Các tổ chức tại Ukraine đang phải đối mặt với những đợt tấn công tinh vi từ các nhóm hacker có nguồn gốc từ Nga. Mục tiêu của chúng là đánh cắp dữ liệu nhạy cảm và duy trì quyền truy cập trái phép vào mạng lưới của các tổ chức này.
Theo báo cáo mới nhất từ đội Threat Hunter của Symantec và Carbon Black, một công ty dịch vụ lớn đã bị nhắm mục tiêu liên tục trong hai tháng, trong khi một cơ quan chính quyền địa phương cũng trở thành nạn nhân trong khoảng một tuần.
Điểm đáng chú ý trong các cuộc tấn công này là việc sử dụng chiến thuật “sống ngoài đồng” (Living-off-the-Land – LotL) và các công cụ đa năng, kết hợp với việc hạn chế sử dụng phần mềm độc hại. Điều này giúp giảm thiểu dấu vết kỹ thuật số và tránh bị phát hiện trong thời gian dài.
Các chuyên gia bảo mật từ Broadcom cho biết, kẻ tấn công xâm nhập vào công ty dịch vụ bằng cách cài đặt web shell trên các máy chủ công khai, có thể thông qua việc khai thác các lỗ hổng chưa được vá.
Một trong những web shell được sử dụng là Localolive, trước đây đã được Microsoft xác định là công cụ của một nhóm nhỏ thuộc Sandworm (một nhóm hacker khét tiếng liên kết với Nga) trong chiến dịch BadPilot kéo dài nhiều năm. LocalOlive được thiết kế để triển khai các công cụ tấn công tiếp theo như Chisel, plink và rsockstun. Nó đã được sử dụng ít nhất từ cuối năm 2021.
Những dấu hiệu đầu tiên của hoạt động độc hại nhắm vào công ty dịch vụ được ghi nhận từ ngày 27 tháng 6 năm 2025. Kẻ tấn công đã lợi dụng quyền truy cập ban đầu để cài đặt web shell và sử dụng nó để thu thập thông tin. Chúng cũng sử dụng các lệnh PowerShell để loại trừ thư mục Downloads khỏi quét của Microsoft Defender Antivirus, và thiết lập một tác vụ lên lịch để tạo một bản sao bộ nhớ (memory dump) sau mỗi 30 phút.
Trong vài tuần tiếp theo, kẻ tấn công thực hiện hàng loạt hành động, bao gồm:
- Sao chép registry hive vào một tập tin có tên “1.log”
- Cài đặt thêm web shell
- Sử dụng web shell để liệt kê tất cả các tập tin trong thư mục người dùng
- Chạy một lệnh để liệt kê tất cả các tiến trình đang chạy bắt đầu bằng “kee”, có thể với mục tiêu nhắm vào kho lưu trữ mật khẩu KeePass
- Liệt kê tất cả các phiên người dùng đang hoạt động trên một máy khác
- Chạy các tập tin thực thi có tên “service.exe” và “cloud.exe” nằm trong thư mục Downloads
- Chạy các lệnh trinh sát trên một máy thứ ba và thực hiện một memory dump bằng công cụ Microsoft Windows Resource Leak Diagnostic tool (RDRLeakDiag)
- Sửa đổi registry để cho phép các kết nối RDP đến
- Chạy một lệnh PowerShell để lấy thông tin về cấu hình Windows trên một máy thứ tư
- Chạy RDPclip để có được quyền truy cập vào clipboard trong các kết nối remote desktop
- Cài đặt OpenSSH để tạo điều kiện truy cập từ xa vào máy tính
- Chạy một lệnh PowerShell để cho phép lưu lượng TCP trên cổng 22 cho máy chủ OpenSSH
- Tạo một tác vụ lên lịch để chạy một backdoor PowerShell không xác định (link.ps1) cứ sau 30 phút bằng tài khoản domain
- Chạy một script Python không xác định
- Triển khai một ứng dụng quản lý router MikroTik hợp pháp (“winbox64.exe”) trong thư mục Downloads
Điều thú vị là, sự hiện diện của “winbox64.exe” cũng đã được CERT-UA ghi nhận vào tháng 4 năm 2024 liên quan đến một chiến dịch Sandworm nhắm vào các nhà cung cấp năng lượng, nước và hệ thống sưởi ở Ukraine.
Symantec và Carbon Black cho biết họ không tìm thấy bất kỳ bằng chứng nào trong các cuộc xâm nhập để kết nối chúng với Sandworm, nhưng cho biết chúng “dường như có nguồn gốc từ Nga”. Công ty an ninh mạng cũng tiết lộ rằng các cuộc tấn công được đặc trưng bởi việc triển khai một số backdoor PowerShell và các tập tin thực thi đáng ngờ có khả năng là phần mềm độc hại. Tuy nhiên, không có hiện vật nào trong số này thu được để phân tích.
Symantec và Carbon Black cho biết: “Mặc dù kẻ tấn công đã sử dụng một lượng phần mềm độc hại hạn chế trong quá trình xâm nhập, nhưng phần lớn các hoạt động độc hại diễn ra liên quan đến các công cụ hợp pháp, hoặc là Living-off-the-Land hoặc phần mềm đa năng do kẻ tấn công đưa vào”.
“Kẻ tấn công đã chứng minh kiến thức chuyên sâu về các công cụ gốc của Windows và cho thấy một kẻ tấn công có kỹ năng có thể đẩy mạnh một cuộc tấn công và đánh cắp thông tin nhạy cảm, chẳng hạn như thông tin xác thực, đồng thời để lại dấu vết tối thiểu trên mạng bị nhắm mục tiêu.”
Tiết lộ này được đưa ra khi Gen Threat Labs trình bày chi tiết về việc Gamaredon khai thác một lỗ hổng bảo mật hiện đã được vá trong WinRAR (CVE-2025-8088, điểm CVSS: 8.8) để tấn công các cơ quan chính phủ Ukraine.
Công ty này cho biết trong một bài đăng trên X: “Kẻ tấn công đang lạm dụng CVE-2025-8088 (WinRAR path traversal) để phân phối các kho lưu trữ RAR âm thầm thả phần mềm độc hại HTA vào thư mục Startup – không cần tương tác với người dùng ngoài việc mở PDF lành tính bên trong”. “Những mồi nhử này được tạo ra để đánh lừa nạn nhân mở các kho lưu trữ vũ khí hóa, tiếp tục một mô hình nhắm mục tiêu tích cực đã thấy trong các chiến dịch trước đó.”
Các phát hiện cũng theo sau một báo cáo từ Recorded Future, báo cáo rằng hệ sinh thái tội phạm mạng của Nga đang tích cực được định hình bởi các chiến dịch thực thi pháp luật quốc tế như Operation Endgame, chuyển mối quan hệ của chính phủ Nga với các nhóm tội phạm mạng từ sự dung túng thụ động sang quản lý tích cực.
Phân tích sâu hơn về các cuộc trò chuyện bị rò rỉ đã phát hiện ra rằng các nhân vật cấp cao trong các nhóm đe dọa này thường duy trì mối quan hệ với các cơ quan tình báo Nga, cung cấp dữ liệu, thực hiện nhiệm vụ hoặc tận dụng hối lộ và các mối quan hệ chính trị để được miễn trừ. Đồng thời, các nhóm tội phạm mạng đang phân cấp các hoạt động để lách sự giám sát của phương Tây và trong nước.
Mặc dù từ lâu đã biết rằng tội phạm mạng Nga có thể hoạt động tự do miễn là họ không nhắm mục tiêu vào các doanh nghiệp hoặc tổ chức hoạt động trong khu vực, nhưng Kremlin dường như hiện đang thực hiện một cách tiếp cận sắc thái hơn, nơi họ tuyển dụng hoặc tranh thủ nhân tài khi cần thiết, làm ngơ khi các cuộc tấn công phù hợp với lợi ích của họ và thực thi luật một cách có chọn lọc khi các tác nhân đe dọa trở nên “bất tiện về mặt chính trị hoặc gây xấu hổ từ bên ngoài”.
Được xem xét trong “giao ước đen tối” đó là sự kết hợp của một số điều: một doanh nghiệp thương mại, một công cụ gây ảnh hưởng và thu thập thông tin, và cũng là một trách nhiệm pháp lý khi nó đe dọa sự ổn định trong nước hoặc do áp lực của phương Tây.
Công ty này lưu ý trong phần thứ ba của báo cáo Dark Covenant: “Giới tội phạm mạng ngầm của Nga đang rạn nứt dưới áp lực kép của sự kiểm soát của nhà nước và sự ngờ vực nội bộ, trong khi việc giám sát diễn đàn độc quyền và cuộc trò chuyện của các chi nhánh ransomware cho thấy sự hoang tưởng ngày càng tăng giữa các nhà khai thác”.
Các thuật ngữ:
– Hacker: Là người có kiến thức chuyên sâu về máy tính và mạng, có thể sử dụng kiến thức này để xâm nhập vào hệ thống bảo mật. Hacker có thể hoạt động vì mục đích tốt (ethical hacking) hoặc xấu (criminal hacking).
– Malware: Là phần mềm độc hại được thiết kế để gây hại cho máy tính, hệ thống hoặc mạng. Malware có nhiều dạng như virus, trojan, ransomware,…
– Web shell: Là một đoạn mã được tải lên máy chủ web cho phép kẻ tấn công điều khiển máy chủ từ xa.
– Lỗ hổng bảo mật (Vulnerability): Là một điểm yếu trong hệ thống, phần mềm hoặc phần cứng mà kẻ tấn công có thể khai thác để xâm nhập hoặc gây hại.
– Sandworm: Là một nhóm hacker khét tiếng liên kết với chính phủ Nga, được cho là đứng sau nhiều cuộc tấn công mạng lớn trên thế giới.
– PowerShell: Là một ngôn ngữ kịch bản và công cụ dòng lệnh mạnh mẽ được phát triển bởi Microsoft, thường được sử dụng để tự động hóa các tác vụ quản trị hệ thống.
– Registry hive: Là một phần của Windows Registry, chứa các thông tin cấu hình cho hệ thống và người dùng.
– RDP (Remote Desktop Protocol): Là một giao thức cho phép người dùng kết nối và điều khiển một máy tính từ xa.
– CERT-UA: Là đội ứng cứu sự cố máy tính của Ukraine, chịu trách nhiệm xử lý các sự cố an ninh mạng và cung cấp thông tin về các mối đe dọa.
