Buzz
Nhóm APT28 sử dụng các thủ thuật tinh vi để biến lỗ hổng trong Microsoft Office thành công cụ tấn công mạng nhắm vào nhiều tổ chức và quốc gia.
Chỉ vài ngày sau khi Microsoft phát hành bản vá khẩn cấp, nhóm tin tặc APT28 đã nhanh chóng khai thác lỗ hổng zero-day trong Microsoft Office để thực hiện các cuộc tấn công vào các quốc gia ở Trung và Đông Âu.
Nhóm tin tặc APT28 lợi dụng lỗ hổng trong Microsoft Office để thực hiện các cuộc tấn công mạng. (Ảnh: Getty Image)
Theo các chuyên gia bảo mật từ Zscaler ThreatLabz, chiến dịch của APT28, mang tên Operation Neusploit, đã được phát hiện chỉ ba ngày sau khi Microsoft công bố và vá lỗ hổng CVE-2026-21509 vào ngày 26/1.
Lỗ hổng này được đánh giá có mức độ nghiêm trọng cao với điểm CVSS là 7.8, cho phép kẻ tấn công thực thi mã từ xa mà không cần nạn nhân phải kích hoạt macro hay bất kỳ cảnh báo nào. Điểm yếu nằm ở cách Microsoft Office xử lý các tệp RTF được tạo đặc biệt.
Các cuộc tấn công bắt đầu bằng email lừa đảo chứa tệp RTF đính kèm, với nội dung được viết bằng tiếng Anh, Romania, Slovakia và Ukraine để phù hợp với đối tượng mục tiêu. Khi nạn nhân mở tệp, lỗ hổng bị kích hoạt ngay lập tức, tải xuống một dropper DLL từ máy chủ của tin tặc.
Tin tặc sử dụng kỹ thuật lọc phía máy chủ, chỉ gửi mã độc khi yêu cầu đến từ khu vực mục tiêu và có đúng header User-Agent, giúp tránh bị phát hiện sớm.
Chiến dịch này thể hiện hai nhánh lây nhiễm khác nhau tùy thuộc vào phần mềm độc hại được sử dụng. Nhánh đầu tiên triển khai MiniDoor, một công cụ nhẹ chuyên đánh cắp email từ Microsoft Outlook, bằng cách can thiệp vào registry Windows để vô hiệu hóa một số tính năng bảo mật của Outlook, sau đó thu thập và chuyển tiếp thư đến địa chỉ do tin tặc kiểm soát.
Nhánh thứ hai phức tạp hơn, sử dụng PixyNetLoader để thiết lập quyền truy cập lâu dài qua phương thức COM hijacking, trích xuất mã shell ẩn trong ảnh PNG nhờ kỹ thuật giấu thông tin bí mật (steganography), và cuối cùng cài đặt implant Covenant Grunt, cho phép tin tặc điều khiển từ xa hệ thống.
Các mục tiêu chính của nhóm tin tặc tập trung ở Trung và Đông Âu, đặc biệt là Ukraine, Romania, Slovakia cùng một số tổ chức ở Ba Lan, Slovenia, Hy Lạp, Thổ Nhĩ Kỳ, Các Tiểu Vương Quốc Ả Rập Thống Nhất (UAE) và Bolivia. Các lĩnh vực nhắm đến chủ yếu là quốc phòng, giao thông vận tải và ngoại giao.
Các nhà nghiên cứu từ Trellix và Zscaler ThreatLabz đều đánh giá chiến dịch này rất tinh vi, với việc sử dụng dịch vụ đám mây hợp pháp làm kênh liên lạc và áp dụng kỹ thuật fileless để tránh để lại dấu vết trên ổ đĩa.
APT28, hay còn gọi là Fancy Bear, Forest Blizzard, Sofacy, từ lâu đã nổi tiếng với các cuộc tấn công mạng. Tốc độ vũ khí hóa lỗ hổng chỉ trong vài ngày cho thấy khả năng phản ứng cực kỳ nhanh chóng của nhóm này, làm giảm đáng kể khoảng thời gian mà các tổ chức cần để vá hệ thống.
Microsoft đã phát hành bản vá khẩn cấp cho các phiên bản Office 2016, 2019, 2021, 2024 và Microsoft 365. Người dùng các phiên bản mới sẽ nhận cập nhật tự động, nhưng cần khởi động lại ứng dụng để bảo vệ có hiệu lực. Đối với các phiên bản cũ, việc cài đặt thủ công là bắt buộc.
Công ty cũng cung cấp hướng dẫn chỉnh sửa registry để tạm thời ngăn chặn vector tấn công cho đến khi quy trình vá được hoàn thành. Các chuyên gia bảo mật khuyến cáo các tổ chức và người dùng cá nhân cần ưu tiên cập nhật ngay lập tức, đồng thời tăng cường kiểm soát email, hạn chế thực thi macro không cần thiết và giám sát các hành vi bất thường của Outlook.
