MinhSec
Writer
Một chiến dịch tấn công mạng mới vừa được phát hiện đang nhắm trực tiếp vào lĩnh vực máy bay không người lái của Ukraine, bao gồm các đơn vị quân đội, chuỗi cung ứng quốc phòng và cả các nhóm tình nguyện hỗ trợ chiến trường.
Theo báo cáo từ Synaptic Systems, nhóm đứng sau chiến dịch này được đặt tên là GhostShell (mã theo dõi MB-0009), được cho là đã hoạt động ít nhất từ tháng 2/2026. Điều đáng chú ý là chúng không sử dụng các phương thức lừa đảo thông thường, mà tận dụng chính tài liệu kỹ thuật liên quan đến drone quân sự để đánh lừa mục tiêu.
Cụ thể, GhostShell gửi tới nạn nhân một tệp nén độc hại có tên Besomar_documentation.rar. Khi mở tệp này, một đoạn mã ẩn sẽ âm thầm sao chép vào thư mục khởi động của Windows, cho phép phần mềm độc hại tự động chạy mỗi khi máy tính được bật lên.
Trong khi đó, để che giấu hành vi, nạn nhân sẽ thấy các tệp PDF hoàn toàn bình thường, được viết bằng tiếng Ukraine và giả mạo là tài liệu kỹ thuật từ Besomar một công ty có thật chuyên sản xuất drone quân sự. Chính yếu tố “thật như thật” này khiến bẫy trở nên cực kỳ khó phát hiện.
Trong đó, tệp 122.exe hoạt động như một công cụ gián điệp, có khả năng chụp ảnh màn hình, thu thập tên thiết bị và gửi dữ liệu về máy chủ từ xa. Tệp update.exe thì tinh vi hơn khi ngụy trang thành một dịch vụ bảo mật chính thức của Windows nhằm tránh bị nghi ngờ.
Nguy hiểm nhất là tệp 22.exe, chứa biến thể mới của phần mềm đánh cắp dữ liệu nổi tiếng Vidar. Loại mã độc này có thể thu thập mật khẩu trình duyệt, lịch sử truy cập Internet và thậm chí cả thông tin ví tiền điện tử.
Theo các chuyên gia, chiến dịch lần này cho thấy xu hướng tấn công mạng đang ngày càng tinh vi hơn, đặc biệt khi kẻ tấn công biết cách lợi dụng đúng bối cảnh chiến tranh và tâm lý tin tưởng vào tài liệu nội bộ để xâm nhập.
Dù hiện chưa có bằng chứng trực tiếp quy trách nhiệm cho bất kỳ quốc gia nào, GhostShell đang được theo dõi như một nhóm tội phạm mạng có tổ chức cao và được đánh giá là mối đe dọa mới đáng lo ngại đối với hệ sinh thái quốc phòng số của Ukraine.
Theo báo cáo từ Synaptic Systems, nhóm đứng sau chiến dịch này được đặt tên là GhostShell (mã theo dõi MB-0009), được cho là đã hoạt động ít nhất từ tháng 2/2026. Điều đáng chú ý là chúng không sử dụng các phương thức lừa đảo thông thường, mà tận dụng chính tài liệu kỹ thuật liên quan đến drone quân sự để đánh lừa mục tiêu.
Cụ thể, GhostShell gửi tới nạn nhân một tệp nén độc hại có tên Besomar_documentation.rar. Khi mở tệp này, một đoạn mã ẩn sẽ âm thầm sao chép vào thư mục khởi động của Windows, cho phép phần mềm độc hại tự động chạy mỗi khi máy tính được bật lên.
Trong khi đó, để che giấu hành vi, nạn nhân sẽ thấy các tệp PDF hoàn toàn bình thường, được viết bằng tiếng Ukraine và giả mạo là tài liệu kỹ thuật từ Besomar một công ty có thật chuyên sản xuất drone quân sự. Chính yếu tố “thật như thật” này khiến bẫy trở nên cực kỳ khó phát hiện.
Phần mềm gián điệp, đánh cắp ví crypto và theo dõi từ xa
Sau khi xâm nhập thành công, đoạn mã độc sẽ kết nối tới máy chủ điều khiển để tải thêm nhiều thành phần nguy hiểm khác, bao gồm các tệp 122.exe, 22.exe và update.exe.Trong đó, tệp 122.exe hoạt động như một công cụ gián điệp, có khả năng chụp ảnh màn hình, thu thập tên thiết bị và gửi dữ liệu về máy chủ từ xa. Tệp update.exe thì tinh vi hơn khi ngụy trang thành một dịch vụ bảo mật chính thức của Windows nhằm tránh bị nghi ngờ.
Nguy hiểm nhất là tệp 22.exe, chứa biến thể mới của phần mềm đánh cắp dữ liệu nổi tiếng Vidar. Loại mã độc này có thể thu thập mật khẩu trình duyệt, lịch sử truy cập Internet và thậm chí cả thông tin ví tiền điện tử.
Theo các chuyên gia, chiến dịch lần này cho thấy xu hướng tấn công mạng đang ngày càng tinh vi hơn, đặc biệt khi kẻ tấn công biết cách lợi dụng đúng bối cảnh chiến tranh và tâm lý tin tưởng vào tài liệu nội bộ để xâm nhập.
Dù hiện chưa có bằng chứng trực tiếp quy trách nhiệm cho bất kỳ quốc gia nào, GhostShell đang được theo dõi như một nhóm tội phạm mạng có tổ chức cao và được đánh giá là mối đe dọa mới đáng lo ngại đối với hệ sinh thái quốc phòng số của Ukraine.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
