Nguyễn Đức Thao
Intern Writer
Một nhóm tin tặc chưa từng được biết đến trước đây đã bị phát hiện mạo danh công ty an ninh mạng ESET của Slovakia để thực hiện các cuộc tấn công lừa đảo nhắm vào các tổ chức tại Ukraine.
Chiến dịch này được phát hiện vào tháng 5 năm 2025, do nhóm nghiên cứu an ninh mạng InedibleOchotense theo dõi. Theo đánh giá của các chuyên gia, nhóm này có liên hệ với Nga.
Trong Báo cáo hoạt động APT quý II – quý III/2025, ESET cho biết InedibleOchotense đã gửi email lừa đảo và tin nhắn Signal chứa liên kết đến trình cài đặt ESET giả mạo có chứa Trojan, nhằm phát tán mã độc backdoor Kalambur.
Tin tặc đã tận dụng danh tiếng và mức độ phổ biến của phần mềm ESET để khiến nạn nhân tin tưởng và tải về trình cài đặt độc hại. Các tệp giả mạo này được lưu trữ trên những tên miền tương tự tên thật như:
Báo cáo của CERT-UA trước đó cũng cho thấy một chiến dịch tương tự được nhóm UAC-0125, một nhánh khác của Sandworm (APT44), thực hiện.
ESET cho biết: “Chúng tôi xác nhận rằng nhóm UAC-0099 thực hiện giai đoạn xâm nhập ban đầu, sau đó bàn giao mục tiêu cho Sandworm để tiếp tục triển khai các hoạt động phá hoại.”
Điều này chứng minh rằng các cuộc tấn công xóa dữ liệu vẫn là công cụ thường xuyên của các nhóm tin tặc liên kết với Nga nhằm gây rối loạn và thiệt hại hạ tầng kỹ thuật số ở Ukraine.
Song song đó, nhóm RomCom (Storm-0978, Tropical Scorpius, UNC2596, Void Rabisu) cũng hoạt động mạnh trong giai đoạn giữa năm 2025. Nhóm này đã khai thác lỗ hổng 0-day của WinRAR (CVE-2025-8088, điểm CVSS: 8.8) để tấn công các doanh nghiệp tài chính, sản xuất, quốc phòng và hậu cần tại châu Âu và Canada.
Các vụ khai thác thành công cho phép RomCom triển khai nhiều backdoor khác nhau, gồm SnipBot (RomCom RAT 5.0), RustyClaw và Mythic.
Theo nghiên cứu của AttackIQ, RomCom là nhóm theo dõi chặt chẽ tình hình địa chính trị liên quan đến chiến tranh Ukraine, sử dụng thông tin đó để đánh cắp dữ liệu và thông tin đăng nhập, phục vụ mục tiêu chiến lược của Nga.
Ban đầu, RomCom chỉ là một phần mềm độc hại thương mại điện tử, nhưng sau đó chuyển hướng thành công cụ hỗ trợ các hoạt động tấn công có yếu tố nhà nước, theo chuyên gia bảo mật Francis Guibernau. ( thehackernews )
Chiến dịch này được phát hiện vào tháng 5 năm 2025, do nhóm nghiên cứu an ninh mạng InedibleOchotense theo dõi. Theo đánh giá của các chuyên gia, nhóm này có liên hệ với Nga.
Trong Báo cáo hoạt động APT quý II – quý III/2025, ESET cho biết InedibleOchotense đã gửi email lừa đảo và tin nhắn Signal chứa liên kết đến trình cài đặt ESET giả mạo có chứa Trojan, nhằm phát tán mã độc backdoor Kalambur.
Cách nhóm tấn công mạo danh ESET để phát tán mã độc
Những email này được viết bằng tiếng Ukraine, nhưng lại có một từ tiếng Nga ở dòng đầu tiên, điều này cho thấy khả năng dịch tự động hoặc lỗi đánh máy. Trong nội dung, email giả mạo tuyên bố rằng ESET phát hiện quy trình đáng ngờ liên quan đến địa chỉ email của người nhận và cảnh báo rằng máy tính của họ có nguy cơ bị xâm nhập.
Tin tặc đã tận dụng danh tiếng và mức độ phổ biến của phần mềm ESET để khiến nạn nhân tin tưởng và tải về trình cài đặt độc hại. Các tệp giả mạo này được lưu trữ trên những tên miền tương tự tên thật như:
- esetsmart[.]com
- esetscanner[.]com
- esetremover[.]com
Báo cáo của CERT-UA trước đó cũng cho thấy một chiến dịch tương tự được nhóm UAC-0125, một nhánh khác của Sandworm (APT44), thực hiện.
Chuỗi tấn công của Sandworm và RomCom tiếp diễn ở Ukraine
Theo ESET, nhóm Sandworm vẫn liên tục tiến hành các chiến dịch phá hoại tại Ukraine, sử dụng hai phần mềm xóa dữ liệu có tên ZEROLOT và Sting vào tháng 4 năm 2025 để tấn công một trường đại học. Sau đó, nhóm này tiếp tục tung ra các biến thể mới của mã độc phá dữ liệu, nhắm vào các lĩnh vực chính phủ, năng lượng, hậu cần và ngũ cốc.ESET cho biết: “Chúng tôi xác nhận rằng nhóm UAC-0099 thực hiện giai đoạn xâm nhập ban đầu, sau đó bàn giao mục tiêu cho Sandworm để tiếp tục triển khai các hoạt động phá hoại.”
Điều này chứng minh rằng các cuộc tấn công xóa dữ liệu vẫn là công cụ thường xuyên của các nhóm tin tặc liên kết với Nga nhằm gây rối loạn và thiệt hại hạ tầng kỹ thuật số ở Ukraine.
Song song đó, nhóm RomCom (Storm-0978, Tropical Scorpius, UNC2596, Void Rabisu) cũng hoạt động mạnh trong giai đoạn giữa năm 2025. Nhóm này đã khai thác lỗ hổng 0-day của WinRAR (CVE-2025-8088, điểm CVSS: 8.8) để tấn công các doanh nghiệp tài chính, sản xuất, quốc phòng và hậu cần tại châu Âu và Canada.
Các vụ khai thác thành công cho phép RomCom triển khai nhiều backdoor khác nhau, gồm SnipBot (RomCom RAT 5.0), RustyClaw và Mythic.
Theo nghiên cứu của AttackIQ, RomCom là nhóm theo dõi chặt chẽ tình hình địa chính trị liên quan đến chiến tranh Ukraine, sử dụng thông tin đó để đánh cắp dữ liệu và thông tin đăng nhập, phục vụ mục tiêu chiến lược của Nga.
Ban đầu, RomCom chỉ là một phần mềm độc hại thương mại điện tử, nhưng sau đó chuyển hướng thành công cụ hỗ trợ các hoạt động tấn công có yếu tố nhà nước, theo chuyên gia bảo mật Francis Guibernau. ( thehackernews )
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
