Một nhóm tin tặc đã triển khai một loại worm VBScript mới, tận dụng các tính năng gốc của Windows và các dịch vụ đám mây phổ biến để làm kênh chỉ huy và kiểm soát (C2) trong các chiến dịch nhắm vào các mục tiêu tại Ukraine. Hoạt động này cho thấy một bộ công cụ mô-đun được xây dựng để che giấu, có khả năng phục hồi và duy trì truy cập lâu dài, là một mối đe dọa tiềm ẩn trong lĩnh vực an ninh mạng.
Chiến dịch “Gamma” Ecosystem
Trong chiến dịch này, nhóm tin tặc đã tổ chức lại kho vũ khí của mình thành một hệ sinh thái “Gamma”, bao gồm các thành phần chuyên dụng cho:
- GammaPhish: Lừa đảo (phishing).
- GammaLoad: Tầng trung gian (staging).
- GammaWorm: Lan truyền dạng worm.
- GammaSteel: Đánh cắp dữ liệu.
Khai thác ban đầu và chuỗi tấn công
Cuộc xâm nhập bắt đầu bằng các tệp lừa đảo xHTML được vũ khí hóa. Chúng phát tán một kho lưu trữ RAR độc hại, khai thác lỗ hổng CVE‑2025‑8088 trong WinRAR. Lỗ hổng này cho phép thực thi mã từ các thư mục Khởi động của Windows (Windows Startup folders) mà không thu hút sự chú ý của người dùng.
Sau khi kích hoạt, chuỗi VBScript tránh sử dụng các tệp thực thi truyền thống. Thay vào đó, nó xếp chồng nhiều giai đoạn script, mỗi giai đoạn có thể độc lập tải xuống và thực thi các payload mới từ cơ sở hạ tầng từ xa.
Kiến trúc này biến toàn bộ chuỗi lây nhiễm thành một ngăn xếp các backdoor. Mỗi giai đoạn có khả năng lập hồ sơ máy chủ nạn nhân, cập nhật cấu hình và triển khai các malware mới theo yêu cầu. Ngay cả khi các nhà phòng thủ loại bỏ một phần của chuỗi, các thành phần còn sót lại vẫn giữ đủ khả năng để khôi phục truy cập, khiến việc làm sạch một phần trở nên phần lớn không hiệu quả.
GammaWorm: Công cụ cốt lõi ẩn mình
Cốt lõi của bộ công cụ mới là GammaWorm, một script VBScript lớn ẩn mình gần như hoàn toàn bên trong NTFS Alternate Data Streams (ADS). ADS là một tính năng hệ thống tệp ít được biết đến của Windows.
Che giấu trong NTFS Alternate Data Streams (ADS)
Thay vì phát tán các tệp có thể nhìn thấy, GammaWorm lưu trữ các mô-đun của nó trong ADS được đính kèm với các đường dẫn hồ sơ người dùng hiện có. Điều này giúp danh sách thư mục và kích thước tệp trông bình thường.
Để duy trì tính bền vững, worm tạo các mục registry RunOnce và các tác vụ theo lịch trình (scheduled tasks). Các tác vụ này thực thi mã trực tiếp từ các luồng ẩn (hidden streams). Đồng thời, nó sửa đổi cài đặt Explorer để ẩn các phần mở rộng tệp và các tệp hệ thống được bảo vệ, giảm thiểu cơ hội bị phát hiện.
Phương thức lan truyền và lừa người dùng
Sau khi cài đặt, GammaWorm lan truyền qua các ổ USB và ổ đĩa mạng. Nó tự sao chép đến từng mục tiêu và ẩn các thư mục thực, thay thế chúng bằng các phím tắt LNK độc hại. Các phím tắt này vừa mở thư mục mong đợi, vừa âm thầm thực thi worm thông qua mshta.exe và wscript.exe.
Nó cũng tạo ra các phím tắt giả mạo với các tên tệp khiêu khích bằng tiếng Ukraine để dụ người dùng nhấp vào, khuếch đại sự lây lan qua các phương tiện được chia sẻ.
Backdoor ẩn mình và C2
Song song đó, GammaWorm chạy một vòng lặp liên tục hoạt động như một backdoor tàng hình. Nó thường xuyên liên hệ với C2 để trích xuất dấu vân tay hệ thống và lấy các payload VBScript mới để thực thi trong bộ nhớ. Dữ liệu máy chủ được mã hóa thành các tiêu đề HTTP ngẫu nhiên để giả lập lưu lượng web bình thường.
Nhóm tin tặc tăng cường các kỹ thuật fileless này bằng cách lạm dụng các nền tảng đám mây và nhắn tin hợp pháp để quản lý C2.
Dead Drop Resolvers và các dịch vụ đám mây
GammaWorm phân giải các máy chủ trực tiếp thông qua Dead Drop Resolvers được lưu trữ trên các dịch vụ như Telegraph/Teletype qua graph.org, các tên miền phụ Cloudflare Workers và bộ nhớ tương thích S3. Nó lưu trữ mỗi URL tìm được trong các khóa registry chuyên dụng và duyệt qua chúng sau đó để lấy các điểm cuối C2 hiện tại.
Nhóm cũng tận dụng các kênh Telegram công khai làm dead drops, kéo HTML bằng curl.exe và phân tích cú pháp các địa chỉ IP nhúng hoạt động như các node C2 đang hoạt động.
Thiết kế kết hợp này cho phép xoay vòng tên miền nhanh chóng, che giấu các máy chủ staging phía sau các tunnel của Cloudflare và chuyển đổi liền mạch sang địa chỉ IP trực tiếp nếu các dịch vụ đám mây bị gián đoạn.
Mục tiêu và Tác động
Chiến dịch này vẫn tập trung vào các mạng chính phủ, quân sự và cơ sở hạ tầng quan trọng của Ukraine. Việc kết hợp chuỗi VBScript fileless, che giấu dựa trên ADS, lây lan qua USB và C2 được hỗ trợ bởi đám mây đã giúp nhóm tin tặc tăng cường đáng kể khả năng che giấu và độ bền của các hoạt động gián điệp của họ so với các framework trước đây.
Những kỹ thuật này đặt ra những thách thức đáng kể cho các hoạt động phát hiện xâm nhập và phòng thủ mạng truyền thống.
Tham khảo thêm chi tiết về chiến dịch này tại báo cáo của SEKOIA: SEKOIA Report.
