Các tác nhân liên kết với Nga đã tăng cường các chiến dịch tấn công mạng tinh vi nhắm vào các tổ chức Ukraine. Các cuộc tấn công này phụ thuộc nhiều vào việc lạm dụng các công cụ Windows hợp pháp thay vì triển khai mã độc truyền thống.

Những kẻ tấn công đã thể hiện sự kiềm chế đáng kể trong việc sử dụng mã độc. Thay vào đó, chúng khai thác các chiến thuật “living-off-the-land” (LotL) và các công cụ có mục đích kép để né tránh các hệ thống phát hiện. Mục tiêu chính là thu thập dữ liệu nhạy cảm và thiết lập quyền truy cập mạng lâu dài.

Chiến dịch Tấn công Mạng Tinh Vi Nhắm vào Các Tổ Chức Ukraine

Một cuộc điều tra gần đây của đội ngũ Săn lùng Mối đe dọa đã tiết lộ hai chiến dịch riêng biệt. Chiến dịch đầu tiên là một vụ xâm nhập kéo dài hai tháng vào một tổ chức dịch vụ kinh doanh lớn. Chiến dịch thứ hai là một cuộc tấn công kéo dài một tuần nhằm vào một cơ quan chính phủ địa phương.

Cả hai chiến dịch đều có chung mục tiêu là thu thập dữ liệu nhạy cảm và thiết lập quyền truy cập mạng liên tục. Điều này cho thấy sự phối hợp và mục đích rõ ràng từ phía kẻ tấn công trong việc thực hiện các hoạt động phá hoại.

Khai thác Ban đầu và Triển khai Webshell

Các vụ xâm nhập bắt đầu bằng việc triển khai các webshell trên các máy chủ hướng ra công chúng. Điều này cho thấy khả năng khai thác các lỗ hổng chưa được vá trên các hệ thống này. Các webshell cung cấp một điểm truy cập ban đầu và cho phép thực thi lệnh từ xa.

Kẻ tấn công đã sử dụng Localolive, một webshell mà Microsoft liên kết với Seashell Blizzard. Seashell Blizzard được biết đến là một nhóm con của tổ chức Sandworm khét tiếng của Nga. Sự liên kết này chỉ ra một tác nhân có khả năng cao.

Mặc dù việc xác nhận độc lập sự tham gia của Sandworm vẫn đang chờ xử lý, bản chất tinh vi và nguồn gốc Nga của các cuộc tấn công là rõ ràng. Sandworm, chính thức được chỉ định là một đơn vị của tình báo quân sự Nga (GRU), có lịch sử rộng lớn trong việc thực hiện các hoạt động phá hoại nhắm vào cơ sở hạ tầng quan trọng.

Nhóm này nổi tiếng với các cuộc tấn công lưới điện tàn khốc ở Ukraine, chiến dịch VPNFilter nhắm vào các thiết bị mạng, và vụ tấn công AcidRain vào modem vệ tinh Viasat. Điều này củng cố vị thế của chúng như một trong những mối đe dọa mạng nguy hiểm nhất hiện nay.

Giai đoạn Trinh sát và Vô hiệu hóa Bảo mật

Sau khi truy cập ban đầu vào ngày 27 tháng 6 năm 2025, kẻ tấn công đã thực hiện các lệnh trinh sát. Mục tiêu là lập bản đồ cấu hình hệ thống và đặc quyền người dùng.

Chúng thu thập thông tin một cách có hệ thống thông qua các lệnh Windows gốc như whoami, tasklist, và systeminfo để hiểu rõ môi trường bị xâm nhập.

whoami
tasklist
systeminfo

Đồng thời, chúng vô hiệu hóa các biện pháp bảo vệ của Windows Defender cho thư mục Downloads. Đây là một bước quan trọng cho phép triển khai công cụ mà không bị phát hiện và giảm thiểu cảnh báo bảo mật.

Thu thập Thông tin Đăng nhập và Duy trì Truy cập

Những kẻ tấn công đã tạo các tác vụ theo lịch trình (scheduled tasks) chạy cứ sau 30 phút. Các tác vụ này được thiết kế để trích xuất thông tin đăng nhập từ bộ nhớ hệ thống và các khóa đăng ký (registry hives). Điều này cho thấy một phương pháp tiếp cận có hệ thống để thu thập thông tin đăng nhập và duy trì quyền truy cập.

Các tác nhân đã leo thang hoạt động trên nhiều hệ thống trong mạng bị xâm nhập. Chúng thiết lập các cơ chế duy trì (persistence mechanisms) nhằm đảm bảo quyền truy cập lâu dài, ngay cả sau khi hệ thống khởi động lại.

Trên Computer 2, chúng đặc biệt nhắm mục tiêu vào các tiến trình của kho lưu trữ mật khẩu KeePass. Kẻ tấn công trích xuất các định danh tiến trình (process identifiers) trước khi tạo các tác vụ kết xuất bộ nhớ (memory dump tasks). Mục đích là thu thập các thông tin đăng nhập đã lưu trữ từ ứng dụng này.

Vào ngày 16 tháng 7, các tác nhân đã triển khai công cụ chẩn đoán rò rỉ tài nguyên của Windows (Windows Resource Leak Diagnostic tool). Đây là một kỹ thuật không phổ biến, gợi ý một sự lựa chọn có chủ ý các công cụ hợp pháp ít bị giám sát để giảm thiểu khả năng bị phát hiện.

Thiết lập Các Vector Truy cập Từ xa

Đến cuối tháng 7, chiến dịch tấn công mạng này bước vào giai đoạn tích cực nhất. Kẻ tấn công đã cài đặt OpenSSH để truy cập dòng lệnh từ xa. Đồng thời, chúng tạo các quy tắc tường lửa cho phép kết nối SSH đến trên cổng 22.

# Ví dụ lệnh cài đặt OpenSSH Server trên Windows (PowerShell)
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

# Ví dụ lệnh cấu hình tường lửa cho phép SSH inbound trên cổng 22
New-NetFirewallRule -DisplayName "OpenSSH SSH Server (Port 22)" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 22

Chúng cũng cấu hình Remote Desktop Protocol (RDP) mà không yêu cầu xác thực trước (pre-authentication). Mục tiêu là thiết lập nhiều vector truy cập từ xa khác nhau, cung cấp nhiều con đường để duy trì sự hiện diện.

Kẻ tấn công đã triển khai các backdoor PowerShell theo lịch trình chạy dưới tài khoản tên miền (domain accounts) cứ sau 30 phút. Điều này đảm bảo khả năng thực thi lệnh mạnh mẽ và linh hoạt, khó bị xóa bỏ hoàn toàn.

Dấu hiệu Hoạt động và Công cụ Kép

Việc phát hiện một ứng dụng quản lý router Microtik hợp pháp (winbox64.exe) trong thư mục Downloads gợi ý các hoạt động trinh sát mạng hoặc di chuyển ngang tiềm năng. Điều đáng chú ý là cùng tên tệp này đã xuất hiện trong các báo cáo của CERT-UA Ukraine, ghi lại các hoạt động của Sandworm trong năm 2024, cho thấy sự tái sử dụng chiến thuật.

Mặc dù triển khai các tệp thực thi đáng ngờ và backdoor PowerShell, những kẻ tấn công vẫn duy trì sự hiện diện mã độc cực kỳ nhẹ. Thay vào đó, chúng dựa vào các tiện ích Windows gốc và các công cụ có mục đích kép để thực hiện cuộc tấn công mạng này.

Cách tiếp cận này phản ánh kỹ năng chuyên nghiệp tinh vi của tác nhân. Nó giảm thiểu các dấu hiệu đặc trưng mà các công cụ bảo mật thường kích hoạt, trong khi vẫn duy trì đầy đủ khả năng hoạt động và kiểm soát hệ thống.

Việc triển khai các script Python, môi trường chạy .NET, và các tiện ích quản trị tiêu chuẩn cho thấy cách các tác nhân mối đe dọa mạng tiên tiến có thể thực hiện xâm nhập mạng toàn diện chỉ bằng cách sử dụng cơ sở hạ tầng hợp pháp.

Vụ xâm nhập tiếp tục trên ít nhất bốn máy tính bị xâm nhập cho đến giữa tháng 8. Bằng chứng cuối cùng về hoạt động độc hại được ghi lại vào ngày 20 tháng 8 năm 2025. Điều này cho thấy tính bền bỉ và hiệu quả của chiến dịch.

Phân tích Kỹ thuật và Tác động đối với An Ninh Mạng

Chiến dịch này minh họa bối cảnh mối đe dọa đang phát triển. Trong đó, các đối thủ lão luyện đạt được tác động hoạt động tối đa với dấu hiệu mã độc tối thiểu. Điều này đặt ra những thách thức lớn về phát hiện đối với các phương pháp giám sát bảo mật truyền thống và hệ thống phòng thủ an ninh mạng.

Để biết thêm chi tiết về hoạt động của các nhóm tấn công do chính phủ Nga hậu thuẫn, hãy tham khảo các khuyến nghị từ CISA. Đây là nguồn thông tin đáng tin cậy giúp các tổ chức củng cố an ninh mạng trước các cuộc tấn công tương tự và các tấn công mạng phức tạp khác.

Các Công cụ và Chiến thuật (TTPs) Nổi bật

• Webshell: Localolive (liên kết với Seashell Blizzard/Sandworm).
• Lệnh Trinh sát:whoami, tasklist, systeminfo.
• Vô hiệu hóa Bảo mật: Tắt Windows Defender cho thư mục Downloads.
• Thu thập Thông tin Đăng nhập: Tác vụ theo lịch trình trích xuất từ bộ nhớ và registry; Memory dump của tiến trình KeePass.
• Công cụ kép (Dual-use tools): Windows Resource Leak Diagnostic tool, OpenSSH, RDP, winbox64.exe (ứng dụng quản lý hợp pháp được lạm dụng).
• Cơ chế Duy trì (Persistence): Tác vụ theo lịch trình, cấu hình OpenSSH, cấu hình RDP không xác thực trước, backdoor PowerShell chạy dưới domain accounts.
• Ngôn ngữ lập trình/môi trường: Python scripts, .NET runtimes.