Trong bối cảnh các mối đe dọa mạng liên tục thay đổi, những kẻ tấn công ngày càng gia tăng tần suất sử dụng các công cụ Quản lý và Giám sát Từ xa (RMM) hợp pháp. Chúng lợi dụng những công cụ này như vũ khí đa năng, phục vụ cho cả việc thâm nhập ban đầu lẫn duy trì quyền truy cập dai dẳng trong hệ thống mục tiêu.

Các giải pháp phần mềm vốn được các chuyên gia IT triển khai để quản trị hệ thống nay bị tin tặc chiếm dụng. Điều này cho phép chúng kiểm soát từ xa trái phép, đánh cắp dữ liệu, triển khai mã độc tống tiền (ransomware) và thực hiện các cuộc tấn công dựa trên proxy.

Lợi Dụng Công Cụ RMM trong Các Chiến Dịch Tấn Công Mạng

Một chiến dịch gần đây được ghi nhận trong thực tế đã minh chứng rõ xu hướng này. Trong chiến dịch đó, kẻ tấn công đã triển khai đồng thời hai tác nhân RMM là Atera và Splashtop Streamer trong cùng một payload độc hại. Mục tiêu của cách tiếp cận này là đảm bảo tính dự phòng và khả năng phục hồi trước các nỗ lực phát hiện.

Chiến lược này không chỉ khuếch đại sự linh hoạt trong hoạt động của kẻ tấn công mà còn làm phức tạp công tác ứng phó sự cố. Việc gỡ bỏ một phiên bản RMM vẫn để lại phiên bản kia nguyên vẹn, cho phép tiếp tục khai thác hệ thống.

Chi tiết Chuỗi Tấn Công và Kỹ thuật Lừa đảo

Chuỗi tấn công bắt đầu bằng việc chiếm đoạt tài khoản email Microsoft 365 của nạn nhân. Kẻ tấn công khai thác sự tin cậy vào các nền tảng quen thuộc để phân phối các mồi nhử lừa đảo (phishing lures).

Những mồi nhử này được ngụy trang dưới dạng chia sẻ tệp vô hại, lợi dụng tính năng Direct Send của Microsoft 365. Chúng mạo danh thông báo OneDrive, hoàn chỉnh với các biểu tượng thương hiệu và chân trang bảo mật, dụ dỗ người nhận nhấp vào một siêu liên kết.

Liên kết này được cho là dẫn đến một tệp .docx được lưu trữ trên cdn.discordapp[.]com. Discord CDN là một mạng phân phối nội dung miễn phí, thường xuyên bị lạm dụng để phát tán mã độc do tính khả dụng cao và mức độ kiểm soát thấp.

Phương thức Phát tán Payload và Kỹ thuật che giấu

Khi người dùng tương tác, nạn nhân tải xuống một tệp. Tệp này tinh vi thao túng phần mở rộng, thêm .msi vào sau tên tệp .docx dự kiến. Kỹ thuật này giúp lẩn tránh sự kiểm tra thông thường, đồng thời khởi động một quá trình cài đặt có tương tác người dùng cho Atera Agent.

Quá trình cài đặt hiển thị này được kết hợp một cách chiến lược với các cài đặt ngầm dưới nền của Splashtop Streamer và .NET Runtime 8. Cả hai đều được tải xuống từ các miền hợp lệ để ngụy trang thành hoạt động mạng lành tính.

Việc cài đặt có tương tác người dùng tạo ra một vỏ bọc hợp pháp. Trong khi đó, các thành phần được cài đặt ngầm thiết lập các cửa hậu (backdoors) dai dẳng trong hệ thống. Điều này cho phép kẻ tấn công thực hiện các tấn công mạng tiếp theo.

Quyền Truy cập và Khả năng Duy trì Dai dẳng

Khi các công cụ RMM này đi vào hoạt động, chúng cấp cho kẻ tấn công quyền truy cập hệ thống toàn diện. Khả năng này bao gồm ghi nhật ký gõ phím (keystroke logging), truyền tệp và thực thi lệnh từ xa. Tất cả diễn ra mà không có các chỉ dấu xâm nhập (IOCs) ngay lập tức.

Trong trường hợp cụ thể này, cuộc tấn công mạng đã bị chặn đứng trước khi toàn bộ payload được triển khai hoàn chỉnh. Do đó, ý định cuối cùng của kẻ tấn công—dù là mã hóa ransomware, đánh cắp dữ liệu nhạy cảm, hay di chuyển ngang trong mạng—vẫn chỉ là phỏng đoán.

Tuy nhiên, việc sử dụng danh sách người nhận ẩn danh trong email lừa đảo cho thấy một chiến lược nhắm mục tiêu rộng, mang tính cơ hội. Mục tiêu tiềm năng là các doanh nghiệp có lỗ hổng trong các chính sách bảo mật mạng email.

Chiến thuật này phù hợp với khung MITRE ATT&CK, đặc biệt là T1566 (Phishing) và T1219 (Remote Access Software). Nó làm nổi bật cách kẻ thù kết hợp kỹ thuật xã hội với đánh lừa kỹ thuật để vượt qua các hàng rào phòng thủ truyền thống như cổng email và bảo vệ điểm cuối (endpoint protection).

Các Chỉ Dấu Xâm Nhập (IOCs) và Phương pháp Phát hiện Xâm nhập

Việc phát hiện xâm nhập đối với các cuộc tấn công mạng tinh vi như vậy dựa vào phân tích hành vi và phát hiện dị thường. Các phương pháp dựa trên chữ ký ít hiệu quả hơn do các payload lợi dụng các công cụ và máy chủ hợp pháp.

Phân tích Hành vi và Dị thường

• Thay đổi phần mở rộng tệp: Tệp .docx được mời gọi thực chất lại là tệp thực thi .msi. Việc tải xuống tệp này sẽ kích hoạt thực thi tự động, là một chỉ dấu quan trọng.
• Mạo danh dịch vụ đáng tin cậy: Sự giả mạo các dịch vụ đáng tin cậy như OneDrive là một dấu hiệu cảnh báo đỏ.
• Sử dụng nền tảng lưu trữ tệp miễn phí: Kẻ tấn công dựa vào các nền tảng lưu trữ tệp miễn phí cho việc phân phối payload (ví dụ: Discord CDN). Đây là kỹ thuật từng được quan sát trong các chiến dịch trước đây liên quan đến mã độc dựa trên liên kết như Agent Tesla.
• Địa chỉ người nhận không được tiết lộ: Việc địa chỉ người nhận bị ẩn (BCC) thay vì tuân thủ các giao thức chia sẻ tệp tiêu chuẩn cho thấy ý định phân phối hàng loạt.

Vai trò của AI trong Phát hiện và Phòng ngừa

Theo một báo cáo từ Sublime Security, các công cụ dựa trên AI có khả năng tương quan các chỉ dấu này theo thời gian thực. Điều này giúp ngăn chặn việc cài đặt bằng cách gắn cờ các điểm không nhất quán trong metadata của email, metadata của tệp đính kèm và luồng mạng. Xem thêm chi tiết tại: Sublime Security Blog.

Chiến lược Phòng ngừa và Giảm thiểu Rủi ro Bảo mật Mạng

Để giảm thiểu rủi ro từ các loại hình tấn công mạng này, các tổ chức cần áp dụng nhiều biện pháp phòng vệ đa lớp. Việc này đòi hỏi sự kết hợp giữa công nghệ, quy trình và yếu tố con người.

Tăng cường Bảo mật Email

• Thiết lập xác thực đa yếu tố (MFA): Áp dụng MFA cho tất cả các tài khoản email, đặc biệt là trên các nền tảng như Microsoft 365, để ngăn chặn truy cập trái phép ngay cả khi mật khẩu bị lộ.
• Triển khai lọc URL nghiêm ngặt: Sử dụng các giải pháp bảo mật email và gateway web để lọc và chặn các URL độc hại hoặc đáng ngờ trong email.

Giám sát Endpoint và Mạng

• Giám sát cài đặt RMM bất thường: Sử dụng các công cụ Phát hiện và Phản ứng Điểm cuối (EDR) để theo dõi và cảnh báo về các cài đặt RMM mới hoặc bất thường trên các thiết bị. Các cài đặt này có thể là chỉ dấu của một cuộc xâm nhập mạng.
• Kiểm toán phần mềm định kỳ: Thường xuyên kiểm tra các phần mềm đã cài đặt trên hệ thống để phát hiện các ứng dụng không mong muốn hoặc không được phép.
• Giám sát lưu lượng mạng: Giám sát chặt chẽ lưu lượng mạng để phát hiện các phiên truy cập từ xa bất ngờ hoặc lưu lượng truy cập đến các máy chủ Command and Control (C2) đã biết.

Nâng cao Nhận thức Người dùng

• Đào tạo người dùng: Giáo dục người dùng về các mối đe dọa lừa đảo, tầm quan trọng của việc xác minh phần mở rộng tệp và tính xác thực của người gửi email.
• Thực hành an toàn thông tin: Khuyến khích người dùng báo cáo bất kỳ email đáng ngờ nào và không nhấp vào các liên kết hoặc tải xuống tệp từ các nguồn không xác định.

Bằng cách hiểu rõ các chiến thuật tấn công nhiều lớp này, các chuyên gia phòng thủ có thể phá vỡ vòng đời tấn công sớm, từ đó giảm thiểu đáng kể nguy cơ rò rỉ dữ liệu hoặc hệ thống bị chiếm đoạt. Đây là một phần quan trọng trong việc xây dựng một hệ thống an toàn thông tin vững chắc.