APT Gamaredon 2024: Đổi Mới Tấn Công Gián Điệp Chính Phủ Ukraina

03/07/2025
7 mins read

Trong năm 2024, nhóm tác chiến mạng nâng cao (APT) Gamaredon, được Cục An ninh Ukraina (SSU) gán cho Trung tâm An ninh Thông tin số 18 của FSB, đã chuyển hướng mục tiêu độc quyền sang các tổ chức chính phủ Ukraina. Sự thay đổi này đánh dấu sự từ bỏ các nỗ lực trước đây nhằm vào các quốc gia NATO, phản ánh sự tập trung cao độ vào mục tiêu gián điệp mạng lâu dài của Gamaredon trong bối cảnh xung đột Nga-Ukraina đang diễn ra.

Nội dung
Định Hướng Mục Tiêu và Cường Độ Chiến Dịch 2024
Sự Chuyển Hướng Mục Tiêu
Cường Độ Chiến Dịch Spearphishing
Cơ Chế Phân Phối và Kỹ Thuật Né Tránh
Kỹ Thuật HTML Smuggling và Tệp Thực Thi
Sử Dụng Hyperlink và PowerShell qua Cloudflare
Bộ Công Cụ Mã Độc Mới và Nâng Cấp
Các Công Cụ Mới: PteroTickle, PteroGraphin, PteroBox
Nâng Cấp Công Cụ Hiện Có: PteroPSDoor và PteroLNK
Payloads Khác Biệt: Tấn Công Tuyên Truyền
Thay Đổi Cơ Sở Hạ Tầng C&C và Chiến Thuật Ẩn Mình
Ẩn Dấu Cơ Sở Hạ Tầng qua Cloudflare
Lợi Dụng Dịch Vụ Bên Thứ Ba
Kỹ Thuật Né Tránh Phát Hiện Khác
Các Chỉ Dấu Kỹ Thuật (TTPs) và Tác Động

Định Hướng Mục Tiêu và Cường Độ Chiến Dịch 2024

Sự Chuyển Hướng Mục Tiêu

Theo báo cáo nghiên cứu của ESET Research Report, đơn vị đã theo dõi chặt chẽ các hoạt động của Gamaredon, sự tái tập trung này phù hợp với các mục tiêu gián điệp mạng dài hạn của nhóm. Thay vì mở rộng phạm vi tấn công, Gamaredon đã quyết định dồn toàn bộ nguồn lực và nỗ lực vào việc thâm nhập các hệ thống thuộc chính phủ Ukraina.

Cường Độ Chiến Dịch Spearphishing

Các chiến dịch của nhóm đã tăng cường đáng kể về cường độ, với các chiến dịch spearphishing gia tăng về quy mô và tần suất, đặc biệt là trong nửa cuối năm 2024. Các chiến dịch này thường kéo dài từ một đến năm ngày, sử dụng các tệp lưu trữ độc hại (như RAR, ZIP, 7z) và các tệp XHTML sử dụng kỹ thuật HTML smuggling để phân phối các tệp HTA hoặc LNK. Các tệp này sau đó sẽ thực thi các trình tải xuống (downloader) dựa trên VBScript.

Đáng chú ý, vào tháng 10 năm 2024, Gamaredon đã thử nghiệm với các siêu liên kết độc hại và các tệp LNK cải tiến. Các tệp LNK này thực thi các lệnh PowerShell thông qua các tên miền được lưu trữ trên Cloudflare, một kỹ thuật cho phép chúng vượt qua các cơ chế phát hiện truyền thống.

Cơ Chế Phân Phối và Kỹ Thuật Né Tránh

Kỹ Thuật HTML Smuggling và Tệp Thực Thi

Kỹ thuật HTML smuggling được Gamaredon sử dụng để mã hóa các tệp độc hại bên trong một trang HTML. Khi người dùng mở trang HTML, mã JavaScript hoặc các script khác sẽ giải mã và xây dựng lại tệp độc hại trực tiếp trên máy client, cho phép nó vượt qua các cơ chế kiểm tra file trên đường truyền mạng. Đây là một phương pháp hiệu quả để phân phối mã độc mà không bị các giải pháp bảo mật mạng thông thường chặn lại.

Các tệp HTA (HTML Application) và LNK (Windows Shortcut) được sử dụng như các điểm khởi đầu (initial execution points). Tệp HTA cho phép thực thi mã kịch bản (script) với đặc quyền ứng dụng, trong khi tệp LNK được cấu hình để chạy các lệnh hoặc kịch bản độc hại khi được kích hoạt. Sau khi được thực thi, chúng gọi các trình tải xuống VBScript, có nhiệm vụ kết nối với C&C để tải về các payload tiếp theo hoặc thực hiện các hành vi độc hại khác.

Sử Dụng Hyperlink và PowerShell qua Cloudflare

Sự đổi mới trong tháng 10/2024 cho thấy Gamaredon đã áp dụng các siêu liên kết độc hại trực tiếp, thay vì chỉ dựa vào tệp đính kèm. Các siêu liên kết này dẫn đến các tài nguyên được kiểm soát bởi kẻ tấn công, hoặc kích hoạt tải xuống tệp LNK. Việc sử dụng các tên miền được lưu trữ trên Cloudflare mang lại lợi thế về khả năng ẩn danh và né tránh phát hiện do lưu lượng truy cập qua Cloudflare thường được coi là hợp pháp và rất khó để phân biệt giữa các truy cập lành tính và độc hại.

Lệnh PowerShell được thực thi thông qua các tệp LNK cho phép Gamaredon tận dụng một công cụ mạnh mẽ và hợp pháp của hệ điều hành Windows để thực hiện các tác vụ độc hại, như tải xuống, thực thi payload, hoặc thu thập thông tin, mà không cần đưa thêm các công cụ thực thi độc hại trực tiếp lên hệ thống mục tiêu. Điều này làm tăng khả năng mã độc hoạt động mà không bị phát hiện bởi các giải pháp an ninh mạng truyền thống.

Bộ Công Cụ Mã Độc Mới và Nâng Cấp

Kho vũ khí kỹ thuật của Gamaredon trong năm 2024 phản ánh sự kết hợp giữa đổi mới và tinh chỉnh. Nhóm đã giới thiệu sáu công cụ mã độc mới, chủ yếu được xây dựng trên PowerShellVBScript, nhấn mạnh vào khả năng ẩn mình (stealth), duy trì quyền truy cập (persistence), và di chuyển ngang (lateral movement).

Các Công Cụ Mới: PteroTickle, PteroGraphin, PteroBox

  • PteroTickle: Được phát hiện vào tháng 3, công cụ này nhắm mục tiêu vào các ứng dụng Python để lây lan ngang trong mạng lưới của nạn nhân. Điều này cho thấy khả năng của Gamaredon trong việc tùy chỉnh các cuộc tấn công dựa trên môi trường cụ thể của nạn nhân và tận dụng các framework phổ biến.
  • PteroGraphin: Được xác định vào tháng 8, PteroGraphin sử dụng các kênh mã hóa thông qua API Telegraph để phân phối payload. Việc sử dụng API của các dịch vụ hợp pháp như Telegraph giúp mã độc hòa nhập vào lưu lượng truy cập mạng thông thường, gây khó khăn cho việc phát hiện dựa trên chữ ký (signature-based detection).
  • PteroBox: Một công cụ mới được phát hiện vào tháng 11, PteroBox có chức năng tương tự các công cụ trước đó của nhóm nhưng tập trung vào việc lấy cắp dữ liệu và chuyển về Dropbox. PteroBox được thiết kế với cơ chế theo dõi tỉ mỉ để tránh tải lên các dữ liệu trùng lặp, tối ưu hóa quá trình exfiltration và giảm thiểu dấu vết.

Nâng Cấp Công Cụ Hiện Có: PteroPSDoor và PteroLNK

Đồng thời, các công cụ hiện có như PteroPSDoorPteroLNK đã nhận được những nâng cấp đáng kể. Chúng tích hợp các kỹ thuật che giấu mã (advanced obfuscation), lưu trữ dữ liệu dựa trên Registry, và đăng ký sự kiện WMI (Windows Management Instrumentation) để tăng cường khả năng ẩn mình trong quá trình lấy cắp file và phát hiện thiết bị USB.

  • Advanced obfuscation: Giúp mã độc khó bị phân tích ngược (reverse engineering) và bị phát hiện bởi các phần mềm diệt virus thông thường.
  • Registry-based storage: Mã độc hoặc các thành phần cấu hình được lưu trữ trực tiếp trong Windows Registry, tránh để lại file trên hệ thống file, làm cho việc phát hiện trở nên khó khăn hơn và giảm thiểu dấu vết trên đĩa.
  • WMI event subscriptions: Cho phép mã độc phản ứng với các sự kiện hệ thống (ví dụ: cắm USB, thay đổi cấu hình) một cách lén lút, kích hoạt các hành vi độc hại như thu thập dữ liệu từ thiết bị USB ngay khi chúng được kết nối mà không cần một tiến trình riêng biệt hoạt động liên tục.

Payloads Khác Biệt: Tấn Công Tuyên Truyền

Một payload kỳ lạ được phát hiện vào tháng 7 không có chức năng gián điệp mà thay vào đó mở một kênh Telegram thân Nga. Điều này cho thấy Gamaredon đôi khi cũng thực hiện các hoạt động tuyên truyền, xen kẽ với các mục tiêu gián điệp truyền thống, có thể nhằm mục đích gây ảnh hưởng hoặc gây nhiễu.

Thay Đổi Cơ Sở Hạ Tầng C&C và Chiến Thuật Ẩn Mình

Ẩn Dấu Cơ Sở Hạ Tầng qua Cloudflare

Về mặt cơ sở hạ tầng, nhóm đã gần như che giấu hoàn toàn thiết lập Command-and-Control (C&C) của mình đằng sau các Cloudflare tunnels. Điều này giúp giảm sự phụ thuộc vào các tên miền truyền thống từ hơn 500 vào năm 2023 xuống còn khoảng 200 vào năm 2024. Việc sử dụng Cloudflare tunnels cung cấp một lớp ẩn danh mạnh mẽ, định tuyến lưu lượng truy cập C&C qua mạng lưới của Cloudflare, làm cho việc theo dõi nguồn gốc thực sự trở nên cực kỳ khó khăn đối với các nhà phân tích an ninh. Lưu lượng này được coi là hợp pháp bởi hầu hết các hệ thống an ninh mạng.

Lợi Dụng Dịch Vụ Bên Thứ Ba

Gamaredon cũng khai thác các dịch vụ bên thứ ba hợp pháp như Telegram, Codeberg, và các trình phân giải DNS-over-HTTPS (DoH) để né tránh các biện pháp phòng thủ mạng. Việc sử dụng các nền tảng này cho phép họ ẩn mình trong lưu lượng truy cập hợp pháp và tận dụng cơ sở hạ tầng có sẵn, giảm chi phí vận hành và rủi ro bị phát hiện.

  • Telegram: Được sử dụng làm kênh liên lạc C&C, để truyền tải các lệnh, nhận dữ liệu exfiltrate, hoặc phát tán tuyên truyền.
  • Codeberg: Có thể được sử dụng để lưu trữ các thành phần mã độc, kịch bản, hoặc các tài nguyên cần thiết cho các chiến dịch tấn công.
  • DNS-over-HTTPS (DoH) resolvers: Giúp mã hóa và ẩn giấu các truy vấn DNS, làm cho việc giám sát lưu lượng DNS để phát hiện các kết nối C&C hoặc các tên miền độc hại trở nên khó khăn hơn đối với các hệ thống phòng thủ.

Kỹ Thuật Né Tránh Phát Hiện Khác

Các kỹ thuật như fast-flux DNS, mặc dù đã giảm quy mô sử dụng, và việc thực thi các script nhúng mới trong các thư mục tạm thời, tiếp tục làm phức tạp quá trình phát hiện tự động. Điều này chứng tỏ khả năng thích ứng liên tục của Gamaredon và nỗ lực không ngừng trong việc phát triển các chiến thuật né tránh mới nhằm duy trì tính bền bỉ của các chiến dịch tấn công.

Các Chỉ Dấu Kỹ Thuật (TTPs) và Tác Động

Dựa trên các hoạt động trong năm 2024, các chỉ dấu kỹ thuật và chiến thuật, kỹ thuật, thủ tục (TTPs) liên quan đến Gamaredon bao gồm:

  • Nhóm APT: Gamaredon (còn gọi là UAC-0029, Primitive Bear, Actinium, Shuckworm).
  • Mục tiêu chính: Các tổ chức chính phủ Ukraina.
  • Chiến dịch chính: Spearphishing quy mô lớn và tần suất cao, thường kéo dài 1-5 ngày.
  • Kỹ thuật phân phối ban đầu:
    • Sử dụng các tệp lưu trữ độc hại (RAR, ZIP, 7z) chứa các tệp HTA hoặc LNK.
    • Kỹ thuật HTML Smuggling với tệp XHTML để phân phối các tệp thực thi.
    • Siêu liên kết độc hại dẫn đến tệp LNK thực thi lệnh PowerShell thông qua các tên miền Cloudflare.
  • Mã độc và Công cụ mới/nâng cấp:
    • PteroTickle: Công cụ nhắm mục tiêu ứng dụng Python cho di chuyển ngang.
    • PteroGraphin: Sử dụng API Telegraph qua kênh mã hóa để phân phối payload.
    • PteroBox: Công cụ lấy cắp dữ liệu, tập trung vào exfiltration tới Dropbox với cơ chế tránh tải lên trùng lặp.
    • Các phiên bản nâng cấp của PteroPSDoorPteroLNK: Tích hợp advanced obfuscation, registry-based storage, và đăng ký sự kiện WMI để ẩn mình và phát hiện USB.
    • Các trình tải xuống dựa trên VBScript.
    • Sử dụng lệnh PowerShell để thực thi các tác vụ độc hại.
  • Kỹ thuật duy trì quyền truy cập và di chuyển ngang:
    • Duy trì quyền truy cập dựa trên Registry (Registry-based persistence).
    • Sử dụng WMI event subscriptions để kích hoạt mã độc theo sự kiện.
    • Di chuyển ngang nhắm mục tiêu vào các ứng dụng Python.
  • Cơ sở hạ tầng C&C và Né tránh:
    • Gần như toàn bộ cơ sở hạ tầng C&C được ẩn giấu sau các Cloudflare tunnels, giảm sự phụ thuộc vào các tên miền truyền thống.
    • Tận dụng các dịch vụ bên thứ ba hợp pháp như Telegram, Codeberg, và các trình phân giải DNS-over-HTTPS (DoH) để ẩn mình trong lưu lượng truy cập hợp pháp.
    • Vẫn sử dụng kỹ thuật fast-flux DNS (mặc dù đã giảm quy mô).
    • Thực thi script nhúng trong các thư mục tạm thời để tránh phát hiện.
  • Hoạt động khác: Đôi khi phát tán tuyên truyền (ví dụ: mở kênh Telegram thân Nga) xen kẽ với gián điệp mạng.

Sự tiến hóa không ngừng này, cùng với việc nhắm mục tiêu tích cực vào Ukraina, định vị Gamaredon là một mối đe dọa gián điệp mạng đáng gờm. Chừng nào căng thẳng địa chính trị còn tiếp diễn, ESET dự đoán nhóm sẽ tiếp tục tinh chỉnh các chiến thuật, công cụ và chiến lược né tránh để duy trì các hoạt động chống lại các thực thể Ukraina.

Việc phân tích kỹ thuật chi tiết về những phát triển này, như được cung cấp trong báo cáo trắng mới nhất của ESET, nhấn mạnh nhu cầu cấp thiết về các biện pháp an ninh mạng mạnh mẽ để chống lại các đối thủ phức tạp, được nhà nước hỗ trợ trong bối cảnh mối đe dọa kỹ thuật số ngày càng phức tạp.