Microsoft phát hành bản vá Office khẩn cấp. Hacker nhà nước Nga vồ lấy.

Tác giả tanthanh 13/03/2026 8 phút đọc

Các tin tặc nhà nước Nga đã không lãng phí thời gian khai thác lỗ hổng nghiêm trọng của Microsoft Office cho phép họ xâm phạm các thiết bị bên trong các tổ chức ngoại giao, hàng hải và vận tải ở hơn nửa tá quốc gia, các nhà nghiên cứu cho biết hôm thứ Tư.

Nhóm mối đe dọa, được theo dõi dưới những cái tên bao gồm APT28, Fancy Bear, Sednit, Forest Blizzard và Sofacy, đã tấn công vào lỗ hổng, được theo dõi là CVE-2026-21509, chưa đầy 48 giờ sau khi Microsoft phát hành bản khẩn cấp, cập nhật bảo mật đột xuất cuối tháng trước, các nhà nghiên cứu cho biết. Sau khi thiết kế ngược bản vá, các thành viên trong nhóm đã viết một bản khai thác nâng cao cài đặt một trong hai bộ cấy ghép cửa sau chưa từng thấy trước đây.

Tàng hình, tốc độ và độ chính xác

Toàn bộ chiến dịch được thiết kế để làm cho sự thỏa hiệp không thể phát hiện được đối với việc bảo vệ điểm cuối. Ngoài tính mới, các khai thác và tải trọng còn được mã hóa và chạy trong bộ nhớ, khiến ác ý của chúng khó phát hiện. Vectơ lây nhiễm ban đầu đến từ các tài khoản chính phủ bị xâm phạm trước đó từ nhiều quốc gia và có thể quen thuộc với những người nắm giữ email được nhắm mục tiêu. Các kênh chỉ huy và điều khiển được lưu trữ trong các dịch vụ đám mây hợp pháp thường được liệt kê cho phép bên trong các mạng nhạy cảm.

“Việc sử dụng CVE-2026-21509 chứng tỏ các tác nhân liên kết với nhà nước có thể vũ khí hóa các lỗ hổng mới nhanh như thế nào, thu hẹp cơ hội cho những người bảo vệ vá các hệ thống quan trọng, các nhà nghiên cứu, với công ty bảo mật Trellix, viết. “Chuỗi lây nhiễm mô-đun của chiến dịch—từ phish ban đầu đến cửa sau trong bộ nhớ đến bộ cấy thứ cấp được thiết kế cẩn thận để tận dụng các kênh đáng tin cậy (HTTPS đến dịch vụ đám mây, luồng email hợp pháp) và các kỹ thuật không cần tệp để ẩn trong tầm nhìn rõ ràng.”

Chiến dịch lừa đảo bằng giáo kéo dài 72 giờ bắt đầu vào ngày 28 tháng 1 và gửi ít nhất 29 email dụ dỗ riêng biệt cho các tổ chức ở 9 quốc gia, chủ yếu ở Đông Âu. Trellix nêu tên tám người trong số họ: Ba Lan, Slovenia, Thổ Nhĩ Kỳ, Hy Lạp, UAE, Ukraine, Romania và Bolivia. Các tổ chức bị nhắm mục tiêu là các bộ quốc phòng (40%), các nhà khai thác vận tải/hậu cần (35%) và các tổ chức ngoại giao (25%).

Chuỗi lây nhiễm dẫn đến việc cài đặt BeardShell hoặc NotDoor, tên theo dõi mà Trellix đã đặt cho các cửa hậu mới lạ. BeardShell đã cung cấp cho nhóm khả năng trinh sát toàn bộ hệ thống, sự kiên trì thông qua việc đưa các quy trình vào Windows svchost.exe và mở ra cơ hội di chuyển ngang sang các hệ thống khác bên trong mạng bị nhiễm. Việc cấy ghép được thực hiện thông qua tải động.NET không để lại hiện vật pháp y dựa trên đĩa nào ngoài bộ nhớ từ việc chèn mã thường trú.

NotDoor xuất hiện dưới dạng macro VBA và chỉ được cài đặt sau khi chuỗi khai thác vô hiệu hóa các điều khiển bảo mật macro của Outlook. Sau khi cài đặt, bộ cấy sẽ giám sát các thư mục email, bao gồm Hộp thư đến, Bản nháp, Thư rác và Nguồn cấp dữ liệu RSS. Nó gói tin nhắn vào một tệp.msg của Windows, sau đó sẽ được gửi đến các tài khoản do kẻ tấn công kiểm soát được thiết lập trên dịch vụ đám mây filen.io. Để đánh bại các biện pháp kiểm soát bảo mật đối với các tài khoản có đặc quyền cao được thiết kế để hạn chế quyền truy cập vào cáp mật và các tài liệu nhạy cảm khác, macro đã xử lý các email có thuộc tính “AlreadyForwarded” tùy chỉnh và đặt “DeleteAfterSubmit” thành true để xóa các tin nhắn được chuyển tiếp khỏi thư mục Mục đã gửi.

Trellix cho rằng chiến dịch này là của APT28 với độ tin cậy cao “” dựa trên các chỉ số kỹ thuật và mục tiêu đã chọn. CERT-UA của Ukraine cũng có quy gán các cuộc tấn công vào UAC-0001, tên theo dõi tương ứng với APT28.

“APT28 có lịch sử hoạt động gián điệp mạng và gây ảnh hưởng lâu dài,” Trellix viết. “Nghề nghiệp trong chiến dịch này—phần mềm độc hại nhiều giai đoạn, làm xáo trộn trên diện rộng, lạm dụng dịch vụ đám mây và nhắm mục tiêu vào hệ thống email để duy trì tính bền vững— phản ánh một đối thủ tiên tiến, có nguồn lực tốt phù hợp với hồ sơ APT28’s. Bộ công cụ và kỹ thuật cũng phù hợp với dấu vân tay APT28’s.”

Trellix đã cung cấp a danh sách đầy đủ các chỉ số các tổ chức có thể sử dụng để xác định xem họ có bị nhắm mục tiêu hay không.