Nhóm tấn công UAC-0057: Nguy hiểm từ chiến dịch gián điệp mạng

22/08/2025
4 mins read
Nhóm tấn công UAC-0057: Nguy hiểm từ chiến dịch gián điệp mạng

Nhóm tấn công UAC-0057, còn được biết đến với các tên gọi như UNC1151, FrostyNeighbor, hay Ghostwriter, là một tác nhân đe dọa có liên kết với Belarus. Kể từ tháng 4 năm 2025, nhóm này đã triển khai một chiến dịch tấn công mạng gián điệp mạng tinh vi, nhắm mục tiêu vào các tổ chức ở Ba Lan và Ukraine. Chúng sử dụng các tập tin nén độc hại chứa các tài liệu PDF giả mạo, đóng vai trò là thư mời và tài liệu chính thức để lừa người dùng.

Nội dung
Tổng quan chiến dịch tấn công của UAC-0057

Mục tiêu và Kỹ thuật lây nhiễm ban đầu
Chiến thuật triển khai và kiểm soát
Phân tích kỹ thuật các chuỗi lây nhiễm

Chuỗi tấn công nhắm vào Ukraine (Tháng 5 – Tháng 7 năm 2025)
Chuỗi tấn công nhắm vào Ba Lan (Tháng 4 – Tháng 5 năm 2025)
Phân tích sự tương đồng và quy kết

Các điểm trùng lặp trong kỹ thuật
Quy kết và đặc điểm của nhóm tấn công
Chỉ số nhận diện tấn công (IOCs)
Khuyến nghị phòng ngừa và giảm thiểu rủi ro

Tổng quan chiến dịch tấn công của UAC-0057

Mục tiêu và Kỹ thuật lây nhiễm ban đầu

Các hoạt động lây nhiễm bắt đầu bằng việc phát tán các tập tin nén như RAR và ZIP, chứa các bảng tính Microsoft Excel có nhúng macro VBA. Các macro này thường được che giấu bằng các công cụ như MacroPack, sau đó sẽ thả và thực thi các DLL độc hại. Các DLL này được thiết kế để thực hiện trinh sát hệ thống và triển khai các payload tiếp theo.

Chiến dịch của nhóm tấn công UAC-0057 thể hiện sự tương đồng đáng kể với các hoạt động trước đây của chúng. Chúng tái sử dụng nội dung hợp pháp làm mồi nhử, ví dụ như thư mời PDF đến cuộc họp đại hội đồng của Liên minh các thành phố nông thôn Cộng hòa Ba Lan, hoặc hướng dẫn dịch vụ chính phủ Ukraine từ Bộ Chuyển đổi số. Bằng cách lợi dụng những PDF tưởng chừng vô hại này trong các tập tin nén, kẻ tấn công tìm cách né tránh sự phát hiện ban đầu.

Chiến thuật triển khai và kiểm soát

Sau khi xâm nhập thành công, chúng khởi tạo các luồng thực thi để thu thập thông tin nhạy cảm của máy chủ, thiết lập cơ chế duy trì quyền truy cập (persistence) và tải về mã độc giai đoạn tiếp theo từ máy chủ C2 (command-and-control). Phương pháp này phù hợp với trọng tâm lịch sử của UAC-0057 vào các hoạt động gây ảnh hưởng và gián điệp, thường kết hợp các thông điệp chống NATO. Chiến dịch cũng cho thấy những cải tiến nhỏ trong bộ công cụ của chúng, chẳng hạn như chuyển sang sử dụng C2 được lưu trữ trên nền tảng đám mây thông qua các dịch vụ như Slack và các miền giả mạo được bảo vệ bởi Cloudflare.

Phân tích kỹ thuật các chuỗi lây nhiễm

Chuỗi tấn công nhắm vào Ukraine (Tháng 5 – Tháng 7 năm 2025)

Các chuỗi lây nhiễm nhắm vào Ukraine sử dụng các tập tin nén như “Список на перевірку 2025-2026.rar”“ПЛАН наповнення СФ_ЗМІНЕНИЙ.zip”. Các tập tin này chứa các tệp XLS với macro VBA giải mã và thả các DLL C# bị che giấu bằng ConfuserEx. Các implant, ví dụ như “DefenderProtectionScope.log” hoặc “sdw9gobh0n.log”, sử dụng các truy vấn WMI để thu thập chi tiết về hệ điều hành, tên máy chủ, thông tin CPU, sản phẩm chống vi-rút và dữ liệu IP bên ngoài thông qua các yêu cầu đến ip-info.ff.avast.com.

Cơ chế duy trì quyền truy cập được thiết lập thông qua các khóa registry như HKCUSoftwareMicrosoftWindowsCurrentVersionRun. Các payload được truy xuất từ các URL C2 giả mạo các trang web hợp pháp, ví dụ như sweetgeorgiayarns.online/wp-content/uploads/2025/04/06102226/Kims-hand-cards.jpg. Đây là một kỹ thuật chiếm quyền điều khiển và duy trì quyền truy cập phổ biến.

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Chuỗi tấn công nhắm vào Ba Lan (Tháng 4 – Tháng 5 năm 2025)

Trong các chuỗi tấn công nhắm vào Ba Lan, các macro XLS tương tự sẽ thả các DLL C++ được đóng gói bằng UPX, ví dụ như “SDXHelp.dll”. Các DLL này sử dụng các tác vụ đã lên lịch (scheduled tasks) để duy trì quyền truy cập và giải mã XOR các payload giai đoạn tiếp theo được gắn vào các tệp JPEG lành tính.

Theo báo cáo từ Harfang Labs, một số biến thể dẫn đến việc triển khai Cobalt Strike Beacons, vốn giao tiếp với các miền C2 như medpagetoday.icu. Báo cáo này cung cấp cái nhìn sâu sắc về các chiến thuật và kỹ thuật của nhóm tấn công UAC-0057. Tìm hiểu thêm về phân tích kỹ thuật của Harfang Labs tại đây.

Phân tích sự tương đồng và quy kết

Các điểm trùng lặp trong kỹ thuật

Các điểm trùng lặp trong hoạt động của nhóm tấn công UAC-0057 bao gồm việc tái sử dụng các đoạn mã, logic thực thi giống hệt nhau liên quan đến các tệp LNK và các công cụ như regsvr32.exe hoặc rundll32.exe. Các mô hình hạ tầng cũng tương đồng, chẳng hạn như các miền .icu được đăng ký bởi PublicDomainRegistry giả mạo các thương hiệu như punandjokes.com.

regsvr32.exe
rundll32.exe

Quy kết và đặc điểm của nhóm tấn công

Việc quy kết các cuộc tấn công này cho UAC-0057 được hỗ trợ bởi sự song song với các báo cáo từ Mandiant, SentinelOne và CERT-UA. Các bằng chứng bao gồm việc sử dụng MacroPack để che giấu macro, sử dụng Slack webhooks cho C2 và việc nhắm mục tiêu nhất quán vào các thực thể ở Đông Âu. Mặc dù có những cải tiến như tích hợp Slack và thay đổi TLD từ .shop sang .icu/.online, tác nhân này vẫn duy trì các chiến thuật kỷ luật, mức độ phức tạp thấp, ưu tiên tính liên tục của hoạt động hơn là khả năng tàng hình tiên tiến.

Điều này cho thấy mối đe dọa mạng từ nhóm tấn công UAC-0057 vẫn tiếp diễn đối với Ukraine, Ba Lan và có khả năng lan rộng ra châu Âu. Các chiến dịch này nhấn mạnh phương pháp thích ứng nhưng có thể dự đoán của UAC-0057, kết hợp kỹ thuật xã hội với khai thác kỹ thuật để tạo điều kiện cho việc đánh cắp dữ liệu và triển khai implant.

Chỉ số nhận diện tấn công (IOCs)

Để hỗ trợ phát hiện xâm nhập và phòng ngừa, dưới đây là danh sách các chỉ số nhận diện tấn công (IOCs) được quan sát trong các chiến dịch của UAC-0057:

  • Tên tập tin lưu trữ/mồi nhử:
    • Список на перевірку 2025-2026.rar
    • ПЛАН наповнення СФ_ЗМІНЕНИЙ.zip
  • Tên tập tin DLL/Implant độc hại:
    • DefenderProtectionScope.log
    • sdw9gobh0n.log
    • SDXHelp.dll
  • Miền/URL máy chủ C2:
    • ip-info.ff.avast.com
    • sweetgeorgiayarns.online/wp-content/uploads/2025/04/06102226/Kims-hand-cards.jpg
    • medpagetoday.icu
    • Các miền .icu.online khác được đăng ký qua PublicDomainRegistry
  • Cơ chế duy trì quyền truy cập:
    • Khóa Registry: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
    • Scheduled Tasks (Tác vụ đã lên lịch)

Khuyến nghị phòng ngừa và giảm thiểu rủi ro

Để giảm thiểu rủi ro bảo mật từ các chiến dịch của nhóm tấn công UAC-0057, các nhà phòng thủ nên thực hiện các biện pháp sau:

  • Giám sát các hành vi thực thi macro bất thường trong các tài liệu Office.
  • Kiểm tra các sửa đổi registry bất thường, đặc biệt là trong các khóa duy trì quyền truy cập.
  • Theo dõi lưu lượng mạng đến các miền .icu đáng ngờ và các miền C2 đã biết.
  • Nâng cao nhận thức về an toàn thông tin cho người dùng cuối về các mối đe dọa từ email lừa đảo (phishing) và tập tin đính kèm độc hại.
  • Thường xuyên cập nhật bản vá bảo mật cho hệ điều hành và phần mềm ứng dụng để khắc phục các lỗ hổng đã biết.