Tác nhân đe dọa liên kết với Nga, được biết đến là UAC-0184, đã bị phát hiện nhắm mục tiêu vào các tổ chức quân sự và chính phủ Ukraine bằng cách lợi dụng nền tảng nhắn tin Viber để phát tán các tệp lưu trữ ZIP độc hại.
"Tổ chức này đã tiếp tục thực hiện các hoạt động thu thập thông tin tình báo cường độ cao nhằm vào các cơ quan quân sự và chính phủ Ukraine vào năm 2025," Trung tâm Tình báo Đe dọa 360 (360 Threat Intelligence Center) cho biết trong một báo cáo kỹ thuật.
Cũng được theo dõi dưới tên Hive0156, nhóm tin tặc này chủ yếu được biết đến với việc lợi dụng các mồi nhử theo chủ đề chiến tranh trong email phishing để phân phối Hijack Loader trong các cuộc tấn công nhắm vào các thực thể Ukraine. Malware loader này sau đó hoạt động như một con đường cho các lây nhiễm Remcos RAT.
Tác nhân đe dọa này lần đầu tiên được CERT-UA ghi nhận vào đầu tháng 1 năm 2024. Các chiến dịch tấn công tiếp theo đã được phát hiện sử dụng các ứng dụng nhắn tin như Signal và Telegram làm phương tiện phân phối phần mềm độc hại. Những phát hiện mới nhất từ các nhà cung cấp bảo mật Trung Quốc chỉ ra một sự phát triển hơn nữa của chiến thuật này.
Chi tiết Chuỗi Tấn công
Chuỗi tấn công liên quan đến việc sử dụng Viber làm vector xâm nhập ban đầu để phân phối các tệp lưu trữ ZIP độc hại chứa nhiều tệp Windows shortcut (LNK) được ngụy trang thành tài liệu Microsoft Word và Excel chính thức nhằm lừa người nhận mở chúng.
Các tệp LNK được thiết kế để đóng vai trò là tài liệu mồi nhử nhằm giảm sự nghi ngờ của nạn nhân, trong khi âm thầm thực thi Hijack Loader ở chế độ nền bằng cách tải một tệp lưu trữ ZIP thứ hai ("smoothieks.zip") từ một máy chủ từ xa thông qua một script PowerShell.
Hoạt động của Hijack Loader và Remcos RAT
Cuộc tấn công tái tạo và triển khai Hijack Loader trong bộ nhớ thông qua một quy trình nhiều giai đoạn sử dụng các kỹ thuật như DLL side-loading và module stomping để trốn tránh sự phát hiện của các công cụ bảo mật. Loader sau đó quét môi trường để tìm kiếm phần mềm bảo mật đã cài đặt, chẳng hạn như những phần mềm liên quan đến Kaspersky, Avast, BitDefender, AVG, Emsisoft, Webroot và Microsoft, bằng cách tính toán CRC32 hash của chương trình tương ứng.
Bên cạnh việc thiết lập khả năng duy trì truy cập (persistence) bằng các tác vụ theo lịch, loader thực hiện các bước để phá vỡ cơ chế phát hiện chữ ký tĩnh trước khi âm thầm thực thi Remcos RAT bằng cách tiêm nó vào "chime.exe". Công cụ quản trị từ xa này cấp cho những kẻ tấn công khả năng quản lý endpoint, thực thi payload, giám sát các hoạt động và đánh cắp dữ liệu.
"Mặc dù được tiếp thị là phần mềm quản lý hệ thống hợp pháp, nhưng khả năng xâm nhập mạnh mẽ của nó khiến nó thường xuyên được nhiều kẻ tấn công độc hại sử dụng cho các hoạt động gián điệp mạng và đánh cắp dữ liệu," Trung tâm Tình báo Đe dọa 360 cho biết. "Thông qua bảng điều khiển giao diện người dùng đồ họa (GUI) do Remcos cung cấp, những kẻ tấn công có thể thực hiện quản lý tự động theo lô hoặc các hoạt động tương tác thủ công chính xác trên máy chủ của nạn nhân."
