Nghiêm trọng: Tấn công mạng UAC-0255 phát tán mã độc AGEWHEEZE

Một nhóm đối tượng được theo dõi dưới định danh UAC-0255 gần đây đã triển khai một chiến dịch tấn công mạng tinh vi, thiết lập một phiên bản giả mạo đáng tin cậy của trang web cơ quan an ninh mạng chính thức của Ukraine. Mục tiêu của chiến dịch này là lừa đảo các nạn nhân tải xuống một công cụ truy cập từ xa nguy hiểm.

Chiến dịch này đã sử dụng kết hợp các email lừa đảo (phishing) và một trang web chính phủ giả mạo để phát tán mã độc đến máy tính của các nhân viên chính phủ, nhân viên y tế và các chuyên gia trong nhiều ngành nghề khác nhau tại Ukraine.

Chi tiết chiến dịch lừa đảo và phát tán mã độc

Vào ngày 26 và 27 tháng 3 năm 2026, nhiều tổ chức khác nhau bắt đầu nhận được các email giả mạo, dường như được gửi trực tiếp từ CERT-UA – Đội ứng cứu khẩn cấp máy tính quốc gia Ukraine. Các thông điệp này yêu cầu người nhận tải xuống một tệp lưu trữ được bảo vệ bằng mật khẩu, có tên là “CERT_UA_protection_tool.zip” hoặc “protection_tool.zip”, từ dịch vụ chia sẻ tệp Files.fm. Email khẳng định tệp này chứa một công cụ bảo mật chuyên dụng cần được cài đặt ngay lập tức.

Các lĩnh vực bị nhắm mục tiêu bao gồm các cơ quan chính phủ, trung tâm y tế, công ty bảo mật, tổ chức giáo dục, tổ chức tài chính và các công ty phát triển phần mềm. Sự đa dạng trong đối tượng cho thấy một nỗ lực rộng lớn nhằm xâm nhập vào các hệ thống quan trọng.

Kỹ thuật Giả mạo Trang web

Để làm cho các email lừa đảo trở nên hợp pháp, những kẻ tấn công đã đăng ký tên miền cert-ua[.]tech và xây dựng một trang web giả mạo, sao chép hoàn toàn trang web chính thức của CERT-UA tại cert.gov.ua. Trang web giả mạo này chứa các liên kết tải xuống và hướng dẫn cài đặt chi tiết.

Chứng chỉ SSL của trang web gian lận này được tạo vào ngày 27 tháng 3 năm 2026, chỉ vài giờ trước khi các email bắt đầu được phát tán. Trang này đã bị gỡ xuống ngay sau đó, cho thấy tính chất ngắn ngủi nhưng hiệu quả của cuộc tấn công.

Các nhà điều tra đã tìm thấy một thông điệp ẩn trong mã nguồn HTML của trang web với nội dung “With Love, CYBER SERP”, cùng với một liên kết đến một kênh Telegram. Vào ngày 28 tháng 3 năm 2026, nhóm này đã đăng một bài viết trên kênh Telegram đó, nhận hoàn toàn trách nhiệm về chiến dịch, loại bỏ mọi nghi ngờ về nguồn gốc của cuộc tấn công và dẫn đến việc tạo ra định danh theo dõi UAC-0255.

Phân tích Mã độc AGEWHEEZE

Các nhà phân tích của CERT-UA đã xác định được chiến dịch và xác nhận rằng tệp được giới thiệu là công cụ bảo vệ thực chất là một loại mã độc AGEWHEEZE nguy hiểm. Tệp thực thi được giấu bên trong tệp lưu trữ chính là AGEWHEEZE – một công cụ truy cập từ xa (Remote Access Trojan – RAT) đầy đủ tính năng được xây dựng bằng ngôn ngữ lập trình Go.

Cơ chế cài đặt và duy trì quyền truy cập (Persistence)

Sau khi nạn nhân chạy trình cài đặt, mã độc AGEWHEEZE sẽ tự đặt mình vào thư mục AppData với các đường dẫn như %APPDATA%\SysSvc\SysSvc.exe hoặc %APPDATA%\service\service.exe. Điều này giúp mã độc ẩn mình trong các thư mục người dùng.

Để đảm bảo duy trì quyền truy cập ngay cả sau khi hệ thống khởi động lại, mã độc AGEWHEEZE tạo các khóa registry dưới HKCU\Software\Microsoft\Windows\CurrentVersion\Run và đăng ký các tác vụ đã lên lịch (Scheduled Tasks) với tên “SvcHelper” và “CoreService”.

Ví dụ về cách mã độc thiết lập persistence qua Registry Run key:

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v SysSvc /t REG_SZ /d "%APPDATA%\SysSvc\SysSvc.exe" /f

Ví dụ về cách tạo Scheduled Task để duy trì quyền truy cập:

schtasks /create /tn "CoreService" /tr "%APPDATA%\service\service.exe" /sc onlogon /rl highest /f

Các phương pháp duy trì này cung cấp cho kẻ tấn công một chỗ đứng ổn định trên hệ thống bị nhiễm, cho phép chúng thực hiện các hoạt động độc hại lâu dài.

Tính năng và khả năng của AGEWHEEZE

Mã độc AGEWHEEZE được trang bị một bộ khả năng rộng lớn, biến nó thành một công cụ mạnh mẽ để kiểm soát từ xa. Các tính năng chính bao gồm:

• Chụp ảnh màn hình: Cho phép kẻ tấn công thu thập thông tin nhạy cảm trực quan từ màn hình nạn nhân.
• Mô phỏng chuột và bàn phím: Thực hiện các thao tác người dùng từ xa, vượt qua các biện pháp kiểm soát.
• Quản lý tệp và thư mục: Tải lên, tải xuống, xóa, đổi tên tệp và thư mục, tạo điều kiện cho việc trích xuất dữ liệu hoặc phát tán thêm mã độc.
• Liệt kê và kết thúc tiến trình: Theo dõi các ứng dụng đang chạy và chấm dứt các tiến trình bảo mật hoặc phần mềm hợp pháp.
• Kiểm soát dịch vụ hệ thống: Khởi động, dừng hoặc cấu hình các dịch vụ Windows để phục vụ mục đích độc hại.
• Đọc và ghi dữ liệu clipboard: Thu thập thông tin được sao chép (ví dụ: mật khẩu, dữ liệu nhạy cảm) hoặc chèn dữ liệu độc hại.
• Mở URL: Chuyển hướng trình duyệt đến các trang web độc hại hoặc tải xuống các tài nguyên khác.
• Thực thi lệnh terminal: Chạy các lệnh CLI tùy ý, mang lại quyền kiểm soát gần như hoàn toàn đối với hệ thống.
• Thực hiện các hành động nguồn: Tắt, khởi động lại hoặc khóa hệ thống, gây gián đoạn hoặc che giấu hoạt động.

Cơ sở hạ tầng Command-and-Control (C2)

Nhóm UAC-0255 đã theo dõi máy chủ lệnh và kiểm soát (C2) của mã độc AGEWHEEZE đến một địa chỉ IP được lưu trữ bởi công ty internet Pháp OVH. Mã độc kết nối đến máy chủ C2 tại 54[.]36.237.92 qua cổng 8443 sử dụng WebSockets để duy trì giao tiếp hai chiều trực tiếp.

Bảng điều khiển quản lý C2, được các kẻ tấn công đặt tên là “The Cult”, được bảo vệ bằng một biểu mẫu xác thực. Văn bản tiếng Nga được tìm thấy trong mã nguồn HTML của bảng điều khiển này càng củng cố thêm nhận định về danh tính của nhóm thực hiện chiến dịch.

Chỉ số thỏa hiệp (Indicators of Compromise – IOCs)

Các chỉ số thỏa hiệp sau đây có thể được sử dụng để phát hiện và ngăn chặn mối đe dọa mạng từ chiến dịch này:

• Tên miền giả mạo: cert-ua[.]tech
• Địa chỉ IP C2: 54[.]36.237.92
• Cổng C2: 8443
• Tên tệp lừa đảo:
  • CERT_UA_protection_tool.zip
  • protection_tool.zip
• Đường dẫn cài đặt mã độc:
  • %APPDATA%\SysSvc\SysSvc.exe
  • %APPDATA%\service\service.exe
• Tên Scheduled Task:
  • SvcHelper
  • CoreService

Phản ứng và Khuyến nghị Phòng ngừa

CERT-UA đã xác nhận rằng cuộc tấn công mạng tổng thể đã không lan rộng. Chỉ một số lượng nhỏ các thiết bị cá nhân thuộc về nhân viên tại các tổ chức giáo dục được phát hiện bị nhiễm. Đội ứng phó đã hành động nhanh chóng để cung cấp hỗ trợ kỹ thuật và hướng dẫn thực tế cho các tổ chức bị ảnh hưởng.

Các tổ chức được khuyến cáo mạnh mẽ nên cấu hình các công cụ kiểm soát ứng dụng như SRP (Software Restriction Policies) hoặc AppLocker trên tất cả các điểm cuối để ngăn chặn các tệp thực thi trái phép chạy. Việc triển khai các chính sách này là một lớp phòng thủ quan trọng chống lại mã độc AGEWHEEZE và các mối đe dọa tương tự.

Giảm thiểu bề mặt tấn công tổng thể ở cả vành đai mạng và trên các thiết bị cá nhân cũng là một yếu tố quan trọng. Các biện pháp này bao gồm việc thường xuyên cập nhật phần mềm, sử dụng tường lửa, và triển khai các hệ thống phát hiện xâm nhập.

Cuối cùng, nhân viên cần đặc biệt thận trọng với bất kỳ email bất ngờ nào yêu cầu tải xuống phần mềm, đặc biệt là khi thông điệp tự nhận là từ một cơ quan chính phủ hoặc một cơ quan an ninh mạng đáng tin cậy. Đào tạo nhận thức về an ninh mạng là tuyến phòng thủ đầu tiên chống lại các cuộc tấn công mạng lừa đảo.