Các nhà nghiên cứu của IBM X-Force đã công bố những phát hiện quan trọng về các chiến dịch tấn công mạng đang diễn ra do Hive0156 thực hiện. Đây là một tác nhân đe dọa được liên kết với Nga, chuyên biệt trong việc nhắm mục tiêu vào các tổ chức chính phủ và quân sự Ukraine thông qua các cuộc tấn công phần mềm độc hại tinh vi. Hoạt động của nhóm này đặt ra một mối đe dọa đáng kể cho an ninh quốc gia và cơ sở hạ tầng trọng yếu của Ukraine, đòi hỏi các biện pháp phòng vệ nâng cao.
Hive0156, được xác định có sự trùng lặp đáng kể trong hoạt động với tác nhân UAC-0184 của CERT-UA, đã và đang triển khai tích cực mã độc Remcos Remote Access Trojan (RAT) trên khắp Ukraine. Việc sử dụng Remcos RAT cho phép tác nhân này duy trì quyền truy cập dai dẳng vào các hệ thống quan trọng, bao gồm cơ sở hạ tầng và các kênh liên lạc quân sự nhạy cảm, từ đó có thể thực hiện hoạt động gián điệp, phá hoại hoặc đánh cắp dữ liệu.
Hoạt động của Hive0156 và Chiến lược Nhắm mục tiêu
Mục tiêu Ban đầu và Sự Thay đổi Chiến thuật Gây Rủi ro Bảo Mật
Ban đầu, chiến lược nhắm mục tiêu của Hive0156 tập trung hoàn toàn vào nhân sự quân sự Ukraine. Điều này được thể hiện qua việc sử dụng các tài liệu mồi nhử có chủ đề quân sự rất cụ thể, được thiết kế để lừa các quân nhân mở tệp độc hại. Các tài liệu này thường bao gồm các báo cáo giả mạo về tổn thất chiến tranh, đánh giá sẵn sàng của tiểu đoàn, và tính toán phân bổ nhân sự.
Ví dụ điển hình về các tên tệp tài liệu mồi nhử được sử dụng trong giai đoạn này bao gồm các tên như:
uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsxNakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx
Những tệp này được thiết kế để trông giống các tài liệu nội bộ hợp pháp, sử dụng thuật ngữ quân sự và tham chiếu đơn vị có vẻ chân thực nhằm tăng tính thuyết phục và lừa người dùng mở chúng, tạo ra một mối đe dọa tiềm ẩn ngay từ ban đầu.
Tuy nhiên, các phân tích gần đây cho thấy Hive0156 đã có một sự thay đổi chiến lược đáng kể kể từ giữa năm 2025. Nhóm này đã mở rộng mục tiêu sang đối tượng dân sự rộng hơn. Các tài liệu mồi nhử mới được quan sát có chủ đề liên quan đến “đơn kiến nghị,” “thư công văn chính thức,” và “thông báo từ chối chính thức,” được viết bằng tiếng Ukraine đã được chuyển ngữ. Điều này cho thấy sự mở rộng phạm vi hoạt động của nhóm vượt ra ngoài các mục tiêu quân sự, có khả năng bao gồm các quan chức chính phủ, nhà thầu, và nhân sự cơ sở hạ tầng dân sự, làm gia tăng nguy cơ cho an ninh mạng quốc gia.
Kỹ thuật Tấn công và Chuỗi Lây nhiễm
Phương pháp tấn công của Hive0156 sử dụng một chuỗi lây nhiễm nhiều giai đoạn tinh vi. Chuỗi này bắt đầu bằng các tệp Microsoft LNK hoặc PowerShell scripts đã được tùy chỉnh để chứa mã độc. Khi người dùng thực thi các tệp ban đầu này, chúng sẽ liên hệ với cơ sở hạ tầng máy chủ điều khiển và kiểm soát (C2) của kẻ tấn công.
Từ máy chủ C2, các payload ban đầu sẽ tải về cả tài liệu mồi nhử hợp pháp (để đánh lạc hướng nạn nhân) và các kho lưu trữ ZIP độc hại. Các kho lưu trữ ZIP này chứa các thành phần của HijackLoader. Hive0156 còn thực hiện các biện pháp tinh vi khác như lọc theo địa lý và xác minh user-agent để đảm bảo rằng payload được gửi thành công đến mục tiêu mong muốn, đồng thời tránh né các hệ thống phát hiện, từ đó tăng cường hiệu quả của mối đe dọa.
Các Thành phần Kỹ thuật Cao của HijackLoader
Hive0156 thể hiện sự tinh vi kỹ thuật đáng kể thông qua việc sử dụng HijackLoader, còn được biết đến với tên gọi IDAT Loader, như một cơ chế phân phối payload trung gian. Loader này đòi hỏi nhiều thành phần để hoạt động, bao gồm:
- Các tệp thực thi hợp pháp có chữ ký số (lợi dụng chúng để tải mã độc).
- Các tệp DLL đã được vá (để chèn mã độc vào các quy trình hợp pháp).
- Các tệp PNG được mã hóa chứa các module bổ sung (che giấu mã độc).
- Các tệp shellcode với quy ước đặt tên ngẫu nhiên (làm phức tạp việc phát hiện và phân tích).
Sự phức tạp của hệ thống phân phối này chỉ ra rằng đằng sau hoạt động này là những nguồn lực đáng kể và chuyên môn kỹ thuật cao, biến nó thành một mối đe dọa nghiêm trọng và khó bị phát hiện.
Payload cuối cùng của các chiến dịch này là Remcos RAT, một công cụ cung cấp khả năng truy cập từ xa rộng rãi cho kẻ tấn công. Các tính năng của Remcos RAT bao gồm:
- Keylogging: Ghi lại tất cả các phím bấm của người dùng, cho phép đánh cắp thông tin đăng nhập và dữ liệu nhạy cảm.
- Screen Recording: Quay lại hoạt động trên màn hình, cung cấp cái nhìn trực quan về các thao tác của nạn nhân.
- Audio Surveillance: Giám sát âm thanh qua microphone, có thể thu thập thông tin từ các cuộc hội thoại hoặc môi trường xung quanh.
- Credential Theft: Đánh cắp thông tin đăng nhập được lưu trữ trên hệ thống hoặc qua các trình duyệt, ứng dụng.
- Complete System Control: Cung cấp quyền kiểm soát hoàn toàn hệ thống bị xâm nhập, cho phép cài đặt thêm phần mềm, chỉnh sửa tệp, hoặc thực hiện bất kỳ hành động nào khác.
Hoạt động Điều khiển và Kiểm soát (C2) của Mối đe dọa
Phân tích cấu hình Remcos đã thu thập được cho thấy Hive0156 vận hành nhiều chiến dịch song song, mỗi chiến dịch sử dụng các mã định danh riêng biệt như hmu2005, gu2005, ra2005, và ra2005new. Điều này chỉ ra rằng các hoạt động của nhóm được tổ chức rất bài bản và có hệ thống, phản ánh một mối đe dọa được lên kế hoạch kỹ lưỡng.
Các tác nhân đe dọa này duy trì một cơ sở hạ tầng điều khiển và kiểm soát (C2) toàn cầu, và có khả năng được hưởng lợi từ sự dung thứ đối với các hoạt động độc hại từ các nhà cung cấp dịch vụ lưu trữ của Nga. Bảo mật vận hành của chúng bao gồm các hạn chế về địa lý (geofencing) để giới hạn quyền truy cập và các bản cập nhật cấu hình liên tục được phân phối thông qua các kênh C2. Điều này cho thấy sự ưu tiên trong việc duy trì quyền truy cập “ngủ đông” (dormant access), chỉ kích hoạt các khả năng giám sát một cách có chọn lọc dựa trên yêu cầu hoạt động, làm cho việc phát hiện và đối phó trở nên phức tạp hơn đối với các hệ thống bị xâm nhập.
Các Chỉ số Đe dọa (IOCs)
Dựa trên phân tích, các chỉ số đe dọa chính liên quan đến chiến dịch của Hive0156 bao gồm:
- Tác nhân Đe dọa: Hive0156, UAC-0184 (có sự trùng lặp hoạt động).
- Mã độc và Công cụ: Remcos Remote Access Trojan (RAT), HijackLoader (còn gọi là IDAT Loader).
- Ví dụ về Tên tệp Mồi nhử:
uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsxNakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx
- Mã định danh Chiến dịch Remcos:
hmu2005,gu2005,ra2005,ra2005new.
Các Biện pháp Phòng thủ và Giảm thiểu Rủi ro An ninh mạng
Để đối phó hiệu quả với mối đe dọa từ các tác nhân như Hive0156, các nhà nghiên cứu bảo mật khuyến nghị thực hiện các biện pháp phòng thủ toàn diện. Điều này đặc biệt quan trọng đối với các tổ chức có kết nối với chính phủ hoặc quân đội Ukraine, những đối tượng đang đối mặt với nguy cơ cao hơn từ các hệ thống bị xâm nhập.
Các biện pháp được đề xuất bao gồm:
- Nâng cao nhận thức người dùng: Đào tạo người dùng về các kỹ thuật lừa đảo (phishing), đặc biệt là các tệp mồi nhử và cách nhận biết các email hoặc tệp đáng ngờ.
- Bảo vệ điểm cuối tiên tiến: Triển khai và cập nhật liên tục các giải pháp bảo vệ điểm cuối (Endpoint Protection Platforms – EPP hoặc Endpoint Detection and Response – EDR) có khả năng phát hiện các biến thể của Remcos RAT và HijackLoader.
- Phân đoạn mạng: Thực hiện phân đoạn mạng để hạn chế khả năng di chuyển ngang (lateral movement) của kẻ tấn công nếu một phần của mạng bị xâm nhập, từ đó giảm thiểu thiệt hại do mối đe dọa này gây ra.
- Chặn địa lý các dải IP đáng ngờ: Triển khai các quy tắc tường lửa để chặn các dải IP đến từ các khu vực địa lý không mong muốn hoặc đã biết là nơi chứa máy chủ C2 độc hại.
- Giám sát và phân tích hành vi: Áp dụng các công cụ giám sát hành vi để phát hiện các hoạt động bất thường hoặc đáng ngờ trên mạng và hệ thống, có thể là dấu hiệu của việc lây nhiễm Remcos RAT hoặc các loại mã độc khác.
- Quy trình ứng phó sự cố mạnh mẽ: Xây dựng và thực hành các quy trình ứng phó sự cố (Incident Response – IR) rõ ràng và hiệu quả, đảm bảo khả năng phản ứng nhanh chóng khi phát hiện ra một cuộc tấn công hoặc hệ thống bị xâm nhập.
Việc triển khai những biện pháp này không chỉ giúp giảm thiểu rủi ro từ Hive0156 mà còn củng cố tổng thể an ninh mạng của tổ chức trước nhiều loại mối đe dọa tiên tiến khác.
