Tin tặc APT28 khai thác lỗ hổng nghiêm trọng trong Microsoft Office

Chỉ vài ngày sau khi Microsoft phát hành bản vá khẩn cấp, nhóm tin tặc APT28 nhanh chóng vũ khí hóa lỗ hổng zero-day trong nền tảng Microsoft Office để thực hiện các cuộc tấn công mạng nhắm vào nhiều quốc gia ở Trung và Đông Âu.

Theo các nhà nghiên cứu bảo mật tại Zscaler ThreatLabz, chiến dịch của nhóm tin tặc APT28 mang tên Operation Neusploit, được phát hiện chỉ ba ngày sau khi Microsoft công bố và vá lỗ hổng CVE-2026-21509 vào ngày 26/1.

Lỗ hổng được đánh giá ở mức nghiêm trọng cao với điểm CVSS 7.8, cho phép kẻ tấn công thực thi mã từ xa mà không cần nạn nhân kích hoạt macro hay bất kỳ cảnh báo nào. Điểm yếu nằm ở cách Microsoft Office xử lý các tệp định dạng Rich Text Format (RTF) được chế tạo đặc biệt.

Các cuộc tấn công bắt đầu bằng e-mail lừa đảo chứa tệp RTF đính kèm, với nội dung được soạn thảo cẩn thận bằng tiếng Anh, Romania, Slovakia và Ukraine để phù hợp với đối tượng mục tiêu. Khi nạn nhân mở tệp, lỗ hổng bị kích hoạt ngay lập tức, tải về một dropper DLL từ máy chủ của tin tặc.

Đáng chú ý, tin tặc áp dụng kỹ thuật lọc phía máy chủ, chỉ gửi mã độc hại khi yêu cầu đến từ khu vực địa lý mục tiêu và kèm đúng header User-Agent, giúp chúng tránh bị phát hiện sớm.

Chiến dịch thể hiện hai nhánh lây nhiễm khác nhau tùy theo phần mềm độc hại được sử dụng. Nhánh đầu tiên triển khai MiniDoor, một công cụ nhẹ chuyên đánh cắp e-mail từ Microsoft Outlook. MiniDoor can thiệp vào registry Windows để vô hiệu hóa một số tính năng bảo mật của Outlook, sau đó âm thầm thu thập và chuyển tiếp thư đến địa chỉ do tin tặc kiểm soát.

Nhánh thứ hai phức tạp hơn, sử dụng PixyNetLoader để thiết lập quyền truy cập lâu dài thông qua phương thức COM hijacking, trích xuất mã shell ẩn trong ảnh PNG bằng kỹ thuật giấu thông tin bí mật (steganography), cuối cùng cài đặt implant Covenant Grunt, cho phép tin tặc điều khiển từ xa toàn bộ hệ thống.

Các mục tiêu chính của nhóm tin tặc nằm ở khu vực Trung và Đông Âu, đặc biệt ở các nước Ukraine, Romania, Slovakia cùng một số tổ chức ở Ba Lan, Slovenia, Hy Lạp, Thổ Nhĩ Kỳ, Các Tiểu Vương Quốc Ả Rập Thống Nhất (UAE) và Bolivia. Những lĩnh vực bị nhắm đến nhiều nhất là quốc phòng, giao thông vận tải và ngoại giao.

Các nhà nghiên cứu từ Trellix và Zscaler ThreatLabz đều đánh giá cao mức độ tinh vi của chiến dịch, với việc sử dụng dịch vụ đám mây hợp pháp để làm kênh liên lạc và kỹ thuật fileless để tránh để lại dấu vết trên ổ đĩa.

APT28, còn được biết đến với các tên Fancy Bear, Forest Blizzard hay Sofacy, từ lâu đã nổi tiếng với các cuộc tấn công mạng. Tốc độ vũ khí hóa lỗ hổng chỉ trong vòng vài ngày cho thấy khả năng phản ứng cực nhanh của nhóm này, thu hẹp đáng kể khoảng thời gian mà các tổ chức cần có để vá hệ thống.

Microsoft đã đưa ra bản vá khẩn cấp cho các phiên bản Office 2016, 2019, 2021, 2024 và Microsoft 365. Người dùng các phiên bản mới hơn sẽ nhận cập nhật tự động nhưng cần khởi động lại ứng dụng để bảo vệ có hiệu lực đầy đủ. Với các phiên bản cũ, việc cài đặt thủ công là bắt buộc.

Công ty cũng cung cấp hướng dẫn chỉnh sửa registry để tạm thời chặn vector tấn công cho đến khi quy trình vá được hoàn tất. Các chuyên gia bảo mật khuyến cáo tổ chức và người dùng cá nhân cần ưu tiên cập nhật ngay lập tức, đồng thời tăng cường kiểm soát e-mail, hạn chế thực thi macro không cần thiết và theo dõi các hành vi bất thường của Outlook.