Các nhà nghiên cứu bảo mật tại Sekoia.io đã phát hiện một chiến dịch tấn công mạng tinh vi được dàn dựng bởi APT28, một nhóm tác nhân đe dọa được nhà nước Nga bảo trợ khét tiếng. Chiến dịch này nhắm mục tiêu vào quân nhân Ukraine bằng các tài liệu Office chứa mã độc, phát tán các framework malware tiên tiến bao gồm BeardShell và các module của Covenant. Đây là một mối đe dọa mạng đáng kể cho an ninh khu vực.

Tổng quan chiến dịch tấn công mạng của APT28

Chiến dịch này thể hiện sự phát triển đáng kể trong các chiến thuật của APT28. Chúng tận dụng cơ sở hạ tầng đám mây hợp pháp và các kỹ thuật che giấu mới để duy trì quyền truy cập liên tục, đồng thời né tránh các cơ chế phát hiện.

Hoạt động của APT28 tập trung vào việc thu thập thông tin tình báo về các binh sĩ ở tiền tuyến, nhân sự bị thương, các đơn vị được giao và chuỗi cung ứng thiết bị trong quân đội Ukraine.

Phân phối ban đầu và kỹ thuật lừa đảo

Chuỗi lây nhiễm bắt đầu bằng các tài liệu Office độc hại được phân phối qua Signal Desktop. APT28 đã cố tình chọn nền tảng này vì nó thiếu cơ chế bảo mật Mark of the Web (MOTW).

Thông thường, MOTW ngăn chặn việc thực thi macro trong các tệp từ các nguồn không đáng tin cậy. Khoảng trống kỹ thuật này cho phép các macro nhúng chạy mà không kích hoạt cảnh báo bảo mật tiêu chuẩn của Microsoft Office.

Điều này khác với các tài liệu được tải xuống từ trình duyệt web hoặc nhận qua các ứng dụng email như Outlook, nơi cảnh báo bảo mật thường được hiển thị.

Những kẻ tấn công mạo danh đồng nghiệp hoặc cấp trên trong các cuộc trò chuyện riêng tư trên Signal, tạo ra cảm giác cấp bách giả bằng cách đề cập đến các quyết định bồi thường và đe dọa hành động pháp lý để thao túng mục tiêu mở các tài liệu độc hại.

Các tài liệu lừa đảo được tạo ra một cách cẩn thận để trông có vẻ hợp pháp. Chúng bao gồm các biểu mẫu hành chính quân sự Ukraine đích thực như đánh giá nhân sự, yêu cầu bồi thường y tế và biên lai giao máy bay không người lái.

Các nhà nghiên cứu Sekoia đã truy cập vào các tài khoản bị xâm nhập và phát hiện 115 tệp trong nhiều thư mục, với 42 GUID một phần duy nhất cho thấy ít nhất 42 máy chủ khác nhau đã bị xâm nhập. Lần lây nhiễm sớm nhất được ghi nhận là vào ngày 3 tháng 12 năm 2024. Nguồn thông tin chi tiết về chiến dịch này có thể được tìm thấy tại blog Sekoia.

Chuỗi lây nhiễm và kỹ thuật duy trì quyền truy cập

Khai thác Macro và Cơ chế duy trì

Một khi nạn nhân bật macro, script Visual Basic được nhúng trong tài liệu Office sẽ khởi tạo một quy trình lây nhiễm nhiều giai đoạn phức tạp.

Macro đầu tiên xác minh hệ điều hành Windows và phiên bản VBA, sau đó chuyển tài liệu sang chế độ xem Print Layout. Đồng thời, nó giải mã dữ liệu ẩn bằng cách thay thế các cặp ký tự.

Script thiết lập quyền duy trì bằng cách thêm một mục đăng ký nhằm chiếm quyền điều khiển máy chủ Windows Printer COM. Điều này khiến DLL độc hại tự động tải khi explorer.exe khởi động.

Chuỗi lây nhiễm thả hai tệp quan trọng: prnfldr.dll trong C:ProgramData và windows.png trong thư mục AppDataLocal của người dùng.

Kỹ thuật giấu dữ liệu (Steganography)

DLL hoạt động như một proxy cho thư viện máy in Windows hợp pháp, đồng thời bí mật tạo ra một luồng trích xuất payload shellcode ẩn trong tệp PNG bằng kỹ thuật giấu dữ liệu (steganography).

Phần mềm độc hại đọc bit ít quan trọng nhất (least significant bit) của các giá trị RGBA của mỗi pixel để tái tạo một blob được mã hóa AES, chứa shellcode giai đoạn tiếp theo.

Phân tích Framework Covenant

Shellcode được giải nén khởi tạo môi trường Common Language Runtime để tải một tệp thực thi .NET. Đây được xác định là thành phần HTTP Grunt Stager của framework Covenant, một công cụ red team mã nguồn mở.

Sau đó, mảng được tải vào AppDomain thông qua hàm AppDomain->Load_3, và điểm vào của nó được lấy bằng hàm _Assembly::get_EntryPoint.

Giao tiếp C2 qua Koofr Cloud

APT28 đã tùy chỉnh framework này với một triển khai C2Bridge mới. Nó sử dụng API dịch vụ lưu trữ đám mây Koofr để liên lạc C2 thay vì các giao thức mạng truyền thống.

Phương pháp này cho phép phần mềm độc hại tải lên dữ liệu trinh sát và tải xuống các payload bổ sung thông qua cơ sở hạ tầng đám mây hợp pháp, làm cho việc phát hiện trở nên khó khăn hơn đáng kể.

Trong quá trình thực thi, module Covenant kết nối với các tài khoản Koofr được mã hóa cứng bằng thông tin xác thực nhúng và tạo cấu trúc thư mục để liên lạc dựa trên tệp.

Implant thực hiện mã hóa lai để trao đổi khóa an toàn, sau đó thăm dò bộ nhớ đám mây để tìm “Nhiệm vụ” mới để thực thi. Các nhiệm vụ này bao gồm chụp ảnh màn hình, quét ARP, yêu cầu thông tin IP, hoạt động traceroute và liệt kê tiến trình.

BeardShell: Backdoor C++ Tiên tiến

Theo phân tích của CERT-UA được Sekoia xác nhận, framework Covenant tải xuống các thành phần bổ sung bao gồm PlaySndSrv.dll và sample-03.wav. Các tệp này giải nén và thực thi BeardShell, một backdoor được viết bằng C++ sử dụng dịch vụ lưu trữ đám mây icedrive làm kênh command and control (C2) của nó.

Đặc điểm kỹ thuật của BeardShell

• Tạo ID duy nhất:BeardShell tạo một định danh duy nhất cho mỗi máy chủ bị lây nhiễm bằng cách băm (hashing) các GUID hồ sơ phần cứng, tên máy tính, tên miền, tên người dùng và tên máy trạm bằng thuật toán FNV4.
• Thu thập thông tin: Phần mềm độc hại thực thi lệnh SystemInfo khi khởi động và tải kết quả lên icedrive.
• Thăm dò C2: Nó thăm dò thư mục được chỉ định của mình cứ bốn giờ một lần để tìm các tệp lệnh do nhà điều hành tải lên.
• Chức năng lệnh:BeardShell triển khai bảy lệnh riêng biệt cho phép nhà điều hành tạo các phiên bản PowerShell, thực thi lệnh và script, giám sát trạng thái thực thi và quản lý nhiều phiên đồng thời.

Kỹ thuật né tránh phát hiện của BeardShell

Để né tránh phát hiện, các tệp được tải lên được mã hóa bằng thuật toán ChaCha20-Poly1305. Chúng được ngụy trang bằng các tiêu đề tệp hình ảnh và phần mở rộng bao gồm BMP, GIF, JPEG, PNG và TIFF.

APT28: Kẻ tấn công và sự tiến hóa

APT28, còn được biết đến với ít nhất 28 bí danh khác bao gồm Sofacy, Fancy Bear, BlueDelta, Forest Blizzard và TAG-110, được các cơ quan tình báo phương Tây quy cho Tổng cục Tình báo Chính (GRU) của Nga, cụ thể là Trung tâm Dịch vụ Đặc biệt Chính số 85 thuộc Đơn vị Quân đội 26165. Để biết thêm thông tin về các hoạt động của nhóm này, bạn có thể tham khảo các báo cáo từ các tổ chức uy tín như CISA.

Trong suốt năm 2025, nhóm này đã là chủ đề của nhiều báo cáo, bao gồm một cảnh báo chung từ 21 đối tác quốc tế và phân tích của ANSSI của Pháp.

Chiến dịch này cho thấy sự tiến bộ kỹ thuật đáng kể so với các hoạt động trước đây của APT28. Nó tích hợp các công cụ bảo mật tấn công mã nguồn mở với các dịch vụ đám mây của bên thứ ba để liên lạc bí mật.

Việc sử dụng kỹ thuật giấu dữ liệu để nhúng payload vào các tệp PNG đại diện cho một phương pháp che giấu mới, chưa từng được ghi nhận trước đây trong các hoạt động của APT28.

Đội ngũ Phát hiện và Phản ứng Mối đe dọa của Sekoia xác nhận rằng vào tháng 8 năm 2025, APT28 đã tái sử dụng chuỗi lây nhiễm này với một tài liệu Excel chứa mã độc nhắm mục tiêu vào môi trường đám mây Filen. Điều này cho thấy nhóm tiếp tục thích nghi và tái chế các kỹ thuật tinh vi này, một minh chứng cho khả năng khai thác zero-day của chúng.