Tác nhân đe dọa dai dẳng UAC-0099, hoạt động từ năm 2022, đã tiến hành các chiến dịch gián điệp mạng tinh vi nhắm vào các thực thể chính phủ, quân đội và quốc phòng Ukraine. Nhóm này đã liên tục phát triển bộ công cụ qua ba chiến dịch lớn được ghi nhận trong các cảnh báo của CERT-UA vào tháng 6 năm 2023, tháng 12 năm 2024 và tháng 8 năm 2025, cho thấy sự thích nghi cao với các biện pháp phòng thủ. Sự tiến hóa liên tục của mối đe dọa mạng UAC-0099 đòi hỏi các tổ chức phải duy trì cảnh giác cao độ và áp dụng các biện pháp bảo mật chủ động.
Tổng quan về UAC-0099 và các chiến dịch tấn công
UAC-0099 là một nhóm đe dọa có năng lực, tập trung vào hoạt động gián điệp mạng. Các chiến dịch của nhóm này được đặc trưng bởi việc sử dụng kỹ thuật social engineering tinh vi, khai thác lỗ hổng bảo mật và phát triển các công cụ mã độc chuyên biệt để duy trì quyền truy cập và trích xuất dữ liệu.
Nhóm đã thể hiện khả năng thích ứng đáng kể trong việc thay đổi TTP (Tactics, Techniques, and Procedures) để né tránh sự phát hiện và đối phó của các hệ thống an ninh mạng. Mục tiêu chính của UAC-0099 là thu thập thông tin nhạy cảm từ các tổ chức mục tiêu thông qua các hoạt động xâm nhập kéo dài.
Giai đoạn phát triển của bộ công cụ tấn công
Giai đoạn đầu (2023): LONEPAGE và phương thức tiếp cận ban đầu
Ban đầu, UAC-0099 chủ yếu dựa vào trình tải LONEPAGE dựa trên PowerShell. Trình tải này được phân phối thông qua các email lừa đảo spear-phishing, sử dụng các tệp đính kèm độc hại. Các tệp đính kèm thường ngụy trang dưới dạng giấy tờ pháp lý, sử dụng định dạng như tệp .LNK shortcut và tệp .HTA.
Sau khi xâm nhập thành công, LONEPAGE sẽ tải về các payload thứ cấp. Các payload này bao gồm THUMBCHOP, một công cụ được thiết kế để đánh cắp thông tin đăng nhập trình duyệt, và CLOGFLAG, một keylogger chuyên dụng. Để duy trì quyền truy cập trên hệ thống bị xâm nhập, nhóm đã thiết lập các tác vụ theo lịch (scheduled tasks) và khóa chạy trong registry.
Giai đoạn khai thác lỗ hổng (Cuối 2024): Tận dụng CVE-2023-38831
Vào cuối năm 2024, UAC-0099 đã điều chỉnh TTP của mình bằng cách khai thác lỗ hổng CVE-2023-38831 trong WinRAR. Lỗ hổng này cho phép thực thi mã tự động khi giải nén tệp lưu trữ, tạo điều kiện thuận lợi cho việc lây nhiễm.
LONEPAGE cũng được nâng cấp thành trình tải hai giai đoạn, với mã PowerShell được mã hóa 3DES và được giải mã bởi một binary .NET. Để thiết lập liên lạc Command-and-Control (C2) bền vững, nhóm đã tận dụng các tên miền được proxy qua Cloudflare, thực hiện giao tiếp qua HTTP/HTTPS. Tham khảo thêm về lỗ hổng này tại NVD – CVE-2023-38831.
Bộ công cụ mới (2025): MATCHBOIL, MATCHWOK và DRAGSTARE
Năm 2025 đánh dấu sự ra đời của bộ mã độc C# được cải tiến của tác nhân, với MATCHBOIL đóng vai trò là trình tải chính. MATCHWOK được sử dụng để thực thi các lệnh backdoor, trong khi DRAGSTARE đảm nhiệm việc đánh cắp dữ liệu toàn diện. Các công cụ này được triển khai thông qua các tệp VBScript bị làm rối (obfuscated) trong các tệp HTA.
Báo cáo chi tiết cho biết nhóm tạo ra nhiều tác vụ theo lịch để giải mã và thực thi mã độc một cách dai dẳng. Điều này phản ánh sự chuyển đổi sang các kỹ thuật thực thi trong bộ nhớ và mô-đun, đồng thời duy trì các chiến thuật cốt lõi như mã hóa Base64/hex và ngụy trang thành các tiến trình hợp pháp. Phân tích sâu hơn về TTP của nhóm có thể được tìm thấy tại Analyzing UAC-0099 Tactics, Techniques, and Procedures.
Kỹ thuật tấn công theo khuôn khổ MITRE ATT&CK
Các chiến thuật của UAC-0099 có thể được ánh xạ rõ ràng sang khuôn khổ MITRE ATT&CK, cho thấy một chuỗi tấn công mạng toàn diện:
- Initial Access (Truy cập ban đầu): Spearphishing (T1566.001/.002) bằng các email lừa đảo với tệp đính kèm độc hại.
- Execution (Thực thi): Sử dụng LOLBins (Living Off the Land Binaries) như
mshta.exevà PowerShell (T1059.001, T1218.005) để thực thi mã độc. - Persistence (Duy trì quyền truy cập): Thiết lập các tác vụ theo lịch (T1053.005) giả mạo các bản cập nhật hệ thống, với các tên như “PdfOpenTask” hoặc “UpdateAnimalSoftware”. Nhóm cũng sử dụng khóa chạy trong registry (T1547.001).
- Defense Evasion (Né tránh phòng thủ): Áp dụng mã hóa nhiều lớp, kỹ thuật tiêm tiến trình (process injection) và các kiểm tra chống phân tích (anti-analysis checks) đối với các công cụ như Wireshark.
- Credential Access (Truy cập thông tin đăng nhập): Nhắm mục tiêu vào kho lưu trữ thông tin đăng nhập của trình duyệt thông qua giải mã DPAPI (T1555.003).
- Discovery (Khám phá): Liệt kê chi tiết hệ thống và mạng (T1082, T1016) để chuẩn bị cho việc di chuyển ngang (lateral movement).
- Command and Control (C2): Dựa vào các giao thức web được mã hóa (T1071.001, T1573) ẩn trong các thẻ
<script>. - Exfiltration (Trích xuất dữ liệu): Dữ liệu được trích xuất dưới dạng tệp đã nén qua HTTPS (T1041), thường được proxy qua Cloudflare (T1090.003).
Chi tiết về khả năng của mã độc
Các khả năng của mã độc trong bộ công cụ của UAC-0099 đã được hợp nhất và phát triển mạnh mẽ hơn:
- MATCHBOIL: Có khả năng tải payload bằng cách sử dụng các tiêu đề HTTP tùy chỉnh, ví dụ như tiêu đề “SN” được lấy từ dấu vân tay phần cứng (hardware fingerprints).
- MATCHWOK: Thực thi các lệnh PowerShell được mã hóa AES từ các trình thông dịch đã được đổi tên, nhằm né tránh phát hiện.
- DRAGSTARE: Chuyên đánh cắp các tệp có phần mở rộng nhạy cảm, chụp ảnh màn hình và dữ liệu trinh sát. Dữ liệu bị đánh cắp được dàn dựng trong các thư mục như
%LOCALAPPDATA%\NordDragonScantrước khi được trích xuất.
Dấu hiệu nhận diện (IOCs) và mô hình hoạt động
Để phát hiện các hoạt động của mối đe dọa mạng UAC-0099, cần chú ý đến các mô hình sau:
- Tên tệp và thư mục: Tên tệp vô hại trong các thư mục người dùng như
%APPDATA%và%PUBLIC%. Ví dụ: các tệp mã độc hoặc tệp tạm thời có tên không đáng ngờ. - Tên tác vụ theo lịch: Các quy ước đặt tên tác vụ kết hợp các thuật ngữ như “Core” và “Update” để ngụy trang và né tránh phát hiện. Ví dụ: “PdfOpenTask”, “UpdateAnimalSoftware”.
- Thư mục dàn dựng dữ liệu: Sự hiện diện của thư mục
%LOCALAPPDATA%\NordDragonScanđược sử dụng bởi DRAGSTARE để lưu trữ dữ liệu trước khi trích xuất.
Biện pháp phòng ngừa và đối phó
Để chống lại các cuộc tấn công mạng từ UAC-0099 và các tác nhân tương tự, các tổ chức cần áp dụng các biện pháp bảo mật mạnh mẽ và đa lớp:
- Hạn chế tiện ích scripting: Triển khai AppLocker để hạn chế việc sử dụng các tiện ích scripting không cần thiết, ngăn chặn việc thực thi mã độc dựa trên PowerShell hoặc VBScript.
- Ghi nhật ký PowerShell: Kích hoạt ghi nhật ký PowerShell chi tiết, đặc biệt là cho các lệnh đã mã hóa, để phát hiện các hoạt động đáng ngờ.
- Giám sát tạo tác vụ theo lịch: Theo dõi việc tạo các tác vụ theo lịch mới trên hệ thống (Event ID 4698) để phát hiện các cơ chế duy trì quyền truy cập.
- Săn lùng lưu lượng HTTP bất thường: Giám sát lưu lượng HTTP để tìm kiếm các tiêu đề bất thường hoặc tên miền C2 được proxy qua Cloudflare, đây là dấu hiệu của việc liên lạc Command and Control.
- Phân đoạn mạng: Áp dụng phân đoạn mạng để hạn chế sự lây lan của các cuộc xâm nhập mạng trong trường hợp bị tấn công.
- Xác thực đa yếu tố (MFA): Triển khai MFA cho tất cả các tài khoản quan trọng để tăng cường an ninh mạng và bảo vệ khỏi việc truy cập trái phép.
- Quét artifact thường xuyên: Thực hiện quét thường xuyên các artifact hệ thống bằng cách sử dụng quy tắc YARA để tìm kiếm các chuỗi liên quan đến việc kiểm tra anti-VM, giúp gián đoạn các cơ chế duy trì và trích xuất dữ liệu của mã độc.
- Cập nhật và vá lỗi: Đảm bảo rằng tất cả các phần mềm, đặc biệt là các ứng dụng như WinRAR, được cập nhật thường xuyên với các bản vá bảo mật mới nhất để phòng tránh khai thác lỗ hổng CVE đã biết.
