Một chiến dịch tấn công mạng mới và phức tạp đã được phát hiện, nhắm vào các chuyên gia IT ở Tây Âu. Chiến dịch này lợi dụng các nền tảng đáng tin cậy và kỹ thuật né tránh phân tích phụ thuộc vào phần cứng.
Phân tích Chiến dịch Tấn công Mạng GPUGate
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch phân phối mã độc cực kỳ tinh vi. Chiến dịch này khéo léo sử dụng Google Ads và cơ sở hạ tầng GitHub để phát tán một loại mã độc mới có tên “GPUGate”.
Bản chất Chiến dịch Malvertising và Lợi dụng GitHub
Cuộc tấn công mạng bắt đầu bằng một kế hoạch quảng cáo độc hại được dàn dựng công phu. Các tác nhân đe dọa mua Google Ads để hiển thị ở đầu kết quả tìm kiếm khi người dùng tìm “GitHub Desktop”.
Các quảng cáo được tài trợ này mô phỏng thương hiệu GitHub hợp pháp. Chúng dẫn người dùng đến một trang kho lưu trữ GitHub có vẻ chính thức.
Tuy nhiên, những kẻ tấn công đã khéo léo thao túng cấu trúc commit của GitHub để tạo ra sự lừa dối. Chúng không lưu trữ một trang web giả mạo hoàn toàn.
Thay vào đó, các đối tượng tạo ra các commit cụ thể trong các kho lưu trữ GitHub hợp pháp. Chúng sửa đổi các tệp README để bao gồm các liên kết tải xuống độc hại.
Bằng cách sử dụng các URL dành riêng cho commit, chúng có thể hiển thị các trang vẫn giữ tất cả siêu dữ liệu hợp pháp của kho lưu trữ gốc. Điều này bao gồm số sao, người đóng góp và tên kho lưu trữ, trong khi vẫn cung cấp nội dung độc hại.
Sự thao túng này gần như vô hình đối với người dùng không nghi ngờ. Khi nạn nhân nhấp vào quảng cáo độc hại, họ được chuyển hướng đến chế độ xem commit cụ thể. Điều này bỏ qua biểu ngữ cảnh báo của GitHub thông qua các kỹ thuật neo URL khéo léo.
Các liên kết tải xuống trên các trang bị xâm phạm này chuyển hướng người dùng đến miền do kẻ tấn công kiểm soát là “gitpage[.]app”. Miền này thay thế cơ sở hạ tầng phát hành chính thức của GitHub.
Kỹ thuật Né Tránh Phân tích Dựa trên GPU
Bản thân tải trọng mã độc là một bước đột phá trong các kỹ thuật chống phân tích. Trình cài đặt ban đầu, ngụy trang dưới dạng “GitHubDesktopSetup-x64.exe”, là một tệp MSI (Microsoft Software Installer) có kích thước lớn 128 MB.
Kích thước này được thiết kế để né tránh các hạn chế của môi trường sandbox bảo mật, vốn thường giới hạn việc tải lên các tệp lớn.
Giai đoạn đầu tiên được giải mã bằng XOR với khóa 0x5A. Sau đó, nó khởi chạy mã tạo khóa để giải mã tải trọng giai đoạn thứ hai.
Sự đổi mới thực sự nằm ở cơ chế giải mã của GPUGate. Mã độc sử dụng một OpenCL kernel để tạo khóa mã hóa độc quyền trên các hệ thống được trang bị phần cứng GPU hợp pháp.
Quy trình giải mã kiểm tra cụ thể độ dài tên thiết bị GPU. Nó yêu cầu tên dài hơn 10 ký tự để tiến hành giải mã tải trọng.
Yêu cầu phần cứng này giúp loại bỏ hiệu quả các máy ảo và môi trường phân tích. Các môi trường này thường có tên GPU chung chung như “VMware SVGA” (chính xác 10 ký tự).
Trong khi đó, các GPU chơi game hoặc máy trạm hợp pháp mang tên dài hơn, ví dụ “NVIDIA GeForce RTX 4090” (25 ký tự).
Các hệ thống không đáp ứng yêu cầu này sẽ nhận được khóa giải mã giả. Điều này khiến tải trọng bị mã hóa vĩnh viễn và không hoạt động.
Mã độc AMOS Stealer và Mục tiêu Chuyên biệt
Chiến dịch tấn công mạng này có phạm vi đáng kể, không chỉ nhắm vào hệ thống Windows mà còn mục tiêu người dùng macOS. Cùng một cơ sở hạ tầng phục vụ các biến thể khác nhau của AMOS Stealer (còn gọi là Atomic Stealer).
Khả năng Đa Nền tảng và Chức năng Đánh cắp Thông tin
Các biến thể này phụ thuộc vào kiến trúc bộ xử lý được phát hiện: Intel x64 hoặc Apple ARM. Khả năng đa nền tảng này mở rộng đáng kể nhóm nạn nhân tiềm năng.
Nó cũng thể hiện năng lực kỹ thuật tinh vi của các nhà điều hành. AMOS Stealer, được phát hiện lần đầu vào tháng 4 năm 2023, hoạt động như một mã độc đánh cắp thông tin.
Nó có khả năng thu thập mật khẩu keychain, hồ sơ VPN, thông tin đăng nhập trình duyệt, ví tiền điện tử và dữ liệu tin nhắn tức thời.
Mã độc này hoạt động theo mô hình malware-as-a-service. Nó được rao bán thông qua các diễn đàn ngầm và kênh Telegram.
Mục tiêu là Chuyên gia IT tại Tây Âu và Nguồn gốc Đe dọa
Phân tích tình báo cho thấy chiến dịch này đặc biệt nhắm vào các chuyên gia IT trên khắp các quốc gia Tây Âu. Các quảng cáo của Google được phân loại dưới “Computers and Consumer Electronics” nhằm tăng cường tính hợp pháp và khả năng hiển thị.
Sự tập trung chiến lược vào các chuyên gia kỹ thuật thường xuyên tải xuống các công cụ phát triển như GitHub Desktop là một cách tiếp cận có tính toán để thực hiện các cuộc tấn công mạng nhắm mục tiêu cao. Mục tiêu là xâm phạm các đối tượng có giá trị cao với đặc quyền mạng nâng cao.
Bằng chứng về phân bổ cho thấy các tác nhân đe dọa nói tiếng Nga. Điều này được chứng minh bằng các bình luận trong script PowerShell được viết bằng tiếng Nga bản địa.
Một bình luận đáng chú ý là:
Если не админ, запрашиваем один раз UAC и выходимNó có nghĩa là “Nếu không phải quản trị viên, yêu cầu UAC một lần và thoát”. Điều này tiết lộ logic leo thang đặc quyền của mã độc.
Tham khảo thêm chi tiết về chiến dịch tại nguồn đáng tin cậy từ Arctic Wolf.
Kỹ thuật Duy trì Truy cập và Thách thức Phân tích An ninh Mạng
Một khi được thực thi, GPUGate thể hiện các kỹ thuật duy trì tinh vi. Chúng được thiết kế để duy trì quyền truy cập lâu dài trong khi tránh bị phát hiện. Đây là một mối đe dọa mạng đáng kể.
Cơ chế Duy trì và Giao tiếp Command-and-Control
Mã độc sao chép chính nó vào thư mục %APPDATA% của người dùng. Nó tạo các tác vụ theo lịch trình có tên “WinSvcUpd” để bắt chước các dịch vụ Windows hợp pháp.
Đồng thời, mã độc này có hệ thống thêm các loại trừ Windows Defender cho các thư mục quan trọng. Điều này giúp nó hoạt động mà không bị phát hiện.
Tải trọng thiết lập giao tiếp command-and-control (C2) thông qua nhiều miền và địa chỉ IP dự phòng. Các địa chỉ này trải rộng trên các nhà cung cấp dịch vụ lưu trữ khác nhau. Điều này đảm bảo tính liên tục của hoạt động bất chấp các hành động hạ tầng tiềm năng.
Thiết kế module cho phép các nhà điều hành triển khai thêm các tải trọng. Việc này dựa trên đặc điểm hệ thống và yêu cầu hoạt động cụ thể.
Ảnh hưởng đến Phân tích An ninh Mạng
Chiến dịch GPUGate cơ bản thách thức các phương pháp phân tích mã độc truyền thống. Bằng cách yêu cầu cấu hình phần cứng cụ thể để giải mã tải trọng, kỹ thuật này khiến các môi trường sandbox tiêu chuẩn trở nên kém hiệu quả.
Nó buộc các nhà nghiên cứu bảo mật phải triển khai cơ sở hạ tầng chuyên biệt để điều tra. Điều này đặt ra một thách thức mới cho an ninh mạng toàn cầu.
Thời gian hoạt động của chiến dịch kéo dài tám tháng. Kể từ ngày biên dịch tháng 12 năm 2024 đến cơ sở hạ tầng hoạt động được quan sát vào tháng 8 năm 2025.
Điều này cho thấy khả năng duy trì và các chu kỳ phát triển liên tục. Việc nhắm mục tiêu độc quyền vào các chuyên gia IT Tây Âu thể hiện sự tối ưu hóa rủi ro-lợi nhuận có tính toán.
Nó chấp nhận giảm khối lượng lây nhiễm để đổi lấy các cuộc xâm phạm có giá trị cao hơn. Các cuộc xâm phạm này có tiềm năng cho các cuộc tấn công chuỗi cung ứng, đánh cắp thông tin đăng nhập và di chuyển ngang trong mạng.
Sự lạm dụng tinh vi các nền tảng đáng tin cậy như Google Ads và GitHub, kết hợp với các kỹ thuật né tránh phụ thuộc vào phần cứng. Điều này cho thấy chiến dịch này có thể truyền cảm hứng cho việc áp dụng rộng rãi hơn các phương pháp tương tự trong bối cảnh các tấn công mạng phức tạp.
Chỉ số Nhận diện Sự xâm nhập (IOCs)
- Miền kiểm soát (C2):
gitpage[.]app
Hành động Khuyến nghị để Giảm thiểu Rủi ro
Các tổ chức phải điều chỉnh chiến lược bảo mật của mình để tính đến các kỹ thuật đang phát triển này. Chúng làm mờ ranh giới giữa việc sử dụng cơ sở hạ tầng hợp pháp và độc hại, góp phần vào các tấn công mạng tinh vi hơn.
Vì chiến dịch vẫn đang hoạt động tại thời điểm phân tích này, các nhóm bảo mật nên triển khai giám sát nâng cao. Điều này bao gồm theo dõi các quy trình liên quan đến GPU bất thường.
Cần xem xét kỹ lưỡng các nguồn tải xuống, ngay cả từ các nền tảng đáng tin cậy. Hãy cân nhắc triển khai các môi trường phân tích được trang bị phần cứng GPU hợp pháp để chống lại kỹ thuật né tránh mới nổi này.
