Ghostwriter nhắm mục tiêu vào các tổ chức chính phủ Ukraine bằng mã độc lừa đảo Prometheus

Nhóm tấn công Ghostwriter có liên quan đến Belarus đã bị phát hiện sử dụng các mồi nhử liên quan đến Prometheus, một nền tảng học tập trực tuyến của Ukraine, để nhắm mục tiêu vào các tổ chức chính phủ tại nước này. Theo CERT-UA, chiến dịch này sử dụng email lừa đảo từ các tài khoản bị xâm nhập để phát tán mã độc OYSTER và Cobalt Strike.
Ghostwriter tấn công Ukraine

Nhóm tấn công có liên quan đến Belarus được biết đến với tên gọi Ghostwriter (còn gọi là UAC-0057 và UNC1151) đã bị phát hiện sử dụng các mồi nhử liên quan đến Prometheus, một nền tảng học tập trực tuyến của Ukraine, để nhắm mục tiêu vào các tổ chức chính phủ tại nước này.

Theo Đội ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA), hoạt động này bao gồm việc gửi các email lừa đảo (phishing) đến các cơ quan chính phủ bằng cách sử dụng các tài khoản bị xâm nhập. Chiến dịch này đã hoạt động từ mùa xuân năm 2026.

"Thông thường, email chứa một tệp đính kèm PDF có liên kết mà khi nhấp vào sẽ dẫn đến việc tải xuống một tệp lưu trữ ZIP chứa tệp JavaScript," cơ quan này cho biết trong một báo cáo vào thứ Năm.

Phân tích chuỗi tấn công và mã độc OYSTER

Tệp JavaScript, được đặt tên là OYSTERFRESH, được thiết kế để hiển thị một tài liệu mồi nhử như một cơ chế đánh lạc hướng, trong khi âm thầm ghi một payload đã được làm xáo trộn và mã hóa có tên là OYSTERBLUES vào Windows Registry, đồng thời tải xuống và khởi chạy OYSTERSHUCK, thành phần chịu trách nhiệm giải mã OYSTERBLUES.

OYSTERBLUES được trang bị để thu thập nhiều loại thông tin hệ thống, bao gồm tên máy tính, tài khoản người dùng, phiên bản OS, thời gian khởi động hệ điều hành lần cuối và danh sách các tiến trình đang chạy. Dữ liệu thu thập được gửi đến một máy chủ điều khiển (C2) thông qua yêu cầu HTTP POST.

Sau đó, nó chờ đợi các phản hồi tiếp theo chứa mã JavaScript giai đoạn sau, được thực thi bằng hàm eval(). Payload cuối cùng được đánh giá là Cobalt Strike, một khung mô phỏng đối thủ thường xuyên bị lạm dụng cho các hoạt động sau xâm nhập.

Email lừa đảo nhắm vào chính phủ Ukraine
Minh họa các email lừa đảo được sử dụng để phát tán mã độc.
"Để giảm khả năng mối đe dọa mạng này bị khai thác, bạn nên áp dụng các phương pháp cơ bản đã biết để giảm thiểu bề mặt tấn công, cụ thể là hạn chế khả năng chạy wscript.exe cho các tài khoản người dùng tiêu chuẩn," CERT-UA khuyến nghị.

Sử dụng AI trong các chiến dịch tấn công của Nga

Tiết lộ này được đưa ra khi Hội đồng An ninh và Quốc phòng Quốc gia Ukraine tiết lộ việc Nga sử dụng các công cụ trí tuệ nhân tạo (AI) như OpenAI ChatGPT và Google Gemini để thăm dò các mục tiêu và nhúng công nghệ này vào mã độc để tạo ra các lệnh độc hại trong thời gian chạy. Họ cũng chỉ đích danh các nhóm tin tặc được Điện Kremlin hậu thuẫn thực hiện các cuộc tấn công mạng tập trung vào việc thu thập thông tin tình báo và đảm bảo sự hiện diện lâu dài trong các mạng bị xâm nhập để khai thác tiếp theo, bao gồm cả việc hỗ trợ các hoạt động gây ảnh hưởng.

"Các vector xâm nhập ban đầu chính trong năm 2025 là kỹ thuật xã hội (social engineering), khai thác lỗ hổng, sử dụng các tài khoản RDP và VPN bị xâm nhập, tấn công chuỗi cung ứng và sử dụng phần mềm không bản quyền đã chứa sẵn backdoor ở giai đoạn cài đặt. Những kẻ tấn công tập trung vào việc đánh cắp thông tin nhạy cảm, chặn thu liên lạc và theo dõi vị trí của các mục tiêu," Hội đồng cho biết.

Trong một diễn biến liên quan, các chi tiết đã xuất hiện về một chiến dịch tuyên truyền ủng hộ Điện Kremlin đã chiếm đoạt tài khoản của những người dùng Bluesky thực sự để đăng nội dung giả mạo kể từ năm 2024. Các tài khoản bị chiếm đoạt bao gồm các nhà báo và giáo sư. Hoạt động này được quy cho một công ty có trụ sở tại Moscow mang tên Social Design Agency, có liên quan đến chiến dịch Matryoshka. Trong một số trường hợp, Bluesky đã thực hiện các bước tạm ngưng tài khoản cho đến khi chủ sở hữu tiến hành đặt lại.