Nhóm tin tặc CylindricalCanine đứng sau vụ tấn công DigiCert và đánh cắp chứng chỉ số
Các nhà nghiên cứu an ninh mạng đã xác định nhóm CylindricalCanine, một nhánh của tổ chức tội phạm mạng GoldenEyeDog, là thủ phạm đứng sau vụ xâm nhập vào DigiCert hồi tháng...
Các chuyên gia an ninh mạng vừa công bố kết quả điều tra về sự cố bảo mật tại DigiCert vào tháng 4/2026, xác định thủ phạm là một nhóm nhỏ có tên CylindricalCanine. Đây được cho là một nhánh thuộc tổ chức tội phạm mạng khét tiếng GoldenEyeDog (còn được biết đến với các tên gọi như APT-Q-27, Dragon Breath hoặc Miuuti Group), vốn nổi danh với các chiến dịch nhắm vào ngành công nghiệp cờ bạc và giải trí từ năm 2015.
Chi tiết vụ xâm nhập DigiCert
Theo phân tích từ Expel, nhóm CylindricalCanine đã thực hiện tấn công thông qua việc chiếm quyền điều khiển thiết bị của một nhân viên hỗ trợ tại DigiCert. Kẻ tấn công đã gửi một tệp ZIP ngụy trang dưới dạng ảnh chụp màn hình qua kênh chat hỗ trợ khách hàng. Khi nhân viên mở tệp này, một tệp thực thi .scr chứa mã độc đã được kích hoạt.
Lợi dụng tính năng hỗ trợ khách hàng nội bộ, kẻ tấn công đã truy cập vào các mã khởi tạo (initialization codes) của những đơn hàng chứng chỉ EV Code Signing đang chờ xử lý. Sự cố này dẫn đến việc DigiCert phải thu hồi 60 chứng chỉ số, trong đó 27 chứng chỉ được xác nhận đã bị nhóm này sử dụng để ký mã độc Zhong Stealer nhằm qua mặt các cơ chế bảo mật.
Golden Gh0st RAT: Vũ khí chủ lực
Công cụ chính được nhóm này sử dụng là Golden Gh0st RAT, một biến thể tùy chỉnh của dòng mã độc Gh0st RAT phổ biến trong giới hacker Trung Quốc. Quy trình tấn công thường bắt đầu bằng các chiến dịch phishing, dẫn dụ nạn nhân tải xuống các tệp tin từ server bên ngoài.
Quy trình lây nhiễm sử dụng kỹ thuật DLL side-loading, trong đó một tệp thực thi hợp lệ được dùng để chạy tệp DLL độc hại, đồng thời hiển thị một tài liệu PDF giả mạo thông báo lỗi HTTP 503 để đánh lạc hướng người dùng. Sau khi xâm nhập thành công, Golden Gh0st RAT cung cấp cho kẻ tấn công khả năng toàn quyền kiểm soát hệ thống, bao gồm:
- Thiết lập sự bền bỉ (persistence) trên máy nạn nhân.
- Đánh cắp dữ liệu nhạy cảm từ các trình duyệt (Chrome, Firefox, Edge, v.v.).
- Thiết lập tunnel proxy SOCKS.
- Ghi lại thao tác bàn phím (keylogging) và chụp ảnh màn hình.
- Thực thi lệnh shell và xóa nhật ký Windows Event.
Sau sự cố, DigiCert đã triển khai các bản vá kỹ thuật nhằm che giấu mã khởi tạo đối với người dùng proxy trên cả nền tảng web và API, ngăn chặn kịch bản tương tự tái diễn.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.