disc Soft, điều này làm tăng đáng kể khả năng người dùng nghi ngờ và bị lừa. Các nhà nghiên cứu chỉ ra rằng tính đến đầu tháng 5, cuộc tấn công vẫn đang tiếp diễn và cơ sở hạ tầng độc hại tương ứng vẫn đang hoạt động.

Trong sự cố này, nhiều tệp thực thi cốt lõi như DTHelper.exe, DiscSoftBusServiceLite.exe và DTShellHlp.exe đã được sửa đổi để thêm logic cửa sau ẩn. Sau khi phần mềm được cài đặt, các thành phần này sẽ tự động chạy khi khởi động hệ thống và thiết lập liên lạc với các máy chủ ra lệnh và điều khiển (C2) bên ngoài. Kẻ tấn công cũng đã đăng ký và kích hoạt một tên miền rất giống với tên trang web DAEMON Tools chính thức để ngụy trang lưu lượng truy cập độc hại thành hành vi truy cập thông thường; tên miền chỉ được đăng ký vài ngày trước khi cuộc tấn công bắt đầu, cho thấy cuộc tấn công đã được tính toán và lên kế hoạch cẩn thận từ trước.

Đánh giá từ liên kết tấn công, hoạt động này có cấu trúc theo từng giai đoạn rõ ràng. Trên hầu hết các thiết bị nạn nhân, trước tiên hệ thống sẽ nhận được trọng tải ban đầu đánh cắp thông tin được sử dụng để thu thập nhiều loại dữ liệu môi trường bao gồm địa chỉ MAC, tên máy chủ, danh sách phần mềm đã cài đặt, quy trình đang chạy, cấu hình mạng và cài đặt ngôn ngữ/vùng hệ thống. Dữ liệu này sẽ được tải lên máy chủ do kẻ tấn công kiểm soát và có lẽ được sử dụng để lập hồ sơ và đánh giá giá trị của hệ thống bị nhiễm, từ đó quyết định có nên khởi chạy các công cụ cấp cao hơn trong tương lai hay không. Các nhà nghiên cứu cũng tìm thấy một số chuỗi ký tự tiếng Trung trong tải trọng, cho thấy kẻ tấn công có thể là người dùng Trung Quốc, nhưng vẫn chưa có kết luận truy xuất nguồn gốc chính thức và rõ ràng.

Mặc dù các nỗ lực lây nhiễm đã được phát hiện trên khắp thế giới với số lượng lên tới hàng nghìn nhưng chỉ có một số máy chủ mục tiêu thực sự được phân phối cùng với chương trình độc hại giai đoạn hai. Những "mục tiêu ưu tiên" này hầu hết được liên kết với các tổ chức công nghiệp như chính phủ, sản xuất, nghiên cứu khoa học và bán lẻ. Phương pháp phân phối hạn chế và quá tải có mục tiêu này cho thấy đây không phải là một cuộc tấn công cơ hội đơn giản mà gần hơn với một hành động có chủ đích với mục đích thu thập thông tin tình báo hoặc thâm nhập chiến lược.

Trong số các công cụ giai đoạn hai đã được xác nhận, các nhà nghiên cứu đã tìm thấy một cửa hậu tối giản có thể thực thi các lệnh trên hệ thống nạn nhân, tải tệp xuống và tải mã độc trực tiếp vào bộ nhớ để chạy, từ đó giảm dấu vết đích. Trong ít nhất một lần vi phạm thành công, những kẻ tấn công cũng đã triển khai một bộ cấy tiên tiến có tên QUIC RAT. Chương trình độc hại này hỗ trợ nhiều giao thức liên lạc như HTTP, TCP, DNS, QUIC, v.v. và có thể đưa mã độc hại của riêng nó vào các quy trình hợp pháp như notepad.exe, do đó che giấu thêm các dấu vết hoạt động của nó.

Dữ liệu đo từ xa cho thấy các nỗ lực lây nhiễm liên quan đã được quan sát thấy ở hơn 100 quốc gia. Các khu vực có số lượng hệ thống bị ảnh hưởng nhiều nhất bao gồm Nga, Brazil, Thổ Nhĩ Kỳ, Tây Ban Nha, Đức, Pháp, Ý và Trung Quốc. Khoảng 10% thiết bị bị ảnh hưởng thuộc về các tổ chức khác nhau và hầu hết số còn lại chỉ ở giai đoạn thu thập dữ liệu ban đầu và không nhận thêm tải trọng giai đoạn hai.

Kaspersky tuyên bố rằng các sản phẩm bảo mật của họ có thể phát hiện và ngăn chặn cuộc tấn công này ở nhiều khía cạnh, bao gồm xác định các hành vi tải xuống đáng ngờ dựa trên PowerShell, các chương trình độc hại được thực thi từ các thư mục tạm thời, các hoạt động đưa mã vào các quy trình hợp pháp và các kiểu giao tiếp mạng bên ngoài bất thường. Các nhà nghiên cứu khuyến nghị rằng bất kỳ tổ chức nào đã cài đặt Công cụ DAEMON sau ngày 8 tháng 4 năm 2026 nên tiến hành kiểm tra toàn diện các hệ thống có liên quan, tập trung vào việc kiểm tra các hoạt động dòng lệnh PowerShell bất thường và hoạt động thực thi đáng ngờ được kích hoạt từ thư mục tạm thời. Đồng thời, các tổ chức nên ưu tiên triển khai kiến ​​trúc bảo mật không tin cậy, hạn chế quyền thực thi của các thư mục tạm thời và cải thiện khả năng phục hồi bảo mật tổng thể thông qua chiến lược phòng thủ theo lớp.

Sự cố chuỗi cung ứng DAEMON Tools này một lần nữa cho thấy những kẻ tấn công không ngừng cải tiến các phương thức tấn công chống lại chuỗi cung ứng phần mềm, kết hợp phân phối quy mô lớn với các cuộc tấn công chính xác và sử dụng phần mềm hợp pháp và đáng tin cậy làm bàn đạp để xâm nhập vào nhiều môi trường khác nhau. Theo xu hướng này, ngay cả các công cụ phần mềm được sử dụng phổ biến từ lâu đã được coi là "bảo mật" cũng phải được coi là nguồn rủi ro tiềm ẩn và các tổ chức cần áp dụng các chiến lược bảo mật chủ động và thận trọng hơn để đối phó với các mối đe dọa chuỗi cung ứng ngày càng phức tạp.