UAC-0099 là một mối đe dọa mạng đã được điều tra bởi CERT-UA của Ukraine. Tổ chức này đã nhắm mục tiêu vào các quan chức nhà nước, lực lượng quốc phòng, và các công ty công nghiệp quốc phòng thông qua một loạt các cuộc tấn công mạng tinh vi.

Phân Tích Chuỗi Tấn Công Ban Đầu

Các cuộc tấn công thường bắt đầu bằng các email lừa đảo (phishing) gửi từ các địa chỉ UKR.NET. Chủ đề email thường mang tính chất khẩn cấp như “trát tòa” (court summons).

Trong nội dung email, kẻ tấn công chèn các liên kết dẫn đến các dịch vụ chia sẻ tệp hợp pháp, thường được rút gọn qua các công cụ rút gọn URL.

Khai Thác Tệp HTA Độc Hại

Các liên kết này dẫn đến các tệp đã được nén hai lần, chứa các tệp ứng dụng HTML độc hại (HTA). Khi thực thi, các tệp HTA này sẽ triển khai mã VBScript đã bị xáo trộn.

Mã VBScript này tạo ra các tệp văn bản tạm thời chứa dữ liệu được mã hóa HEX và mã PowerShell. Đồng thời, nó thiết lập một tác vụ theo lịch trình (scheduled task) có tên “PdfOpenTask”.

Tác vụ theo lịch trình này thực thi kịch bản PowerShell. Kịch bản này giải mã dữ liệu vào một tệp .txt, sau đó đổi tên thành một tệp thực thi như “AnimalUpdate.exe”. Để đảm bảo khả năng duy trì truy cập (persistence), một tác vụ theo lịch trình khác là “AnimalSoftUpdateAnimalSoftware” được thiết lập.

Triển Khai Malware và Khả Năng Kỹ Thuật

Chuỗi tấn công này triển khai công cụ tải (loader) MATCHBOIL, có khả năng thay thế các biến thể trước đó như LONEPAGE. MATCHBOIL tạo điều kiện cho việc tải các payload bổ sung như backdoor MATCHWOK và stealer DRAGSTARE.

CERT-UA nhận định rằng sự thay đổi liên tục trong các chiến thuật, kỹ thuật và quy trình (TTPs) của UAC-0099 nhấn mạnh sự tiến hóa không ngừng của nhóm. Điều này cho thấy mối đe dọa mạng này liên tục thích ứng với các biện pháp phòng thủ, đồng thời duy trì mục tiêu chính là hoạt động gián điệp và đánh cắp dữ liệu trong các lĩnh vực quan trọng của Ukraine.

Loader MATCHBOIL

Được phát triển bằng C#, MATCHBOIL đóng vai trò là một loader thu thập dấu vân tay hệ thống. Các thông tin thu thập bao gồm ProcessorId CPU thông qua các truy vấn WMI (ví dụ: “BFEBFBFF000806EA”), SerialNumber BIOS, tên người dùng và địa chỉ MAC.

Các thông tin này được nối lại thành một tiêu đề HTTP “SN” để liên lạc với máy chủ điều khiển và ra lệnh (C2). Nó sử dụng các yêu cầu HTTP GET đến các URI như “/articles/images/forest.jpg” trên các máy chủ như geostat[.]lat.

Payload được trích xuất thông qua các mẫu biểu thức chính quy (regex) cho “<script>(.*?)</script>”, tiếp theo là giải mã HEX và BASE64. Payload được lưu với phần mở rộng .com (ví dụ: “%LOCALAPPDATA%DevicesMonitordevicemonitor.com”) và được duy trì thông qua các khóa đăng ký Run keys hoặc các tác vụ theo lịch trình như “DocumentTask”.

Backdoor MATCHWOK

MATCHWOK, một backdoor khác được phát triển bằng C#, có khả năng thực thi các lệnh PowerShell bằng cách biên dịch các assembly .NET trong thời gian chạy. Nó cũng có thể đổi tên powershell.exe và định tuyến các lệnh qua STDIN. Kết quả thực thi được chuyển ra ngoài (exfiltrate) qua HTTPS đến các địa chỉ C2 được lưu trữ trong các tệp config.ini.

Các lệnh được mã hóa AES-256 bên trong các thẻ <script>. Để chống lại việc phân tích, MATCHWOK tích hợp các kiểm tra phát hiện các công cụ như Wireshark hoặc OllyDbg, làm cho việc phân tích mối đe dọa mạng này trở nên khó khăn hơn.

Stealer DRAGSTARE và Rò Rỉ Dữ Liệu

Stealer DRAGSTARE, cũng được viết bằng C#, thu thập dữ liệu hệ thống mở rộng, bao gồm tên máy tính, phiên bản hệ điều hành, RAM, chi tiết ổ đĩa, giao diện mạng, bảng ARP và các kết nối TCP đang hoạt động. Nó cũng chuyên về rò rỉ dữ liệu nhạy cảm bằng cách đánh cắp thông tin xác thực trình duyệt từ Chrome và Mozilla thông qua giải mã DPAPI của các tệp như logins.json.

DRAGSTARE quét đệ quy các thư mục như Desktop và Downloads để tìm các loại tệp cụ thể như .docx, .pdf và .ovpn. Các tệp này được nén ở định dạng ZIP để chuẩn bị cho việc đánh cắp dữ liệu từ các thư mục tạm thời (staging folders) như “%LOCALAPPDATA%NordDragonScan”.

Các kiểm tra chống máy ảo (anti-VM checks) và khả năng duy trì thông qua các khóa đăng ký như ‘NordStar’ nâng cao khả năng né tránh của nó. Tương tác C2 liên quan đến các yêu cầu được mã hóa, mã hóa BASE64 đến các URL tĩnh, với các tệp cờ (flag files) như “s1.txt” dùng để đánh dấu các giai đoạn hoạt động thu thập thông tin hệ thống.

Chỉ Số Thỏa Hiệp (IOCs)

Các công cụ này làm nổi bật cách tiếp cận theo mô-đun của UAC-0099, kết hợp các loader, backdoor và stealer để duy trì quyền truy cập và thực hiện hành vi rò rỉ dữ liệu. Để phát hiện và phản ứng với mối đe dọa mạng này, các tổ chức nên theo dõi các Chỉ số Thỏa Hiệp (IOCs) sau:

• Địa chỉ C2:
  • geostat[.]lat
• Tệp độc hại:
  • AnimalUpdate.exe
  • %LOCALAPPDATA%DevicesMonitordevicemonitor.com
• Tác vụ theo lịch trình:
  • PdfOpenTask
  • AnimalSoftUpdateAnimalSoftware
  • DocumentTask
• Khóa đăng ký duy trì:
  • Các khóa Run trong Registry
  • NordStar
• Đường dẫn file:
  • %LOCALAPPDATA%NordDragonScan
• Tệp cờ:
  • s1.txt
• URI HTTP GET:
  • /articles/images/forest.jpg
• Tiêu đề HTTP:
  • SN

Việc theo dõi chặt chẽ các IOCs này, cùng với việc triển khai các giải pháp phát hiện xâm nhập (IDS) và các biện pháp bảo mật mạnh mẽ, là cần thiết để bảo vệ hệ thống khỏi các chiến dịch của UAC-0099 và ngăn chặn việc chiếm quyền điều khiển cũng như rò rỉ dữ liệu.

Để biết thêm thông tin chi tiết về các hoạt động của UAC-0099, bạn có thể tham khảo báo cáo của CERT-UA tại: CERT-UA Advisory.