Tin tặc APT28 khai thác lỗ hổng nghiêm trọng trong Microsoft Office
Nhóm tin tặc APT28 đã biến một lỗ hổng nghiêm trọng trên nền tảng Microsoft Office thành vũ khí tấn công mạng nhắm vào nhiều tổ chức và quốc gia. Chỉ vài ngày sau khi Microsoft phát hành bản vá khẩn cấp, nhóm tin tặc này đã nhanh chóng vũ khí hóa lỗ hổng zero-day để thực hiện các cuộc tấn công phức tạp.
Chiến dịch tấn công tinh vi với tốc độ đáng báo động
Theo các nhà nghiên cứu bảo mật tại Zscaler ThreatLabz, chiến dịch mang tên Operation Neusploit được phát hiện chỉ ba ngày sau khi Microsoft công bố và vá lỗ hổng CVE-2026-21509 vào ngày 26/1. Lỗ hổng này được đánh giá ở mức nghiêm trọng cao với điểm CVSS 7.8, cho phép kẻ tấn công thực thi mã từ xa mà không cần nạn nhân kích hoạt macro hay nhận bất kỳ cảnh báo nào.
Điểm yếu nằm ở cách Microsoft Office xử lý các tệp định dạng Rich Text Format (RTF) được chế tạo đặc biệt. Các cuộc tấn công bắt đầu bằng email lừa đảo chứa tệp RTF đính kèm, với nội dung được soạn thảo cẩn thận bằng nhiều ngôn ngữ bao gồm tiếng Anh, Romania, Slovakia và Ukraine để phù hợp với đối tượng mục tiêu.
Kỹ thuật tấn công phức tạp và hai nhánh lây nhiễm
Khi nạn nhân mở tệp, lỗ hổng bị kích hoạt ngay lập tức, tải về một dropper DLL từ máy chủ của tin tặc. Đáng chú ý, tin tặc áp dụng kỹ thuật lọc phía máy chủ tinh vi, chỉ gửi mã độc hại khi yêu cầu đến từ khu vực địa lý mục tiêu và kèm đúng header User-Agent, giúp chúng tránh bị phát hiện sớm.
Chiến dịch thể hiện hai nhánh lây nhiễm khác nhau tùy theo phần mềm độc hại được sử dụng:
- Nhánh đầu tiên triển khai MiniDoor, một công cụ nhẹ chuyên đánh cắp email từ Microsoft Outlook. MiniDoor can thiệp vào registry Windows để vô hiệu hóa một số tính năng bảo mật của Outlook, sau đó âm thầm thu thập và chuyển tiếp thư đến địa chỉ do tin tặc kiểm soát.
- Nhánh thứ hai phức tạp hơn, sử dụng PixyNetLoader để thiết lập quyền truy cập lâu dài thông qua phương thức COM hijacking, trích xuất mã shell ẩn trong ảnh PNG bằng kỹ thuật giấu thông tin bí mật (steganography), cuối cùng cài đặt implant Covenant Grunt, cho phép tin tặc điều khiển từ xa toàn bộ hệ thống.
Mục tiêu chính và đánh giá từ chuyên gia
Các mục tiêu chính của nhóm tin tặc nằm ở khu vực Trung và Đông Âu, đặc biệt ở các nước Ukraine, Romania, Slovakia cùng một số tổ chức ở Ba Lan, Slovenia, Hy Lạp, Thổ Nhĩ Kỳ, Các Tiểu Vương Quốc Ả Rập Thống Nhất (UAE) và Bolivia. Những lĩnh vực bị nhắm đến nhiều nhất là quốc phòng, giao thông vận tải và ngoại giao.
Các nhà nghiên cứu từ Trellix và Zscaler ThreatLabz đều đánh giá cao mức độ tinh vi của chiến dịch, với việc sử dụng dịch vụ đám mây hợp pháp để làm kênh liên lạc và kỹ thuật fileless để tránh để lại dấu vết trên ổ đĩa.
APT28, còn được biết đến với các tên Fancy Bear, Forest Blizzard hay Sofacy, từ lâu đã nổi tiếng với các cuộc tấn công mạng. Tốc độ vũ khí hóa lỗ hổng chỉ trong vòng vài ngày cho thấy khả năng phản ứng cực nhanh của nhóm này, thu hẹp đáng kể khoảng thời gian mà các tổ chức cần có để vá hệ thống.
Khuyến cáo bảo mật và biện pháp phòng ngừa
Microsoft đã đưa ra bản vá khẩn cấp cho các phiên bản Office 2016, 2019, 2021, 2024 và Microsoft 365. Người dùng các phiên bản mới hơn sẽ nhận cập nhật tự động nhưng cần khởi động lại ứng dụng để bảo vệ có hiệu lực đầy đủ. Với các phiên bản cũ, việc cài đặt thủ công là bắt buộc. Công ty cũng cung cấp hướng dẫn chỉnh sửa registry để tạm thời chặn vector tấn công cho đến khi quy trình vá được hoàn tất.
Các chuyên gia bảo mật khuyến cáo:
- Tổ chức và người dùng cá nhân cần ưu tiên cập nhật phần mềm ngay lập tức
- Tăng cường kiểm soát email, đặc biệt với các tệp đính kèm không rõ nguồn gốc
- Hạn chế thực thi macro không cần thiết trong các ứng dụng văn phòng
- Theo dõi các hành vi bất thường của Outlook và hệ thống mạng
- Thực hiện đào tạo nâng cao nhận thức bảo mật cho nhân viên
Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật bảo mật kịp thời và duy trì cảnh giác cao độ trước các mối đe dọa mạng ngày càng tinh vi.
