APT31 đang tấn công ngành CNTT Nga như thế nào thông qua dịch vụ đám mây

Nguyễn Tiến Đạt · 43 phút

Trong giai đoạn 2024-2025, ngành công nghệ thông tin Nga, trong đó có các doanh nghiệp đóng vai trò nhà thầu và tích hợp giải pháp cho cơ quan chính phủ đã đối mặt với một loạt cuộc tấn công mạng có chủ đích kéo dài. Theo các nhà nghiên cứu Daniil Grigoryan và Varvara Koloskova từ Positive Technologies, những cuộc tấn công này được cho là do APT31, một nhóm tin tặc có liên hệ với Trung Quốc, thực hiện.

APT31 còn được biết đến qua nhiều tên khác như Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres và Violet Typhoon. Nhóm này hoạt động ít nhất từ năm 2010, với lịch sử tấn công vào nhiều lĩnh vực như chính phủ, tài chính, hàng không vũ trụ, quốc phòng, công nghệ cao, viễn thông, truyền thông, bảo hiểm và xây dựng.

Chiến thuật ẩn mình và mở rộng quyền kiểm soát của APT31

Mục tiêu chính của APT31 là thu thập thông tin tình báo phục vụ lợi ích chính trị, kinh tế và quân sự. Tháng 5/2025, nhóm này từng bị Cộng hòa Séc cáo buộc tấn công Bộ Ngoại giao nước họ.

Trong các cuộc tấn công nhắm vào Nga, APT31 sử dụng nhiều kỹ thuật nhằm tránh bị phát hiện. Chúng triển khai chỉ huy và kiểm soát (C2) và đánh cắp dữ liệu thông qua các dịch vụ đám mây hợp pháp, đặc biệt là Yandex Cloud. Điều này giúp lưu lượng truy cập trông giống hoạt động bình thường, qua mắt hệ thống giám sát.

Kẻ tấn công cũng được cho là giấu lệnh điều khiển và dữ liệu mã hóa trong các hồ sơ mạng xã hội, đồng thời ưu tiên thực hiện hoạt động vào cuối tuần hoặc ngày lễ. Một trường hợp điển hình là cuộc tấn công vào một công ty CNTT Nga, khi nhóm này đã xâm nhập từ cuối năm 2022 và tăng cường hoạt động trong kỳ nghỉ Tết Dương lịch 2023.

Trong một sự cố khác vào tháng 12/2024, kẻ tấn công dùng email lừa đảo chứa tệp RAR có lối tắt Windows (LNK), từ đó kích hoạt trình tải Cobalt Strike tên CloudyLoader thông qua kỹ thuật tải DLL phụ. Chi tiết về CloudyLoader từng được Kaspersky ghi nhận vào tháng 7/2025, cho thấy sự trùng lặp với nhóm EastWind. Kaspersky cũng phát hiện tệp ZIP giả danh báo cáo của Bộ Ngoại giao Peru nhằm triển khai công cụ này.

Kho công cụ tấn công phong phú giúp APT31 duy trì hiện diện lâu dài

Để vận hành các giai đoạn tiếp theo của chuỗi tấn công, APT31 sử dụng cả công cụ tự phát triển lẫn công cụ công khai. Nhóm này tạo cơ chế bền bỉ thông qua các tác vụ theo lịch trình mô phỏng ứng dụng hợp pháp như Yandex Disk hoặc Google Chrome. Một số công cụ được xác định gồm:

SharpADUserIP: tiện ích C# để trinh sát và khám phá.
SharpChrome.exe: trích xuất mật khẩu và cookie từ Chrome và Edge.
SharpDir: tìm kiếm tệp.
StickyNotesExtract.exe: trích xuất dữ liệu từ Sticky Notes của Windows.
Tailscale VPN: tạo đường hầm mã hóa và thiết lập mạng P2P giữa thiết bị bị xâm nhập và hạ tầng của chúng.
Microsoft Dev Tunnel: tạo đường hầm lưu lượng.
Owawa: mô-đun IIS độc hại đánh cắp thông tin đăng nhập.
AufTime: cửa hậu Linux giao tiếp C2 qua wolfSSL.
COFFProxy: backdoor Golang hỗ trợ đường hầm lưu lượng, thực thi lệnh và triển khai tải trọng.
VtChatter: công cụ dùng bình luận Base64 trên VirusTotal làm kênh C2 hai chiều.
OneDriveDoor: cửa hậu sử dụng Microsoft OneDrive làm trung tâm điều khiển.
LocalPlugX: biến thể PlugX lan truyền trong mạng nội bộ.
CloudSorcerer: cửa hậu dùng dịch vụ đám mây làm C2.
YaLeak: công cụ .NET tải dữ liệu lên Yandex Cloud.

Theo Positive Technologies, APT31 liên tục mở rộng kho vũ khí của mình, đồng thời tùy chỉnh các công cụ để hoạt động như máy chủ chờ lệnh từ kẻ điều khiển. Chúng cũng đánh cắp dữ liệu thông qua hệ thống lưu trữ đám mây của Yandex, giúp duy trì hiện diện trong hạ tầng nạn nhân nhiều năm liền. Bên cạnh đó, nhóm còn thu thập mật khẩu từ email và các dịch vụ nội bộ nhằm mở rộng mức độ kiểm soát. (thehackernews)