An ninh mạng

Nhóm tin tặc Ghostwriter tấn công chính phủ Ukraine bằng mã độc phishing Prometheus

Nhóm tin tặc Ghostwriter đang triển khai chiến dịch phishing tinh vi nhắm vào các cơ quan chính phủ Ukraine, sử dụng mã độc mới có khả năng kiểm soát hệ thống từ...

Nguyen Hung
28 Tháng 5, 2026 2 Min Read
1 0

Nhóm tin tặc Ghostwriter (còn được biết đến với tên gọi UAC-0057 hoặc UNC1151) đang thực hiện các chiến dịch tấn công nhắm vào các tổ chức chính phủ tại Ukraine. Theo báo cáo từ CERT-UA, nhóm này sử dụng các tài khoản bị chiếm đoạt để phát tán email phishing, mạo danh nền tảng học tập trực tuyến Prometheus để đánh lừa nạn nhân.

Quy trình tấn công bắt đầu bằng một email chứa tệp đính kèm PDF. Khi người dùng nhấp vào liên kết trong tệp này, một tệp ZIP chứa mã JavaScript độc hại sẽ được tải xuống. Đoạn mã này, được đặt tên là OYSTERFRESH, sẽ hiển thị một tài liệu giả mạo để đánh lạc hướng người dùng, trong khi âm thầm thực hiện các bước lây nhiễm tiếp theo.

Cụ thể, mã độc sẽ ghi một payload đã được mã hóa có tên OYSTERBLUES vào Windows Registry. Đồng thời, nó tải xuống và kích hoạt OYSTERSHUCK – thành phần chịu trách nhiệm giải mã OYSTERBLUES. Sau khi được kích hoạt, OYSTERBLUES sẽ thu thập thông tin hệ thống như tên máy tính, tài khoản người dùng, phiên bản hệ điều hành và danh sách các tiến trình đang chạy, sau đó gửi dữ liệu này về máy chủ command-and-control (C2) thông qua yêu cầu HTTP POST.

Đáng chú ý, mã độc này còn có khả năng nhận các đoạn mã JavaScript bổ sung từ máy chủ C2 để thực thi trực tiếp trên máy nạn nhân thông qua hàm eval(). Mục tiêu cuối cùng của chuỗi tấn công này được xác định là triển khai Cobalt Strike, một framework mô phỏng tấn công thường bị lạm dụng cho các hoạt động hậu khai thác (post-exploitation).

CERT-UA khuyến cáo các cơ quan tổ chức nên thắt chặt bề mặt tấn công bằng cách hạn chế quyền thực thi wscript.exe đối với các tài khoản người dùng thông thường để giảm thiểu rủi ro từ loại hình đe dọa này.

Bên cạnh đó, Hội đồng Quốc phòng và An ninh Quốc gia Ukraine cũng cảnh báo về việc các nhóm tin tặc được nhà nước hậu thuẫn đang tích cực ứng dụng AI (như ChatGPT và Google Gemini) để trinh sát mục tiêu và nhúng công nghệ này vào mã độc nhằm tạo ra các lệnh tấn công linh hoạt hơn ngay trong quá trình thực thi.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept