Một chiến dịch tấn công mới đang nhắm mục tiêu một cách tinh vi vào các quản trị viên Công nghệ Thông tin (IT) và chuyên gia Tình báo Nguồn Mở (OSINT). Chiến dịch này đại diện cho một hình thức tấn công chuỗi cung ứng tiên tiến, lợi dụng uy tín cao của nền tảng phát triển GitHub để phân phối một backdoor ẩn mình và khó bị phát hiện trong bối cảnh tấn công chuỗi cung ứng ngày càng phức tạp.

Phân tích Sâu về Chiến dịch Tấn công Chuỗi Cung Ứng Qua GitHub

Kỹ thuật Khai thác Uy tín GitHub và Tài khoản Không Hoạt động

Không giống như các cuộc tấn công cơ hội đơn giản, chiến dịch này thể hiện một mức độ lập kế hoạch đáng kể. Những kẻ tấn công sử dụng các tài khoản GitHub đã không hoạt động trong nhiều năm nhằm mục đích bỏ qua sự nghi ngờ và trực tiếp phân phối payload độc hại đến người dùng kỹ thuật mục tiêu.

Quá trình tấn công bắt đầu bằng việc kích hoạt lại các tài khoản GitHub đã cũ. Mục tiêu chính là tận dụng danh tiếng và lịch sử hoạt động đã có của những tài khoản này để xây dựng niềm tin ban đầu.

Sau khi được kích hoạt, các tài khoản này bắt đầu xuất bản các dự án phần mềm được tạo ra một cách chuyên nghiệp bằng công nghệ trí tuệ nhân tạo (AI). Các repository này thường ngụy trang thành các công cụ có giá trị, bao gồm bot giao dịch tiền điện tử, trình bao bọc GPT và các tiện ích liên quan đến bảo mật khác.

Việc ứng dụng nội dung do AI tạo ra cho phép các tác nhân đe dọa nhanh chóng điền đầy các repository bằng mã nguồn trông hoàn toàn hợp pháp. Điều này tạo ra vẻ ngoài của một dự án tích cực và được bảo trì thường xuyên, đánh lừa người dùng, một dấu hiệu điển hình của một cuộc tấn công chuỗi cung ứng được dàn dựng cẩn thận.

Giai đoạn Phát hiện và Triển khai Mã độc PyStoreRAT

Các nhà phân tích của Morphisec đã phát hiện ra chiến dịch này sau khi quan sát thấy một số repository giả mạo đã leo lên danh sách xu hướng của GitHub. Sự hiển thị này đã đặt các công cụ độc hại trực tiếp trước mắt các mục tiêu đã định.

Khi các repository đã tạo được sức hút và lòng tin trong cộng đồng người dùng, những kẻ tấn công đã thực hiện các commit “bảo trì” một cách tinh vi. Các bản cập nhật phần mềm tưởng chừng vô hại này chứa một backdoor JavaScript và HTA chưa được tài liệu hóa trước đây.

Các nhà nghiên cứu đã đặt tên cho mã độc này là “mã độc PyStoreRAT”. Backdoor này được thiết kế đặc biệt để duy trì sự bền bỉ lâu dài trên hệ thống nạn nhân và thực hiện việc đánh cắp dữ liệu một cách lén lút thông qua một chiến dịch tấn công chuỗi cung ứng lén lút.

Khi được cài đặt và kích hoạt, PyStoreRAT hoạt động như một trình tải đa năng. Nó có khả năng thu thập thông tin cấu hình chi tiết về hệ thống của nạn nhân, sau đó triển khai các payload độc hại bổ sung theo yêu cầu từ kẻ tấn công.

Đặc điểm Kỹ thuật và Khả năng của Mã độc

Payload Chính: Rhadamanthys Stealer và Cơ chế Lây lan

Một trong những payload chính được quan sát và phân tích là Rhadamanthys stealer. Đây là một công cụ chuyên dụng được sử dụng để trích xuất và đánh cắp các thông tin nhạy cảm từ hệ thống bị xâm nhập, bao gồm thông tin đăng nhập và dữ liệu cá nhân.

Ngoài chức năng đánh cắp thông tin, mã độc PyStoreRAT còn có khả năng tự lây lan. Nó có thể phát tán thông qua các ổ đĩa di động (removable drives), điều này làm tăng đáng kể phạm vi tiếp cận tiềm năng của mã độc bên trong mạng lưới của một tổ chức.

Để biết thêm chi tiết kỹ thuật về Rhadamanthys stealer, bạn đọc có thể tham khảo bài viết chuyên sâu trên trang Cyber Security News: Tìm hiểu về Rhadamanthys Stealer.

Chiến lược Né tránh Phát hiện Của PyStoreRAT

Một tính năng nổi bật của mã độc PyStoreRAT là khả năng thích ứng linh hoạt với môi trường bảo mật mà nó gặp phải. Mã độc này thực hiện các kiểm tra mở rộng để phát hiện sự hiện diện của các sản phẩm chống virus cụ thể.

Các sản phẩm bảo mật như CrowdStrike Falcon và ReasonLabs là những mục tiêu kiểm tra chính. Nếu phát hiện thấy các biện pháp phòng thủ này, PyStoreRAT sẽ tự động thay đổi kỹ thuật thực thi của nó.

Nó chuyển sang sử dụng các đường dẫn khởi chạy hoặc phương pháp thực thi thay thế để tránh kích hoạt các cảnh báo và duy trì hoạt động ẩn danh, giúp các cuộc tấn công chuỗi cung ứng thành công hơn.

Cơ sở hạ tầng Command-and-Control (C2) Kiên cường

Cơ sở hạ tầng Command-and-Control (C2) hỗ trợ chiến dịch tấn công chuỗi cung ứng này được xây dựng với mục tiêu kiên cường và khó bị vô hiệu hóa. Nó sử dụng một tập hợp các nút xoay vòng (rotating set of nodes) để đảm bảo cập nhật payload của mã độc một cách liền mạch.

Cấu trúc tuần hoàn này tạo ra thách thức lớn cho các nhà phòng thủ. Việc gỡ bỏ toàn bộ hoạt động trở nên khó khăn vì cơ sở hạ tầng có thể nhanh chóng chuyển sang các nút điều khiển mới nếu một nút bị phát hiện hoặc vô hiệu hóa.

Ngoài ra, mã nguồn của PyStoreRAT còn chứa các dấu vết ngôn ngữ đặc trưng, chẳng hạn như các chuỗi ký tự tiếng Nga. Điều này có thể gợi ý về một nguồn gốc địa lý cụ thể hoặc một phạm vi nhắm mục tiêu rõ ràng của những kẻ đứng sau chiến dịch.

Bạn có thể tham khảo báo cáo chi tiết từ Morphisec về chiến dịch này tại đây: Báo cáo Morphisec về PyStoreRAT.

Chỉ số Thỏa hiệp (IOC) và Khuyến nghị Phòng thủ

Thông tin IOC và Thành phần Mã độc Chính

Dựa trên thông tin phân tích, chiến dịch này tập trung vào việc phân phối các loại mã độc cụ thể thay vì sử dụng các chỉ số thỏa hiệp truyền thống như địa chỉ IP hay hash file cụ thể. Các thành phần mã độc chính bao gồm:

• PyStoreRAT: Đây là backdoor JavaScript và HTA chính, có khả năng thực hiện nhiều chức năng độc hại.
• Rhadamanthys stealer: Một payload thứ cấp chuyên dụng, được sử dụng để đánh cắp các thông tin nhạy cảm và tài khoản người dùng.

Các chuyên gia bảo mật cần tập trung vào việc phát hiện hành vi của các loại mã độc này thay vì chỉ dựa vào các chữ ký tĩnh, đặc biệt khi đối phó với một mối đe dọa mạng mới và phức tạp.

Chiến lược Phòng thủ được Đề xuất Chống Lại Các Mối Đe Dọa Mạng

Để chống lại các mối đe dọa mạng tinh vi như chiến dịch tấn công chuỗi cung ứng này, các chuyên gia bảo mật khuyến nghị áp dụng các chiến lược phòng thủ dựa trên hành vi (behavior-based defense). Các chiến lược này không chỉ dựa vào các chữ ký tĩnh lỗi thời để phát hiện.

Thay vào đó, việc tập trung vào giám sát các hành vi bất thường của hệ thống và ứng dụng là cực kỳ quan trọng. Phương pháp này giúp phát hiện các cuộc tấn công mới và biến thể mã độc chưa có chữ ký, bao gồm cả những hoạt động lén lút của PyStoreRAT và Rhadamanthys stealer.

Việc triển khai các hệ thống phát hiện và phản ứng điểm cuối (EDR) tiên tiến, cùng với việc huấn luyện người dùng về nhận diện các dự án phần mềm giả mạo, sẽ tăng cường đáng kể khả năng phòng thủ của tổ chức trước những mối đe dọa tinh vi này và các cuộc tấn công chuỗi cung ứng tương tự trong tương lai.