Trong khoảng thời gian từ ngày 1 tháng 6 đến ngày 31 tháng 8 năm 2025, các tác nhân đe dọa đã đẩy nhanh đáng kể tốc độ thâm nhập vào mạng lưới doanh nghiệp. Thời gian trung bình từ lần xâm nhập ban đầu đến khi di chuyển ngang – được gọi là “breakout time” – đã giảm xuống chỉ còn 18 phút. Tốc độ này cho thấy mức độ nguy hiểm của mối đe dọa mạng hiện tại.

Đáng chú ý, các nhà điều hành mã độc tống tiền Akira đã di chuyển ngang chỉ trong sáu phút sau khi xâm nhập vào một VPN SonicWall. Tốc độ nhanh chóng này nhấn mạnh sự cần thiết cấp bách của các tổ chức trong việc khắc phục những khoảng trống trong khả năng phát hiện và tự động hóa các quy trình phản ứng.

Các Phương Thức Truy Cập Ban Đầu Phổ Biến

Các cuộc xâm nhập thông qua drive-by compromise vẫn là điểm vào hàng đầu, chiếm 34% tổng số sự cố. Điều này được thúc đẩy mạnh mẽ bởi chiến dịch “Oyster” (hay còn gọi là Broomstick) đang hoạt động tích cực.

Chiến Dịch Oyster (Broomstick) và SEO Poisoning

Những kẻ tấn công Oyster sử dụng kỹ thuật đầu độc SEO (SEO poisoning) và quảng cáo độc hại (malvertising) để lôi kéo nạn nhân đến các trang web tải xuống công cụ IT bị Trojan hóa, điển hình như puttysystems[.]com.

Các trang web này phát tán backdoor thông qua các tệp DLL độc hại (ví dụ: twain_96.dll). Sau đó, chúng thực thi các tệp này bằng cách sử dụng các tệp nhị phân Windows đáng tin cậy như Rundll32.exe để duy trì sự ẩn mình và bền bỉ trong hệ thống.

Sự Gia Tăng của Tấn Công Dựa Trên USB

Mặc dù drive-by compromise vẫn là chiến thuật truy cập ban đầu chủ đạo, các cuộc tấn công mạng dựa trên USB đang gia tăng đáng kể. Các sự cố liên quan đến mã độc “Gamarue” ngày càng trở nên phổ biến.

Chiến dịch Oyster chiếm 45% các sự cố được xác nhận trong giai đoạn này, tăng mạnh từ 2,17% trong quý trước. Kỹ thuật đầu độc SEO tự động của chiến dịch này minh họa cách AI và tự động hóa giúp các tác nhân đe dọa mở rộng và tinh chỉnh các cuộc tấn công với ít nỗ lực thủ công nhất.

Kỹ Thuật Di Chuyển Ngang và Chiếm Quyền Kiểm Soát

Giao thức RDP (Remote Desktop Protocol) vẫn là kỹ thuật di chuyển ngang hàng đầu, được sử dụng trong hơn 50% các trường hợp. Tuy nhiên, các hoạt động mã độc tống tiền dựa trên SMB (Server Message Block) đã tăng gần gấp ba, từ 10% lên 29%.

Ransomware Dựa Trên SMB: Akira và Mã Hóa Từ Xa

Các biến thể ransomware như Akira khai thác thông tin xác thực bị đánh cắp để truy cập các chia sẻ tệp mạng và thực hiện mã hóa từ xa. Thông qua việc sử dụng SMB, kẻ tấn công hoàn toàn bỏ qua các biện pháp phòng thủ tại điểm cuối, mã hóa dữ liệu trên các máy chủ tệp một cách âm thầm.

Trong một sự cố Akira được ghi nhận, những kẻ điều hành đã thực hiện mã hóa từ xa chỉ trong vòng 19 phút sau khi đăng nhập ban đầu. Những chiến thuật này cho thấy một lỗ hổng nghiêm trọng trong bảo mật tập trung vào điểm cuối: các cuộc tấn công bỏ qua điểm cuối đòi hỏi các biện pháp bảo vệ cấp độ mạng và giám sát liên tục hoạt động chia sẻ tệp. Nguồn tham khảo chi tiết có thể được tìm thấy tại ReliaQuest Blog.

Thiết Bị IP-KVM Trái Phép: Cổng Sau Thầm Lặng

Các thiết bị bàn phím, video và chuột qua IP (IP-KVM) trái phép đã tăng vọt 328% trong kỳ báo cáo này. Những công cụ phần cứng này, thường được triển khai trong các môi trường bảo mật cao hoặc air-gapped, tạo ra các đường dẫn truy cập ngoài băng tần (out-of-band) có khả năng né tránh các giải pháp EDR truyền thống.

Các tác nhân từ cấp quốc gia (chiếm 56,7% các trường hợp) tận dụng IP-KVM như TinyPilot để xâm nhập vào các mạng có khả năng hiển thị điểm cuối bị hạn chế. Ngay cả những người nội bộ vô tình cũng gây ra rủi ro khi sử dụng IP-KVM để bỏ qua các kiểm soát của doanh nghiệp.

Một trường hợp vào tháng 8 cho thấy một thiết bị JetKVM được gắn hai lần trên một máy trạm. Điều này cho phép những kẻ tấn công bên ngoài khởi động lại máy chủ, cài đặt backdoor và đánh cắp dữ liệu – tất cả đều không bị phát hiện cho đến khi tính năng giám sát cấp độ phần cứng được kích hoạt. Đây là một ví dụ rõ nét về mối đe dọa mạng tiềm ẩn từ phần cứng vật lý.

Vai Trò của Tự Động Hóa và AI trong Mối Đe Dọa Hiện Tại

Tự động hóa và AI đang định hình lại bối cảnh đe dọa. Mã độc tống tiền GLOBAL hiện cung cấp chatbot đàm phán được hỗ trợ bởi AI và bảng điều khiển quản lý di động cho các chi nhánh. Nguồn tham khảo: GBHackers.

Trong khi đó, kỹ thuật đầu độc SEO của Oyster được tự động hóa hoàn toàn để tạo ra các trang giả mạo một cách thuyết phục trên quy mô lớn. Những đổi mới này rút ngắn thời gian phản ứng và tăng độ chính xác, buộc các nhà phòng thủ phải áp dụng tự động hóa bổ sung cho việc phát hiện và ngăn chặn.

Tình Hình Ransomware và Infostealer

Hoạt động ransomware đã chứng kiến sự sụt giảm 4,52% tổng số nạn nhân được liệt kê trên các trang web rò rỉ dữ liệu trong kỳ báo cáo này. Akira, “SafePay” và “Play” có mức tăng trưởng chậm hơn, với số lượng nạn nhân giảm lần lượt là 9,42%, 23,14% và 35,54%.

Hoạt động infostealer giảm tổng thể do vụ triệt phá Lumma vào tháng 5. Tuy nhiên, Lumma đã phục hồi khi kẻ tấn công phân phối nó thông qua phần mềm bẻ khóa và các mồi nhử lừa đảo “ClickFix”. Các infostealer mới như Acreed, Vidar và Stealc đang đa dạng hóa các phương pháp đánh cắp thông tin xác thực, nhấn mạnh sự cần thiết của các kiểm soát SaaS và đám mây mạnh mẽ.

Khai Thác Lỗ Hổng và Các CVE Quan Trọng

Mặc dù các chiến thuật dựa trên AI mới xuất hiện, nhiều vụ xâm nhập thành công vẫn khai thác các hệ thống chưa được vá lỗi hoặc cấu hình sai, thay vì các lỗ hổng zero-day.

• Akira đã khai thác một lỗ hổng CVE của VPN SonicWall (CVE-2024-40766) để đạt được breakout time sáu phút. Thông tin chi tiết về lỗ hổng SonicWall có thể được tìm thấy tại GBHackers.
• Qilin đã nhắm mục tiêu vào các lỗ hổng Fortinet FortiGate (CVE-2024-55591 và CVE-2024-21762) để xâm nhập 26 công ty tiện ích trong giai đoạn này. Đối với CVE-2024-21762, đây là một lỗ hổng nghiêm trọng được ghi nhận. Nguồn tham khảo về CVE này: NVD.NIST.gov.

Chỉ Số Thỏa Hiệp (IOCs) Nổi Bật

Dựa trên các chiến dịch được đề cập, dưới đây là một số chỉ số thỏa hiệp (IOCs) cần chú ý:

• Domain độc hại:puttysystems[.]com (liên quan đến chiến dịch Oyster)
• Tệp DLL độc hại:twain_96.dll (được sử dụng bởi Oyster để phân tán backdoor)
• Tác nhân đe dọa/Ransomware: Akira, Oyster (Broomstick), Gamarue, GLOBAL, SafePay, Play, Lumma, Acreed, Vidar, Stealc, Qilin.
• Thiết bị độc hại: TinyPilot, JetKVM (liên quan đến tấn công IP-KVM)

Chiến Lược Phòng Ngừa và Ứng Phó Tối Ưu

Để vượt qua những kẻ thù di chuyển nhanh nhất hiện nay, các tổ chức phải:

• Đẩy nhanh khả năng phát hiện: Nhanh chóng xác định các dấu hiệu xâm nhập để giảm thiểu breakout time.
• Tự động hóa phản ứng: Triển khai các giải pháp tự động để ngăn chặn và cô lập các cuộc tấn công mạng ngay lập tức.
• Nâng cao vệ sinh bảo mật: Đảm bảo hệ thống được vá lỗi thường xuyên, cấu hình an toàn và thực hiện các biện pháp kiểm soát truy cập mạnh mẽ.
• Giám sát mạng và điểm cuối toàn diện: Kết hợp giám sát cấp độ mạng với khả năng hiển thị điểm cuối để bao quát các vectơ tấn công đa dạng.

Các tổ chức sử dụng tính năng ngăn chặn tự động của ReliaQuest GreyMatter đã thấy thời gian trung bình để ngăn chặn (MTTC) giảm từ 11,99 giờ xuống còn 4,49 phút. Trong thời đại khi các tác nhân đe dọa có thể chuyển từ xâm nhập sang chiếm quyền kiểm soát toàn mạng chỉ trong chưa đầy 20 phút, việc phát hiện nhanh chóng, phản ứng tự động và vệ sinh bảo mật chặt chẽ là những cách duy nhất để duy trì ưu thế trước mối đe dọa mạng luôn biến đổi.