Các tổ chức ở Ukraine đã bị nhắm mục tiêu bởi các tác nhân đe dọa có nguồn gốc từ Nga với mục đích đánh cắp dữ liệu nhạy cảm và duy trì quyền truy cập dai dẳng vào các mạng bị xâm nhập.
Hoạt động này, theo một báo cáo mới từ Symantec và Carbon Black Threat Hunter Team, đã nhắm mục tiêu vào một tổ chức dịch vụ kinh doanh lớn trong hai tháng và một thực thể chính phủ địa phương ở nước này trong một tuần.
Các cuộc tấn công chủ yếu tận dụng chiến thuật Living-off-the-Land (LotL) và các công cụ kép (dual-use tools), kết hợp với lượng malware tối thiểu, nhằm giảm dấu vết kỹ thuật số và duy trì không bị phát hiện trong thời gian dài.
"Những kẻ tấn công đã giành quyền truy cập vào tổ chức dịch vụ kinh doanh bằng cách triển khai web shells trên các máy chủ công khai, rất có thể là bằng cách khai thác một hoặc nhiều unpatched vulnerabilities," các nhóm an ninh mạng thuộc sở hữu của Broadcom cho biết trong một báo cáo được chia sẻ với The Hacker News.
Một trong các web shells được sử dụng trong cuộc tấn công là Localolive, vốn đã bị Microsoft gắn cờ trước đó là được một tiểu nhóm của nhóm Sandworm liên kết với Nga sử dụng trong một chiến dịch kéo dài nhiều năm có tên mã BadPilot. LocalOlive được thiết kế để tạo điều kiện phân phối các next-stage payloads như Chisel, plink và rsockstun. Nó đã được sử dụng từ cuối năm 2021.
Những dấu hiệu ban đầu về hoạt động độc hại nhắm vào tổ chức dịch vụ kinh doanh bắt nguồn từ ngày 27 tháng 6 năm 2025, với việc những kẻ tấn công tận dụng quyền truy cập để thả một web shell và sử dụng nó để thực hiện reconnaissance. Các tác nhân đe dọa cũng được phát hiện đã chạy các lệnh PowerShell để loại trừ thư mục Downloads của máy khỏi quá trình quét của Microsoft Defender Antivirus, cũng như thiết lập một scheduled task để thực hiện memory dump mỗi 30 phút.
Các hành động của kẻ tấn công
Trong vài tuần tiếp theo, những kẻ tấn công đã thực hiện nhiều hành động khác nhau, bao gồm:
- Lưu một bản sao của registry hive vào một tệp có tên 1.log
- Thả thêm nhiều web shells
- Sử dụng web shell để liệt kê tất cả các tệp trong user directory
- Chạy một lệnh để liệt kê tất cả các running processes bắt đầu bằng "kee," có thể với mục tiêu nhắm vào KeePass password storage vault
- Liệt kê tất cả các active user sessions trên một máy thứ hai
- Chạy các executables có tên "service.exe" và "cloud.exe" nằm trong thư mục Downloads
- Chạy các lệnh reconnaissance trên một máy thứ ba và thực hiện memory dump bằng công cụ Microsoft Windows Resource Leak Diagnostic (RDRLeakDiag)
- Sửa đổi registry cho phép các kết nối RDP để cho phép các inbound RDP connections
- Chạy một lệnh PowerShell để lấy thông tin về cấu hình Windows trên một máy thứ tư
- Chạy RDPclip để giành quyền truy cập vào clipboard trong các remote desktop connections
- Cài đặt OpenSSH để tạo điều kiện truy cập từ xa vào máy tính
- Chạy một lệnh PowerShell để cho phép lưu lượng TCP trên port 22 cho OpenSSH server
- Tạo một scheduled task để chạy một PowerShell backdoor không xác định (link.ps1) mỗi 30 phút bằng một domain account
- Chạy một Python script không xác định
- Triển khai một ứng dụng quản lý router MikroTik hợp pháp ("winbox64.exe") trong thư mục Downloads
Điều thú vị là, sự hiện diện của "winbox64.exe" cũng đã được CERT-UA ghi nhận vào tháng 4 năm 2024 liên quan đến một chiến dịch Sandworm nhắm vào các nhà cung cấp năng lượng, nước và sưởi ấm ở Ukraine.
Symantec và Carbon Black cho biết họ không tìm thấy bất kỳ bằng chứng nào trong các cuộc xâm nhập để liên kết nó với Sandworm, nhưng cho biết nó "có vẻ có nguồn gốc từ Nga." Công ty an ninh mạng cũng tiết lộ rằng các cuộc tấn công được đặc trưng bởi việc triển khai một số PowerShell backdoors và các executables đáng ngờ có khả năng là malware. Tuy nhiên, không có tạo phẩm nào trong số này được thu thập để phân tích.
"Trong khi những kẻ tấn công sử dụng một lượng malware hạn chế trong quá trình xâm nhập, phần lớn hoạt động độc hại diễn ra liên quan đến các công cụ hợp pháp, hoặc Living-off-the-Land hoặc dual-use software do những kẻ tấn công đưa vào," Symantec và Carbon Black cho biết.
"Những kẻ tấn công đã thể hiện kiến thức sâu rộng về các công cụ native của Windows và cho thấy cách một kẻ tấn công có kỹ năng có thể đẩy mạnh một cuộc tấn công và đánh cắp thông tin nhạy cảm, chẳng hạn như credentials, đồng thời để lại dấu vết tối thiểu trên mạng bị nhắm mục tiêu."
Các chiến dịch tấn công khác
Thông tin tiết lộ này được đưa ra khi Gen Threat Labs trình bày chi tiết về việc Gamaredon đã khai thác một security flaw đã được vá trong WinRAR (CVE-2025-8088, CVSS score: 8.8) để tấn công các cơ quan chính phủ Ukraine.
"Những kẻ tấn công đang lạm dụng #CVE-2025-8088 (WinRAR path traversal) để gửi các tệp lưu trữ RAR tự động thả HTA malware vào thư mục Startup – không cần tương tác của người dùng ngoài việc mở tệp PDF lành tính bên trong," công ty cho biết trong một bài đăng trên X. "Những mồi nhử này được tạo ra để lừa nạn nhân mở các tệp lưu trữ vũ khí hóa, tiếp tục một mô hình nhắm mục tiêu hung hãn đã thấy trong các chiến dịch trước đây."
Sự thay đổi trong hệ sinh thái tội phạm mạng Nga
Các phát hiện này cũng theo sau một báo cáo từ Recorded Future, cho thấy hệ sinh thái cybercriminal của Nga đang được định hình tích cực bởi các chiến dịch thực thi pháp luật quốc tế như Operation Endgame, chuyển dịch mối quan hệ của chính phủ Nga với các nhóm e-crime từ dung thứ thụ động sang quản lý tích cực.
Phân tích sâu hơn các cuộc trò chuyện bị rò rỉ đã phát hiện ra rằng các nhân vật cấp cao trong các nhóm đe dọa này thường duy trì mối quan hệ với các dịch vụ tình báo Nga, cung cấp dữ liệu, thực hiện nhiệm vụ hoặc tận dụng hối lộ và các mối quan hệ chính trị để được miễn trừ trừng phạt. Đồng thời, các nhóm cybercriminal đang phân cấp hoạt động để tránh sự giám sát của phương Tây và trong nước.
Mặc dù từ lâu đã biết rằng các cybercriminals Nga có thể hoạt động tự do miễn là họ không nhắm mục tiêu vào các doanh nghiệp hoặc thực thể hoạt động trong khu vực, Điện Kremlin dường như hiện đang thực hiện một cách tiếp cận tinh tế hơn, nơi họ tuyển dụng hoặc chiêu mộ nhân tài khi cần thiết, nhắm mắt làm ngơ khi các cuộc tấn công phù hợp với lợi ích của họ và thực thi luật pháp một cách chọn lọc khi các tác nhân đe dọa trở nên "bất tiện về mặt chính trị hoặc gây xấu hổ ra bên ngoài."
Dưới góc độ đó, "dark covenant" là sự kết hợp của nhiều yếu tố: một doanh nghiệp thương mại, công cụ gây ảnh hưởng và thu thập thông tin, và cũng là một trách nhiệm pháp lý khi nó đe dọa sự ổn định trong nước hoặc do áp lực từ phương Tây.
"Thế giới ngầm cybercriminal của Nga đang rạn nứt dưới áp lực kép của sự kiểm soát nhà nước và sự ngờ vực nội bộ, trong khi việc theo dõi các diễn đàn độc quyền và các cuộc trò chuyện của các chi nhánh ransomware cho thấy sự hoang tưởng ngày càng tăng trong số các operators," công ty lưu ý trong phần thứ ba của báo cáo Dark Covenant.
