Các hacker Nga nhắm mục tiêu vào các công ty châu Âu bằng các cuộc tấn công mạng spear-phishing mới.

APT28 lại xuất hiện một lần nữa.

Et bilde av et tastatur der Enter-knappen har påmalt et russisk flagg, med en liten gullbjørn stående på Tasten. (Nguồn ảnh: Shutterstock / Aleksandra Gigowska)

APT28, nhóm tin tặc khét tiếng do nhà nước Nga tài trợ, còn được biết đến với tên gọi Fancy Bear hoặc Sofacy, đã bị phát hiện nhắm mục tiêu vào “các thực thể cụ thể” ở Tây và Trung Âu bằng các phần mềm đánh cắp thông tin.

Trong một báo cáo mới được công bố, các nhà nghiên cứu bảo mật Lab52 từ S2 Grupo đã mô tả chi tiết "Chiến dịch MacroMaze", một chiến dịch đã diễn ra ít nhất từ ​​cuối tháng 9 năm 2025 đến tháng 1 năm 2026.

Chiến dịch này bắt đầu bằng một email lừa đảo nhắm mục tiêu cá nhân hóa cao. Chủ đề và nội dung rất đa dạng, nhưng hầu hết đều liên quan đến các vấn đề ngoại giao. Trong một trường hợp, các nhà nghiên cứu cho biết họ đã thấy một bản sao được chỉnh sửa đôi chút của chương trình nghị sự ngoại giao chính thức được phát tán.

Tài liệu Word và macro

Các email này thường đi kèm với một tài liệu Microsoft Office Word chứa đầy macro . Macro là những chương trình hoặc đoạn mã nhỏ có thể được tạo bên trong Microsoft Word để tự động hóa các tác vụ lặp đi lặp lại. Tuy nhiên, chúng đã bị lạm dụng quá mức trong nhiều năm đến nỗi Microsoft đã vô hiệu hóa chúng theo mặc định, đặc biệt là đối với các tệp được tải xuống từ internet.

Tuy nhiên, những kẻ tấn công đã thiết kế các tệp Word một cách cẩn thận dựa trên thực tế đó, lừa nạn nhân kích hoạt macro và chạy mã độc. Lab52 cũng cho biết phần mềm độc hại được thiết kế để thông báo cho kẻ tấn công khi nạn nhân thực sự thực thi tệp.

Khi chúng làm vậy, chúng sẽ kích hoạt một phản ứng dây chuyền, thay vì phát tán một biến thể phần mềm đánh cắp thông tin duy nhất, nó sẽ phát tán nhiều đoạn mã nhỏ và mẫu HTML.

Những kẻ này đã thiết lập được khả năng duy trì kết nối, tái tạo lại gói lệnh từ các đoạn dữ liệu đã tải xuống, thu thập thông tin hệ thống cơ bản và đánh cắp kết quả thông qua một biểu mẫu HTML tự động gửi.

"Chiến dịch này chứng minh rằng sự đơn giản có thể rất mạnh mẽ," các nhà nghiên cứu giải thích. "Kẻ tấn công sử dụng các công cụ rất cơ bản (tệp lệnh hàng loạt, trình khởi chạy VBS nhỏ và HTML đơn giản) nhưng sắp xếp chúng một cách cẩn thận để tối đa hóa khả năng ẩn mình: Chuyển các hoạt động vào các phiên trình duyệt ẩn hoặc ngoài màn hình, xóa các dấu vết và thuê ngoài cả việc phân phối tải trọng và đánh cắp dữ liệu cho các dịch vụ webhook được sử dụng rộng rãi."

Nhóm APT28, đứng sau Chiến dịch MacroMaze, đã tích cực tham gia vào "Chiến dịch quân sự đặc biệt" của Nga, tấn công cơ sở hạ tầng của Ukraine và các đồng minh của nước này, khi Nga đưa cuộc chiến chống lại Ukraine vào không gian mạng.