Nhóm Phát hiện và Phản ứng Mối đe dọa (TDR) của Sekoia.io đã khám phá một chiến dịch tấn công mạng tinh vi của APT28, sử dụng Signal Messenger để triển khai hai họ mã độc mới chưa từng được ghi nhận: BeardShell và framework Covenant.

Phát hiện chiến dịch và mối liên hệ với APT28

Vào đầu năm 2025, một đối tác đáng tin cậy đã cung cấp các mẫu không khớp với bất kỳ chuỗi lây nhiễm nào đã biết, thúc đẩy một cuộc điều tra chung. Sự kiện này dẫn đến việc CERT-UA công bố báo cáo vào ngày 21 tháng 6 năm 2025.

Báo cáo của CERT-UA đã gán BeardShell và Covenant cho APT28, xác nhận danh tính của các mẫu được tìm thấy trước đó. Bằng cách đối chiếu phát hiện của CERT-UA với phân tích của Sekoia.io, các nhà nghiên cứu đã khám phá thêm các tài liệu Office độc hại và các kỹ thuật tàng hình chưa được báo cáo ở bất kỳ đâu khác.

APT28: Tác nhân đe dọa và lịch sử hoạt động

APT28, còn được biết đến với các tên gọi khác như Sofacy, Fancy Bear, BlueDelta, Forest Blizzard, và TAG-110, hoạt động dưới sự chỉ đạo của Trung tâm Dịch vụ Đặc biệt Chính thứ 85 của Tổng cục Tình báo Nga (GRU), thuộc Đơn vị Quân sự 26165.

Trong suốt năm 2025, nhóm tấn công mạng này đã xuất hiện nổi bật trong các cảnh báo từ CISA và 21 đối tác quốc tế, cũng như các phân tích của ANSSI của Pháp. Vào tháng 1 năm 2025, Sekoia.io đã phơi bày chiến dịch Double-Tap nhắm vào các kênh ngoại giao ở Trung Á, một hoạt động có liên quan đến Nga và có thể kết nối với APT28.

Mặc dù việc gán ghép giữa UAC-0063 và APT28 vẫn còn mang tính tạm thời, các hoạt động tương tự đã tiếp diễn ở Tajikistan.

Chuỗi lây nhiễm: Từ Spearphishing đến Chiếm quyền điều khiển

Chiến dịch tấn công mạng này khởi đầu bằng một mồi nhử spearphishing: một tài liệu Office độc hại được gửi qua cuộc trò chuyện riêng tư trên Signal Messenger. Trong cuộc trao đổi, kẻ gửi giả mạo là cấp trên và viện dẫn các hành động hành chính khẩn cấp hoặc đe dọa pháp lý để dụ d người nhận mở tệp đính kèm.

Khai thác VBA Macro và kỹ thuật COM Hijacking

Tài liệu Office nhúng nhiều VBA macro. Các macro này thực hiện một cuộc chiếm quyền điều khiển COM cấp người dùng để tải một DLL độc hại. Khi thực thi, các macro kiểm tra các điều kiện tiên quyết của hệ thống, thả hai tệp—prnfldr.dll và windows.png—và đăng ký DLL dưới dạng máy chủ COM thông qua thao tác registry và công cụ regsvr32.exe.

Khi Explorer.exe tải máy chủ COM, DLL này sẽ proxy các chức năng hợp pháp của Printer, đồng thời tạo một luồng mới để tải shellcode từ tệp PNG. Kỹ thuật này cho phép mã độc được thực thi một cách tàng hình.

Kỹ thuật Steganography để ẩn mã độc

Tệp PNG hợp lệ mang theo shellcode ẩn trong các bit ít quan trọng nhất của nó. Sau khi được trích xuất và giải mã, shellcode này sẽ khởi tạo .NET Common Language Runtime và tải GruntHTTPStager, thành phần dàn dựng của framework Covenant. Việc sử dụng kỹ thuật steganography giúp mã độc tránh bị phát hiện bởi các công cụ bảo mật thông thường.

Mã độc mới: Covenant Framework và BeardShell

Covenant thiết lập một kênh C2 (Command and Control) điều khiển qua API sử dụng dịch vụ lưu trữ đám mây Koofr, chờ đợi các payload tiếp theo. Theo báo cáo của CERT-UA, giai đoạn đầu tiên này tải xuống hai tệp—sample-03.wav và PlaySndSrv.dll—mà sau đó giải mã và khởi chạy BeardShell.

BeardShell: Mã độc độc quyền của APT28

BeardShell ngụy trang tất cả các giao tiếp của mình thông qua dịch vụ lưu trữ đám mây icedrive, thực thi các lệnh PowerShell được mã hóa theo chu kỳ bốn giờ. DLL C++ của nó sử dụng một thuật toán mã hóa XOR một byte để che giấu chuỗi và mã hóa AES-CBC cho các payload lệnh. Đây là một ví dụ về sự phát triển trong công cụ của APT28.

Mục tiêu và Động cơ của chiến dịch

Cuộc điều tra đã thu hồi mười một tài liệu Office độc hại được thiết kế theo chủ đề các thủ tục quân sự của Ukraine—như biểu mẫu đánh giá, yêu cầu bồi thường, biên lai hậu cần máy bay không người lái—được tạo ra để trông chân thực đối với nhân viên hành chính cấp lữ đoàn. Sự phổ biến của các biểu mẫu liên quan đến thương tích và hồ sơ chuyển thiết bị cho thấy mục tiêu là các nhân sự quân sự trong các khu vực xung đột tích cực.

Mục đích chính của chiến dịch tấn công mạng này có khả năng là thu thập thông tin tình báo hoạt động về các đơn vị tiền tuyến. Các macro VBA trong tài liệu điều chỉnh các khai báo API của chúng dựa trên phiên bản Office và sử dụng các chiến thuật tàng hình, bao gồm chuyển sang chế độ Print Layout, giải mã bằng cách thay thế cặp byte, xác minh sự hiện diện của .NET Framework và ẩn các tệp được thả.

Cách tiếp cận đa lớp này đảm bảo cả tính bền vững và các kiểm tra bổ sung chống lại phát hiện của sandbox.

Mối đe dọa mạng: Sự tiến hóa trong TTPs của APT28

APT28 khai thác framework Covenant mã nguồn mở và các dịch vụ đám mây hợp pháp—Koofr và icedrive—cho các giao tiếp C2 bí mật. Điều này thể hiện sự tiến hóa đáng kể trong TTPs (Tactics, Techniques, and Procedures) của nhóm trong các hoạt động tấn công mạng. Việc tích hợp các cầu nối C2 dựa trên đám mây, kết hợp với phương thức phân phối payload steganographic mới và kỹ thuật chiếm quyền điều khiển COM, nhấn mạnh sự tinh vi về mặt kỹ thuật của nhóm trong mỗi tấn công mạng.

Vào tháng 8 năm 2025, chuỗi lây nhiễm này đã tái xuất hiện thông qua một tài liệu Excel độc hại được lưu trữ trên Filen.io, xác nhận khả năng thích ứng của chúng. Mặc dù vẫn còn những điều không chắc chắn về cơ chế triển khai của BeardShell và mối quan hệ giữa keylogger SlimAgent và chuỗi chính, bộ công cụ được củng cố của APT28, pha trộn mã độc tùy chỉnh với các framework mã nguồn mở, giúp chúng duy trì khả năng truy cập dài hạn và né tránh hiệu quả trong các chiến dịch tấn công mạng.

Nhóm TDR của Sekoia.io sẽ duy trì giám sát chặt chẽ, tinh chỉnh các phương pháp phát hiện và chuẩn bị cho sự tiến hóa tiếp theo của chiến dịch tấn công mạng này. Để biết thêm chi tiết về chiến dịch, bạn có thể tham khảo báo cáo chuyên sâu tại blog.sekoia.io.