An ninh mạng

Nhóm APT Gamaredon mở rộng tấn công tại Ukraine với malware mới và lạm dụng dịch vụ đám mây

Nhóm APT Gamaredon tiếp tục gia tăng các chiến dịch tấn công nhắm vào Ukraine trong năm 2025 thông qua việc nâng cấp kho vũ khí malware và lạm dụng các dịch vụ đám mây để che giấu hạ tầng điều...

Nguyen Hung
29 Tháng 6, 2026 2 Min Read
3 0

Trong suốt năm 2025, nhóm tin tặc APT (Advanced Persistent Threat) Gamaredon đã duy trì cường độ tấn công cao nhắm vào các cơ quan chính phủ và quân sự tại Ukraine. Theo báo cáo từ ESET, nhóm này đã thực hiện ít nhất 35 chiến dịch spear-phishing riêng biệt, tập trung chủ yếu vào nửa cuối năm.

Table Of Content

Chiến thuật tấn công tinh vi

Gamaredon tiếp tục sử dụng các tệp tin đính kèm độc hại hoặc tệp XHTML áp dụng kỹ thuật HTML smuggling để phát tán các trình tải xuống (downloader) HTA. Các công cụ này sau đó sẽ cài đặt thêm các payload độc hại như PteroSand. Đáng chú ý, nhóm này còn khai thác lỗ hổng đã được vá trong WinRAR (CVE-2025-8088) để tự động đưa mã độc vào thư mục Startup của Windows, đảm bảo tính bền vững (persistence) cho malware sau mỗi lần khởi động lại máy tính.

Ngoài ra, nhóm này còn hồi sinh công cụ PteroSetup—một trình tạo vũ khí dựa trên VBScript từng được phát hiện từ năm 2021—để lây nhiễm vào các ổ đĩa USB và ổ đĩa mạng bằng cách thay thế các tệp cài đặt hợp lệ bằng các tệp nén tự giải nén (SFX) chứa mã độc.

Kho vũ khí PowerShell mở rộng

ESET ghi nhận sự xuất hiện của 6 công cụ PowerShell mới trong kho vũ khí của Gamaredon, bao gồm:

  • PteroDee & PteroCache: Thực thi payload PowerShell trực tiếp trong bộ nhớ.
  • PteroDum: Thực thi payload VBScript trong bộ nhớ.
  • PteroOdd: Tải payload qua API của Telegra.ph, được cho là có sự phối hợp với nhóm Turla.
  • PteroEffigy: Truy xuất máy chủ C2 thông qua dịch vụ lưu trữ đám mây GoFile.
  • PteroPaste: Công cụ hỗ trợ di chuyển ngang (lateral movement) và tải payload qua kênh mã hóa.

Lạm dụng dịch vụ hợp pháp để che giấu hạ tầng

Điểm đáng chú ý nhất trong các chiến dịch năm 2025 là việc Gamaredon ngày càng phụ thuộc vào các dịch vụ đám mây, nền tảng serverless và các dịch vụ tunnel để che giấu hạ tầng back-end thực sự. Danh sách các dịch vụ bị lạm dụng bao gồm Telegra.ph, Dropbox, GoFile, Mastodon, Paste.ee, và nhiều nền tảng lưu trữ khác.

Các chuyên gia bảo mật nhận định rằng, dù malware của Gamaredon không quá phức tạp về mặt kỹ thuật, nhưng khả năng cập nhật liên tục, sự kiên trì và cách thức lạm dụng sáng tạo các dịch vụ trực tuyến hợp pháp đã khiến các chiến dịch của nhóm này trở nên linh hoạt và cực kỳ khó bị ngăn chặn.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept