Cảnh báo CVE trong chuỗi sự cố này liên quan đến việc kẻ tấn công xâm nhập môi trường hỗ trợ nội bộ của DigiCert, chiếm được các chứng chỉ EV Code Signing bị đánh cắp và sử dụng chúng để phát tán họ mã độc Zhong Stealer. Vụ việc cho thấy rủi ro bảo mật không chỉ nằm ở khâu khai thác kỹ thuật, mà còn ở chuỗi cấp phát, xác thực và vận hành chứng chỉ số.
Phương thức xâm nhập vào môi trường hỗ trợ
Vào ngày 02/04/2026, tác nhân đe dọa liên hệ bộ phận hỗ trợ khách hàng của DigiCert qua kênh chat dựa trên Salesforce và liên tục gửi một tệp ZIP độc hại được ngụy trang thành ảnh chụp màn hình của khách hàng. Đây là một kỹ thuật tấn công mạng dựa trên social engineering, trong đó tệp nén chứa một file .scr (screensaver).
Windows xử lý .scr như một executable gốc, vì vậy tệp này có thể được thực thi như chương trình bình thường. CrowdStrike và các lớp phòng vệ endpoint đã chặn bốn lần phân phối liên tiếp, nhưng lần thứ năm đã thành công, làm compromise máy ENDPOINT1 do một analyst vận hành.
Đội Trust Operations của DigiCert phát hiện và cô lập máy này vào ngày 03/04/2026. Tuy nhiên, đây chưa phải toàn bộ phạm vi hệ thống bị xâm nhập.
Khoảng trống phát hiện và máy ENDPOINT2
Ngày 04/04/2026, một máy thứ hai là ENDPOINT2 cũng được xác nhận bị compromise qua cùng vector phân phối. Do sensor CrowdStrike trên máy này gặp trục trặc, sự cố không bị phát hiện trong quá trình điều tra ban đầu.
DigiCert chỉ phát hiện được vi phạm trên ENDPOINT2 vào ngày 14/04/2026, tạo ra khoảng thời gian 10 ngày để kẻ tấn công hoạt động mà không bị gián đoạn. Đây là điểm quan trọng trong phân tích threat intelligence, vì nó cho thấy rủi ro khi telemetry endpoint bị gián đoạn.
Truy cập cổng hỗ trợ và khai thác logic nghiệp vụ
Sau khi chiếm được tài khoản analyst, tác nhân đe dọa truy cập cổng hỗ trợ khách hàng nội bộ và khai thác một tính năng cho phép nhân viên hỗ trợ đã xác thực xem tài khoản khách hàng từ góc nhìn của khách hàng đó.
Tính năng này bị giới hạn, không cho phép quản lý tài khoản, truy cập API key hoặc gửi đơn hàng. Tuy nhiên, nó vẫn hiển thị initialization codes cho các đơn hàng EV Code Signing đã được phê duyệt nhưng chưa phát hành, trên một tập hữu hạn tài khoản khách hàng.
Về mặt kỹ thuật, việc sở hữu initialization code kết hợp với một đơn hàng đã được phê duyệt là đủ để lấy và kích hoạt chứng chỉ hợp lệ. Đây là đường dẫn trực tiếp tới các CA-signed credentials có thể dùng để ký mã độc và vượt qua một số cơ chế kiểm tra tin cậy.
Thu hồi chứng chỉ EV Code Signing
Từ 14/04/2026 đến 17/04/2026, DigiCert đã thu hồi 60 chứng chỉ EV Code Signing được phát hành từ bốn Certificate Authorities:
- DigiCert Trusted G4 Code Signing RSA4096 SHA256 2021 CA1
- DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
- GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1
- Verokey High Assurance Secure Code EV
Trong số 60 chứng chỉ bị thu hồi, 27 chứng chỉ được liên kết trực tiếp với báo cáo sự cố từ cộng đồng, và 16 chứng chỉ được phát hiện trong quá trình điều tra nội bộ của DigiCert. 33 chứng chỉ còn lại được thu hồi như biện pháp phòng ngừa khi chưa thể xác nhận rõ quyền kiểm soát của khách hàng.
Tham khảo thêm về cơ chế thu hồi chứng chỉ và trạng thái CRL/OCSP tại NVD.
Chuỗi tấn công và mục tiêu của mã độc
Các chứng chỉ bị đánh cắp được dùng để ký số payload phát tán Zhong Stealer, một họ mã độc trước đó đã xuất hiện trong các chiến dịch trộm cắp tiền điện tử. Chuỗi tấn công gồm các mồi nhử phishing với ảnh chụp màn hình giả, payload mồi nhử ở giai đoạn đầu, và bước tải thêm mã độc từ các dịch vụ đám mây như AWS.
Việc dùng binary đã được ký số có mục đích làm giảm khả năng bị phát hiện bởi endpoint security. Trong bối cảnh này, mã độc tống tiền không phải mục tiêu chính, nhưng hành vi phát tán phần mềm độc hại qua chứng chỉ hợp lệ cho thấy tác động của rò rỉ dữ liệu nhạy cảm ở cấp độ hạ tầng tin cậy.
IOC liên quan
- IP: 82.23.186[.]8
- IP: 154.12.185[.]32
- IP: 45.144.227[.]12
- IP: 203.160.68[.]2
- IP: 154.12.185[.]30
- IP: 62.197.153[.]45
- IP: 45.144.227[.]29
- Phần mở rộng tệp: .scr
- Vector lừa đảo: ZIP ngụy trang thành ảnh chụp màn hình
- Hạ tầng liên quan: Salesforce-based chat channel, AWS
Biện pháp khắc phục và kiểm soát sau sự cố
DigiCert đã thu hồi toàn bộ 60 chứng chỉ bị ảnh hưởng trong vòng 24 giờ kể từ khi phát hiện. Đồng thời, đơn vị này triển khai các thay đổi mã để chặn người dùng hỗ trợ proxied xem initialization codes cho Code Signing ở cả lớp giao diện người dùng và API.
Các biện pháp khác gồm:
- Vô hiệu hóa Okta FastPass cho truy cập cổng hỗ trợ.
- Tăng yêu cầu MFA.
- Tạm ngưng tài khoản của các analyst bị ảnh hưởng.
- Hủy các đơn hàng Code Signing đang chờ xử lý.
Trong bối cảnh an toàn thông tin, các thay đổi này tập trung vào giảm thiểu nguy cơ tái sử dụng quyền truy cập hợp lệ để lấy chứng chỉ chưa phát hành.
Kiểm tra CRL và OCSP trong hạ tầng nội bộ
Các tổ chức phụ thuộc vào xác thực chữ ký mã cần kiểm tra ngay rằng toàn bộ 60 chứng chỉ DigiCert đã bị thu hồi và đã được đồng bộ qua hạ tầng CRL/OCSP. Đồng thời, các chứng chỉ này không được nằm trong bất kỳ allowlist nội bộ hay cấu hình certificate pinning nào.
Nếu cần đối chiếu trạng thái thu hồi, tham khảo thêm thông tin từ các nguồn công khai và hệ thống xác thực của nhà cung cấp chứng chỉ. Việc bỏ sót đồng bộ CRL/OCSP có thể dẫn đến nguy cơ bảo mật khi binary độc hại vẫn được hệ thống tin cậy.
Điểm cần rà soát trong nội bộ
- Danh sách chứng chỉ EV Code Signing đang trust.
- Cấu hình pinning certificate trong ứng dụng và gateway.
- Trạng thái cập nhật CRL/OCSP trên proxy, endpoint và hệ thống ký số.
- Quyền xem initialization codes của nhân viên hỗ trợ.
Ý nghĩa kỹ thuật đối với phòng thủ endpoint
Sự cố cho thấy một cảnh báo CVE hay đánh giá lỗ hổng đơn lẻ không đủ để phản ánh đầy đủ rủi ro nếu chuỗi hỗ trợ, xác thực và phát hành chứng chỉ không được kiểm soát chặt. Việc một tệp .scr qua được nhiều lớp phòng vệ endpoint, cộng với khoảng trống phát hiện trên ENDPOINT2, tạo điều kiện cho hành vi xâm nhập kéo dài.
Trong thực tế, các tổ chức cần theo dõi chặt các luồng truy cập vào cổng hỗ trợ, sự kiện phát hành chứng chỉ, và các thay đổi bất thường ở tài khoản có quyền xem dữ liệu khách hàng từ góc nhìn nội bộ. Đây là trọng tâm của phát hiện xâm nhập trong các môi trường có hạ tầng chứng chỉ số.
