Microsoft phát hành bản vá khẩn cấp cho Office. Tin tặc nhà nước Nga tấn công.

Tác giả dangkhoa 06/02/2026 11 phút đọc

Microsoft phát hành bản vá khẩn cấp cho Office. Tin tặc nhà nước Nga tấn công.

Thời gian để vá các lỗ hổng bảo mật đang nhanh chóng thu hẹp lại.

Các nhà nghiên cứu cho biết hôm thứ Tư rằng tin tặc nhà nước Nga đã nhanh chóng khai thác một lỗ hổng nghiêm trọng trong Microsoft Office, cho phép chúng xâm nhập vào các thiết bị bên trong các tổ chức ngoại giao, hàng hải và vận tải ở hơn nửa tá quốc gia.

Nhóm tin tặc này, được theo dõi dưới các tên gọi bao gồm APT28, Fancy Bear, Sednit, Forest Blizzard và Sofacy, đã nhanh chóng khai thác lỗ hổng bảo mật, được theo dõi với mã số CVE-2026-21509, chưa đầy 48 giờ sau khi Microsoft phát hành bản cập nhật bảo mật khẩn cấp, không theo lịch trình vào cuối tháng trước, các nhà nghiên cứu cho biết. Sau khi phân tích ngược bản vá, các thành viên nhóm đã viết một công cụ khai thác tiên tiến để cài đặt một trong hai phần mềm gián điệp cửa hậu chưa từng thấy trước đây.

Sự lén lút, tốc độ và độ chính xác.

Toàn bộ chiến dịch được thiết kế để khiến việc xâm nhập không thể bị phát hiện bởi phần mềm bảo mật điểm cuối. Bên cạnh tính mới lạ, các lỗ hổng và mã độc được mã hóa và chạy trong bộ nhớ, khiến cho việc phát hiện mục đích xấu trở nên khó khăn. Phương thức lây nhiễm ban đầu đến từ các tài khoản chính phủ đã bị xâm phạm trước đó ở nhiều quốc gia và có thể quen thuộc với những người dùng email mục tiêu. Các kênh điều khiển và quản trị được lưu trữ trên các dịch vụ đám mây hợp pháp, thường được cho phép truy cập trong các mạng nhạy cảm.

“Việc sử dụng CVE-2026-21509 cho thấy các tác nhân liên kết với nhà nước có thể nhanh chóng biến các lỗ hổng mới thành vũ khí như thế nào, thu hẹp thời gian để các nhà bảo mật vá các hệ thống quan trọng,” các nhà nghiên cứu từ công ty bảo mật Trellix viết . “Chuỗi lây nhiễm theo mô-đun của chiến dịch—từ lừa đảo ban đầu đến cửa hậu trong bộ nhớ và các phần mềm độc hại thứ cấp—được thiết kế cẩn thận để tận dụng các kênh đáng tin cậy (HTTPS đến các dịch vụ đám mây, luồng email hợp pháp) và các kỹ thuật không cần tệp để ẩn mình.”

Chiến dịch tấn công lừa đảo có chủ đích kéo dài 72 giờ bắt đầu từ ngày 28 tháng 1 và đã gửi ít nhất 29 email lừa đảo khác nhau đến các tổ chức ở chín quốc gia, chủ yếu ở Đông Âu. Trellix đã nêu tên tám trong số đó: Ba Lan, Slovenia, Thổ Nhĩ Kỳ, Hy Lạp, Các Tiểu vương quốc Ả Rập Thống nhất, Ukraina, Romania và Bolivia. Các tổ chức bị nhắm mục tiêu là các bộ quốc phòng (40%), các nhà điều hành vận tải/hậu cần (35%) và các cơ quan ngoại giao (25%).

Chuỗi lây nhiễm dẫn đến việc cài đặt BeardShell hoặc NotDoor, tên theo dõi mà Trellix đặt cho các phần mềm cửa hậu mới này. BeardShell cung cấp cho nhóm này khả năng do thám hệ thống toàn diện, duy trì hoạt động bằng cách tiêm các tiến trình vào Windows svchost.exe, và tạo ra lỗ hổng để di chuyển ngang sang các hệ thống khác bên trong mạng bị nhiễm. Phần mềm độc hại được thực thi thông qua các tập tin .NET được tải động, không để lại bất kỳ dấu vết pháp y nào trên ổ đĩa ngoài bộ nhớ từ việc tiêm mã thường trú.

NotDoor xuất hiện dưới dạng một macro VBA và chỉ được cài đặt sau khi chuỗi khai thác vô hiệu hóa các biện pháp kiểm soát bảo mật macro của Outlook. Sau khi được cài đặt, phần mềm độc hại này theo dõi các thư mục email, bao gồm Hộp thư đến, Thư nháp, Thư rác và Nguồn cấp dữ liệu RSS. Nó đóng gói các tin nhắn vào một tệp .msg của Windows, sau đó sẽ được gửi đến các tài khoản do kẻ tấn công kiểm soát được thiết lập trên dịch vụ đám mây filen.io. Để vượt qua các biện pháp kiểm soát bảo mật trên các tài khoản có đặc quyền cao được thiết kế để hạn chế quyền truy cập vào các điện tín mật và các tài liệu nhạy cảm khác, macro đã xử lý các email có thuộc tính tùy chỉnh “AlreadyForwarded” và đặt “DeleteAfterSubmit” thành true để xóa các tin nhắn đã chuyển tiếp khỏi thư mục Mục đã gửi.

Trellix cho rằng chiến dịch này do APT28 thực hiện với “mức độ tin cậy cao” dựa trên các chỉ số kỹ thuật và các mục tiêu được lựa chọn. CERT-UA của Ukraine cũng cho rằng các cuộc tấn công này do UAC-0001 thực hiện, một tên theo dõi tương ứng với APT28.

“APT28 có lịch sử lâu dài về hoạt động gián điệp mạng và gây ảnh hưởng,” Trellix viết. “Kỹ thuật được sử dụng trong chiến dịch này—phần mềm độc hại nhiều giai đoạn, che giấu mã nguồn rộng rãi, lạm dụng dịch vụ đám mây và nhắm mục tiêu vào hệ thống email để duy trì sự hiện diện—phản ánh một đối thủ có nguồn lực dồi dào và trình độ cao, phù hợp với hồ sơ của APT28. Bộ công cụ và kỹ thuật cũng phù hợp với dấu ấn đặc trưng của APT28.”

Trellix đã cung cấp một danh sách toàn diện các chỉ số mà các tổ chức có thể sử dụng để xác định xem họ có phải là mục tiêu tấn công hay không.