Báo cáo của Trung tâm tình báo các mối đe dọa 360 chỉ rõ, nhóm hacker liên tục tiến hành các cuộc tấn công tình báo với mức độ cao để thu thập hoạt động của quân đội và Chính phủ Ukraine trong năm 2025.

Viber là ứng dụng được hacker nhắm tới để phát tán phần mềm độc hại

Nhóm này cũng từng bị theo dõi với tên Hive0156, chuyên dùng các mồi nhử liên quan tới chiến tranh trong các email giả mạo để phát tán phần mềm độc hại Hijack Loader tấn công các cơ quan Chính phủ Ukraine. Chúng còn mở đường cho Remcos RAT, một loại phần mềm gián điệp truy cập từ xa tiến hành lây nhiễm.

Tác nhân nguy hiểm này lần đầu tiên được Cơ quan ứng phó khẩn cấp máy tính quốc gia Ukraine (CERT-UA) ghi nhận đầu năm 2024. Tiếp theo đó là một loạt chiến dịch tấn công được tiến hành thông qua những ứng dụng nhắn tin như Signal, Telegram, nhằm phát tán phần mềm độc hại.

Phương thức của nhóm UAC-0184 là lợi dụng Viber để phát tán các file zip chứa mã độc, được ngụy trang dưới vỏ bọc là các file Microsoft Word, Excel của Windows, dụ dỗ người dùng mở chúng.

Rồi sau đó, một tệp zip thứ hai được âm thầm tải xuống, đi kèm với đó là Hijack Loader, giúp vượt qua các công cụ bảo mật như Kaspersky, Avast, BitDefender, AVG, Emsisoft, Webroot và Microsoft.

Phần mềm gián điệp Remcos RAT cũng ẩn mình trong hệ thống máy tính cho phép kẻ tấn công chiếm quyền điều khiển, giám sát hoạt động người dùng và đánh cắp dữ liệu nhạy cảm.

Đức Tiến