Phishing PDF và chuỗi tải xuống nhiều lớp đang được dùng trong một chiến dịch xâm nhập nhằm vào các tổ chức chính phủ tại Ukraine. Hoạt động này kết hợp tài liệu mồi nhử, JavaScript loader và lọc mục tiêu ở phía máy chủ để giảm khả năng bị phát hiện trong tin tức bảo mật.
Chuỗi lây nhiễm nhiều bước trong chiến dịch phishing PDF
Nhóm tấn công này hoạt động từ ít nhất 2016 và đã tái xuất với một chiến dịch mới được ghi nhận từ tháng 3/2026. Điểm đáng chú ý là chuỗi lây nhiễm được thiết kế theo nhiều lớp, gồm email spearphishing, tài liệu PDF giả mạo, script trung gian và kiểm tra mục tiêu ở phía máy chủ.
Tài liệu mồi nhử được ngụy trang như thông báo hợp lệ của cơ quan chính phủ. Một tài liệu giả mạo còn mạo danh Ukrtelecom và hiển thị nội dung liên quan đến bảo vệ dữ liệu khách hàng.
Tham khảo báo cáo gốc từ ESET tại: WeLiveSecurity – FrostyNeighbor fresh mischief.
Cách thức phishing PDF kích hoạt tải xuống
Khi người nhận nhấp vào nút tải xuống trong PDF, họ bị chuyển hướng đến máy chủ do kẻ tấn công kiểm soát. Nội dung trả về không giống nhau cho mọi nạn nhân mà phụ thuộc vào nguồn kết nối và bước xác thực phía máy chủ.
Đây là cơ chế server-side victim filtering, giúp chiến dịch chỉ tiếp tục với các máy phù hợp. Điều này làm tăng độ khó cho quá trình mô phỏng, phân tích và phát hiện tấn công.
Trong các chiến dịch trước, hoạt động này từng nhắm vào Ukraine, Ba Lan và Lithuania, với nạn nhân thuộc nhiều lĩnh vực như cơ quan chính phủ, quân sự, công nghiệp và y tế.
PicassoLoader và giai đoạn tải xuống thứ cấp
Payload đầu tiên thường là một file RAR có tên 53_7.03.2026_R.rar. Bên trong là một file JavaScript, tạo thêm một PDF mồi nhử để giữ người dùng trong trạng thái thao tác bình thường, trong khi tải và thực thi giai đoạn kế tiếp ở nền.
Script giai đoạn hai được gọi là PicassoLoader, một downloader từng được sử dụng trong nhiều chiến dịch với các biến thể ngôn ngữ khác nhau. Mã này đóng vai trò trung gian trước khi triển khai thành phần thực thi bền vững hơn.
Tải scheduled task template từ máy chủ điều khiển
Để duy trì hiện diện trên hệ thống, PicassoLoader tải về một mẫu scheduled task từ máy chủ command-and-control, nhưng tệp này được ngụy trang như một file ảnh JPEG. Thực tế, máy chủ trả về một file XML cấu hình.
Script sẽ điền các tham số thực thi rồi đăng ký scheduled task trên Windows. Cơ chế này giúp mã độc chạy tự động ở mỗi lần khởi động hệ thống, hỗ trợ persistence trên máy đã bị xâm nhập.
Trong ngữ cảnh phát hiện xâm nhập, việc theo dõi các thay đổi liên quan đến task scheduler là một điểm quan trọng của phát hiện tấn công và IDS.
Lọc mục tiêu phía máy chủ và fingerprint hệ thống
Điểm đáng chú ý của chiến dịch phishing PDF này là bước xác thực thủ công trước khi payload nghiêm trọng được chuyển xuống. Mỗi 10 phút, PicassoLoader gửi thông tin fingerprint của máy nạn nhân về máy chủ điều khiển.
Dữ liệu gửi đi bao gồm:
- Username
- Computer name
- Phiên bản hệ điều hành
- Danh sách tiến trình đang chạy
Người vận hành sau đó xem xét thông tin này để quyết định có tiếp tục hay không. Cách làm này làm cho việc tái tạo hành vi trong môi trường kiểm thử khó hơn và khiến chuỗi xâm nhập ít ồn ào hơn.
Giai đoạn thứ ba: rundll32.exe, registry và beacon
Nếu nạn nhân được chọn, máy chủ sẽ trả về một JavaScript dropper giai đoạn ba. Script này sao chép file hợp lệ rundll32.exe sang một tên khác, có thể nhằm giảm khả năng bị phát hiện bởi các công cụ bảo mật dựa trên tên tiến trình.
Sau đó, một Cobalt Strike beacon được ghi xuống đĩa. Một mục registry được tạo để beacon tự khởi chạy sau mỗi lần boot, cung cấp quyền điều khiển từ xa liên tục cho kẻ tấn công.
Trong bối cảnh rủi ro bảo mật, đây là chuỗi kết hợp giữa ngụy trang file hợp lệ, persistence qua registry và tải mã điều khiển từ xa.
IOC và dấu hiệu cần theo dõi
Phần tài liệu gốc có nhắc đến IOC, nhưng không công bố đầy đủ IP hoặc domain cụ thể trong đoạn cung cấp. Do đó, chỉ có thể trích xuất các dấu hiệu hành vi và artefact sau:
- Tệp mồi nhử PDF có nút tải xuống dẫn ra ngoài.
- RAR archive mang tên 53_7.03.2026_R.rar.
- JavaScript file được dùng làm loader trung gian.
- PicassoLoader được tải xuống từ máy chủ điều khiển.
- XML scheduled task template ngụy trang thành JPEG.
- rundll32.exe bị sao chép với tên khác.
- Cobalt Strike beacon được ghi xuống đĩa và duy trì qua registry.
Ghi chú trong báo cáo nêu rõ IP và domain được defang để tránh phân giải nhầm. Việc re-fang chỉ nên thực hiện trong nền tảng threat intelligence như MISP, VirusTotal hoặc SIEM nội bộ.
Ảnh hưởng hệ thống và phạm vi rủi ro
Chiến dịch này gây ra nguy cơ hệ thống bị xâm nhập qua tệp PDF độc hại và chuỗi tải xuống nhiều giai đoạn. Khi beacon đã được triển khai, hệ thống có thể bị duy trì truy cập trái phép lâu dài thông qua scheduled task và registry.
Với cách lọc nạn nhân ở phía máy chủ, hoạt động thực tế có xu hướng chỉ chuyển sang payload cuối cùng khi máy đích phù hợp. Điều này làm tăng khả năng né tránh sandbox, đồng thời làm giảm tín hiệu cho các công cụ giám sát thụ động.
Chiến dịch cũng cho thấy mức độ hoàn thiện của lỗ hổng CVE không phải là yếu tố duy nhất trong rủi ro an toàn thông tin; các chuỗi lây nhiễm dựa vào social engineering và loader nhiều lớp vẫn có thể vượt qua các cơ chế bảo vệ tiêu chuẩn nếu không có giám sát hành vi.
Khuyến nghị giám sát và phát hiện
Để giảm nguy cơ từ phishing PDF và loader nhiều tầng, cần theo dõi biến động hạ tầng, thay đổi công cụ và các mẫu hành vi liên quan đến scheduled task, registry và tiến trình bất thường.
Trong môi trường Windows, các điểm cần lưu ý gồm việc tạo task mới, sao chép file hệ thống hợp lệ sang tên khác và những kết nối định kỳ tới máy chủ ngoài để gửi fingerprint.
Một số chỉ báo hành vi có thể được dùng trong phân tích threat intelligence gồm:
- Tệp PDF có link tải xuống ẩn.
- Chuỗi thực thi qua JavaScript, RAR và XML cấu hình.
- Scheduled task được tạo ngay sau khi mở tài liệu.
- Tiến trình gửi thông tin hệ thống theo chu kỳ 10 phút.
- Bản sao bất thường của rundll32.exe.
Việc rà soát email đính kèm, kiểm tra hành vi mở PDF và giám sát persistence là các biện pháp trực tiếp để hỗ trợ bảo mật thông tin trước dạng mối đe dọa mạng này.
