Cụm mối đe dọa được theo dõi với định danh UAC-0247 đã và đang tiến hành một chiến dịch tấn công tích cực kể từ đầu năm 2026. Các mục tiêu chính của chiến dịch này là các tổ chức chính phủ địa phương và cơ sở y tế thành phố, bao gồm bệnh viện đa khoa và dịch vụ cấp cứu. Hoạt động của nhóm UAC-0247 không chỉ giới hạn ở việc đánh cắp dữ liệu nhạy cảm từ các trình duyệt Internet và ứng dụng WhatsApp mà còn mở rộng phạm vi xâm nhập thông qua việc di chuyển âm thầm trong các mạng lưới đã bị thỏa hiệp.
Tổng Quan về Chiến Dịch Tấn Công của UAC-0247
Chiến dịch của UAC-0247 đã được các nhà phân tích của CERT-UA ghi nhận và tài liệu hóa chi tiết, đặc biệt trong giai đoạn từ tháng 3 đến tháng 4 năm 2026. Trong thời gian này, một làn sóng các cuộc tấn công mạng cường độ cao đã được ghi nhận, cho thấy sự leo thang trong các hoạt động độc hại của nhóm.
Ngoài các mục tiêu ban đầu, cụm mối đe dọa này còn nhắm vào các đại diện của Lực lượng Quốc phòng và những người điều khiển máy bay không người lái FPV. Sự mở rộng mục tiêu này cho thấy phạm vi ảnh hưởng rộng và khả năng thích ứng cao của nhóm tấn công.
Phương Thức Xâm Nhập Ban Đầu
Giai đoạn khởi đầu của chiến dịch UAC-0247 thường bắt đầu bằng một email lừa đảo (phishing) đơn giản nhưng có tính đánh lừa cao. Kẻ tấn công tiếp cận nạn nhân dưới vỏ bọc thảo luận về viện trợ nhân đạo, yêu cầu người nhận nhấp vào một liên kết.
Để tăng tính thuyết phục cho email, kẻ tấn công sử dụng các công cụ trí tuệ nhân tạo để tạo ra các trang web giả mạo hoặc chuyển hướng nạn nhân đến một trang web hợp pháp của bên thứ ba đang tồn tại lỗ hổng Cross-Site Scripting (XSS). Ngay khi nạn nhân nhấp vào liên kết, một tệp lưu trữ nén sẽ được tải xuống máy tính của họ.
Việc mở tệp lưu trữ này sẽ kích hoạt một tệp shortcut (phím tắt) độc hại, từ đó khởi chạy công cụ xử lý tệp HTA tiêu chuẩn. Công cụ này sau đó sẽ tải xuống và thực thi một tệp HTA từ xa. Trong khi đó, một biểu mẫu mồi nhử (decoy form) hiển thị để đánh lạc hướng nạn nhân, một tiến trình nền sẽ âm thầm triển khai và khởi chạy một tệp thực thi thông qua tác vụ theo lịch trình (scheduled task).
Tình Huống Lây Nhiễm Cụ Thể
Một trường hợp được xác nhận vào ngày 10 tháng 3 năm 2026 cho thấy một tệp lưu trữ có tên “bachu.zip” đã được phát tán qua ứng dụng nhắn tin Signal. Tệp này được ngụy trang thành một phiên bản cập nhật của công cụ phần mềm “BACHU”, thường được sử dụng bởi các nhà điều hành FPV.
Bên trong tệp lưu trữ này là một tệp DLL độc hại. Ngay khi tệp thực thi chính được chạy, tệp DLL này sẽ khởi động mã độc AGINGFLY thông qua kỹ thuật DLL side-loading. Phương pháp này cho phép kẻ tấn công thực thi mã độc bằng cách lợi dụng một chương trình hợp pháp tải một thư viện DLL độc hại thay vì thư viện hợp pháp.
Bộ Công Cụ Mã Độc và Tấn Công của UAC-0247
Phân tích hàng chục sự cố mạng đã tiết lộ một mô hình nhất quán về việc rò rỉ dữ liệu và do thám mạng trong chiến dịch này của UAC-0247.
Mã Độc AGINGFLY RAT: Công Cụ Kiểm Soát Từ Xa Chính
Công cụ truy cập từ xa (RAT) cốt lõi được sử dụng trong chiến dịch này là AGINGFLY, được phát triển bằng ngôn ngữ lập trình C#. Mã độc này cung cấp cho kẻ tấn công một bộ đầy đủ các khả năng điều khiển từ xa, bao gồm:
- Thực thi lệnh (command execution)
- Tải xuống tệp (file downloading)
- Chụp ảnh màn hình (screenshot capture)
- Kích hoạt keylogger
- Thực thi mã trong bộ nhớ (in-memory code execution)
Điểm khác biệt của AGINGFLY so với các công cụ tương tự là các trình xử lý lệnh (command handlers) không được tích hợp sẵn trong mã độc. Thay vào đó, chúng được tải xuống từ máy chủ chỉ huy và kiểm soát (C2) dưới dạng mã nguồn và được biên dịch trực tiếp trên hệ thống bị nhiễm.
Giao tiếp với máy chủ C2 được thực hiện thông qua các kết nối web sockets, và tất cả lưu lượng truy cập đều được mã hóa bằng thuật toán AES-CBC sử dụng một khóa tĩnh.
Công Cụ Đánh Cắp Dữ Liệu và Do Thám
Trong chiến dịch của UAC-0247, kẻ tấn công đã triển khai nhiều công cụ chuyên dụng để thu thập thông tin và dữ liệu:
- CHROMELEVATOR: Được sử dụng để trích xuất dữ liệu xác thực và các thông tin đăng nhập đã lưu trữ từ các trình duyệt Internet.
- ZAPIXDESK: Một công cụ riêng biệt được thiết kế đặc biệt để đánh cắp dữ liệu từ ứng dụng nhắn tin WhatsApp.
Song song với các công cụ đánh cắp dữ liệu, kẻ tấn công còn sử dụng các máy quét mạng con cơ bản và công cụ RUSTSCAN có sẵn công khai để lập bản đồ các mạng nội bộ. Việc này giúp kẻ tấn công hiểu rõ cấu trúc mạng và xác định các mục tiêu tiềm năng.
Công Cụ Thiết Lập Kênh Ngầm và Duy Trì Quyền Truy Cập
Trong một số trường hợp, các công cụ như LIGOLO-NG và CHISEL đã được triển khai để xây dựng các đường hầm mạng ẩn (hidden network tunnels). Những đường hầm này cho phép kẻ tấn công duy trì quyền truy cập và di chuyển trong mạng mà không bị phát hiện.
Một sự cố còn tiết lộ việc sử dụng trình đào tiền ảo XMRIG miner, được đóng gói dưới dạng tệp DLL và tải thông qua một phiên bản đã vá lỗi của chương trình hợp pháp WIREGUARD. Điều này cho thấy kẻ tấn công có thể sử dụng các tài nguyên hệ thống bị chiếm đoạt cho mục đích khai thác tiền ảo.
Để duy trì quyền truy cập dai dẳng, chiến dịch còn sử dụng một script PowerShell có tên SILENTLOOP. Script này tự động chạy các lệnh, cập nhật cấu hình và truy xuất địa chỉ IP mới nhất của máy chủ C2 từ một kênh Telegram. Nếu nguồn Telegram chính gặp sự cố, SILENTLOOP cũng hỗ trợ các cơ chế dự phòng để tìm địa chỉ C2.
Giai đoạn truy cập ban đầu còn sử dụng TCP reverse shell hoặc RAVENSHELL. RAVENSHELL thiết lập kết nối TCP được mã hóa bằng khóa XOR 9 byte và giao tiếp với máy chủ quản lý thông qua CMD.
Chỉ Số Đánh Dấu Sự Thỏa Hiệp (IOCs)
Dựa trên các phân tích về chiến dịch của UAC-0247, các chỉ số đánh dấu sự thỏa hiệp bao gồm:
- Tên cụm mối đe dọa: UAC-0247
- Mã độc chính: AGINGFLY RAT
- Tên mã độc phụ/công cụ: CHROMELEVATOR, ZAPIXDESK, RUSTSCAN, LIGOLO-NG, CHISEL, XMRIG miner, SILENTLOOP, RAVENSHELL
- Tên tệp lưu trữ độc hại: bachu.zip
- Kỹ thuật tấn công: DLL side-loading
Biện Pháp Giảm Thiểu Rủi Ro và Bảo Vệ Hệ Thống
CERT-UA khuyến nghị các tổ chức nên giảm thiểu rủi ro bằng cách hạn chế việc thực thi các tệp LNK, HTA và JS trên các hệ thống endpoint. Việc này giúp ngăn chặn chuỗi lây nhiễm ban đầu mà UAC-0247 thường sử dụng.
Các quản trị viên cũng cần giới hạn việc sử dụng các tiện ích hợp pháp nhưng bị lạm dụng như mshta.exe, powershell.exe và wscript.exe. Chiến dịch UAC-0247 đã tích cực khai thác những tiện ích này để thực thi mã độc và duy trì quyền truy cập.
Những hạn chế này phù hợp với các thực hành giảm thiểu bề mặt tấn công tiêu chuẩn được tích hợp sẵn trong hệ điều hành và không yêu cầu các công cụ của bên thứ ba để triển khai, từ đó nâng cao an ninh mạng tổng thể.
