An ninh mạng

Nhóm hacker Gamaredon khai thác lỗ hổng WinRAR để phát tán mã độc GammaWorm và GammaSteel

Nhóm tin tặc Gamaredon đang tiếp tục chiến dịch tấn công nhắm vào Ukraine bằng cách khai thác lỗ hổng WinRAR để phát tán các dòng mã độc nguy hiểm, bao gồm GammaWorm và...

Nguyen Hung
5 Tháng 6, 2026 2 Min Read
2 0

Nhóm tin tặc khét tiếng Gamaredon, được cho là có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), đang duy trì các chiến dịch tấn công mạng nhắm vào Ukraine. Theo báo cáo từ công ty an ninh mạng Sekoia, nhóm này đang khai thác lỗ hổng bảo mật trong phần mềm WinRAR để thực hiện hành vi đánh cắp dữ liệu và phát tán mã độc.

Table Of Content

Chuỗi tấn công tinh vi

Hoạt động này tập trung vào việc tận dụng CVE-2025-8088, một lỗ hổng path traversal trong WinRAR. Kẻ tấn công sử dụng lỗ hổng này để kích hoạt một tệp tin HTML Application (HTA) có tên là GammaPhish. Từ đây, mã độc tiếp tục tải xuống các trình tải (downloader) VBScript trung gian được gọi là GammaLoad.

Mục tiêu chính của chiến dịch bao gồm:

  • Thu thập thông tin hệ thống (fingerprinting).
  • Cập nhật cấu hình mạng thông qua registry bằng kỹ thuật dead drop resolvers (DDRs).
  • Tải xuống và thực thi các payload VBScript tùy ý từ server điều khiển (C2).

Các dòng mã độc chủ chốt

Một trong những thành phần đáng chú ý là GammaWorm, một loại sâu máy tính VBScript có khả năng duy trì sự hiện diện trên hệ thống thông qua các tác vụ được lập lịch (scheduled tasks). Mã độc này thường ẩn các thư mục hợp lệ trên ổ đĩa USB hoặc ổ đĩa mạng, thay thế chúng bằng các tệp tin shortcut (LNK) độc hại để thực thi mã từ server C2. Để tránh bị phát hiện, GammaWorm sử dụng kỹ thuật NTFS Alternate Data Streams (ADS) và thực hiện các truy vấn đến một kênh Telegram công khai để nhận lệnh điều khiển.

Bên cạnh đó, GammaSteel là một công cụ đánh cắp thông tin (infostealer) dạng mô-đun, chuyên tìm kiếm và trích xuất các tệp tin theo định dạng cụ thể, sau đó gửi về một bucket Amazon S3 hoặc server của kẻ tấn công. Sekoia cũng cảnh báo rằng chuỗi lây nhiễm này có thể được tùy biến để triển khai các loại mã độc khác như GammaWipe tùy theo mục đích của tin tặc.

Bối cảnh đe dọa

Các chuyên gia nhận định rằng kiến trúc của chuỗi tấn công này rất linh hoạt và có khả năng tùy biến cao, cho thấy khả năng tái sử dụng trong tương lai. Ngoài Gamaredon, các nhóm tin tặc khác như UAC-0184 và UAC-0247 cũng đang tích cực nhắm vào các mục tiêu quân sự và vận hành drone tại Ukraine thông qua các kỹ thuật phishingexploit tinh vi.

Việc liên tục cập nhật các chiến thuật, kỹ thuật và quy trình (TTPs) của các nhóm APT cho thấy tầm quan trọng của việc cập nhật patch kịp thời cho các phần mềm phổ biến và nâng cao cảnh giác trước các tệp tin đính kèm đáng ngờ.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept