Trong nửa đầu năm 2025, nhóm FortiGuard Incident Response đã điều tra hàng chục vụ vi phạm an ninh trên nhiều ngành công nghiệp, chủ yếu do các tác nhân đe dọa có động cơ tài chính gây ra. Điều đáng chú ý là một xu hướng mới trong các tấn công mạng này: những kẻ tấn công đang từ bỏ các phương pháp phức tạp, nặng về mã độc để chuyển sang một cách tiếp cận đơn giản nhưng hiệu quả trong các tấn công mạng.

Họ chỉ đơn thuần đăng nhập bằng thông tin xác thực bị đánh cắp và tận dụng các công cụ truy cập từ xa hợp pháp để hòa nhập vào các hoạt động kinh doanh bình thường. Sự thay đổi này thể hiện một sự chuyển đổi cơ bản trong cách thức hoạt động của tội phạm mạng hiện đại.

Sự Thay Đổi Chiến Thuật của Kẻ Tấn Công Mạng: Lợi Dụng Công Cụ Hợp Pháp

Thay vì triển khai các phần mềm độc hại tinh vi hoặc khai thác lỗ hổng zero-day, các đối thủ có động cơ tài chính đang vũ khí hóa các công cụ mà những người phòng thủ thường bỏ qua: các tài khoản người dùng hợp lệ và phần mềm quản lý từ xa.

Những phát hiện này phù hợp chặt chẽ với dữ liệu từ Báo cáo Tình báo Đe dọa FortiRecon H1 2025, cho thấy xu hướng lộ thông tin xác thực bên ngoài phản ánh những gì được quan sát thấy trong các hoạt động ứng phó sự cố tích cực trên các lĩnh vực công nghiệp đa dạng. Bạn có thể tìm hiểu thêm về xu hướng này tại blog của Fortinet.

Vector Truy Cập Ban Đầu: Thông Tin Xác Thực Bị Đánh Cắp với Chi Phí Thấp

Vector truy cập ban đầu trong hầu hết các trường hợp được điều tra đều theo một kịch bản nhất quán. Những kẻ tấn công có được thông tin xác thực hợp lệ thông qua các chiến dịch lừa đảo thu thập thông tin xác thực (credential-harvesting phishing campaigns), khai thác việc sử dụng lại mật khẩu, hoặc mua các tài khoản bị xâm nhập từ các Nhà môi giới Truy cập Ban đầu (Initial Access Brokers) với mức giá cực kỳ thấp.

Đối với các tổ chức có doanh thu dưới 100 triệu USD, thông tin xác thực bị đánh cắp có giá chỉ từ 100-500 USD tại các nền kinh tế mới nổi. Điều này làm cho vector tấn công mạng này trở nên hấp dẫn về mặt kinh tế đối với các tác nhân đe dọa.

Duy Trì Quyền Truy Cập và Di Chuyển Ngang: Lạm Dụng Công Cụ Quản Lý Từ Xa

Sau khi đã thâm nhập vào mạng lưới nạn nhân, những kẻ tấn công tận dụng các dịch vụ VPN được cấu hình mà không có xác thực đa yếu tố (MFA) để thiết lập chỗ đứng vững chắc. Một phát hiện đặc biệt đáng báo động là việc sử dụng rộng rãi các công cụ quản lý từ xa hợp pháp như AnyDesk, Splashtop, Atera và ScreenConnect.

Các công cụ này thường được cài đặt song song với các phiên bản hợp pháp để duy trì quyền truy cập dai dẳng (persistence). Kỹ thuật này tỏ ra cực kỳ hiệu quả vì các nhóm bảo mật thường gặp khó khăn trong việc phân biệt việc triển khai công cụ độc hại với các hoạt động CNTT hợp pháp. Ví dụ, một lỗ hổng trong AnyDesk có thể cho phép truy cập quản trị viên, như đã được báo cáo tại GBHackers.

Điều làm cho các cuộc xâm nhập này khác biệt là cách tiếp cận thủ công, do người điều khiển thực hiện. Các tác nhân đe dọa di chuyển một cách có phương pháp trong mạng bằng cách sử dụng các công cụ tích hợp sẵn như RDP, SMB và WinRM, thực hiện các hoạt động trinh sát giống như hoạt động quản trị thông thường, che giấu mục đích tấn công mạng của chúng.

Nghiên Cứu Điển Hình: Che Giấu Xâm Nhập Trong Lưu Lượng Hợp Pháp

Trong một trường hợp đáng chú ý, một đối thủ với thông tin xác thực quản trị viên miền bị đánh cắp đã truy cập VPN của nạn nhân mà không có MFA. Sau đó, kẻ tấn công đã triển khai AnyDesk trên các hệ thống thông qua Group Policy và các phiên RDP, che giấu hiệu quả cuộc xâm nhập trong lưu lượng mạng CNTT hợp pháp. Đây là một chiến thuật tấn công mạng rất khó bị phát hiện.

Đánh Cắp Dữ Liệu Tinh Vi

Việc đánh cắp dữ liệu cũng theo một mô hình tương tự, ít gây chú ý. Thay vì sử dụng các cơ chế xuất dữ liệu tự động kích hoạt cảnh báo phát hiện, những kẻ tấn công đã sử dụng khả năng kéo và thả (drag-and-drop) trong các công cụ quản lý từ xa để chuyển dữ liệu nhạy cảm trực tiếp đến cơ sở hạ tầng của chúng một cách thủ công.

Cách tiếp cận này để lại rất ít dấu vết pháp y (forensic artifacts), làm cho việc phát hiện trở nên khó khăn hơn đáng kể so với các kỹ thuật xuất dữ liệu truyền thống. Đây là một rủi ro bảo mật lớn mà nhiều tổ chức đang phải đối mặt.

Khoảng Cách Phòng Thủ Quan Trọng và Rủi Ro Bảo Mật

Sự phổ biến của phương pháp tấn công mạng này phản ánh một khoảng cách phòng thủ nghiêm trọng. Tính tàng hình là tối quan trọng — hoạt động của đối thủ xuất hiện không thể phân biệt được với hành vi người dùng hợp pháp, trừ khi các nhóm bảo mật duy trì các đường cơ sở hành vi nghiêm ngặt và khả năng phát hiện bất thường (anomaly detection).

Hầu hết các giải pháp phát hiện và phản hồi điểm cuối (EDR) tập trung vào chữ ký mã độc và hành vi điểm cuối, thay vì các bất thường dựa trên danh tính trải rộng trên nhiều hệ thống.

Ngoài ra, rào cản kỹ năng thấp để thực hiện làm cho các cuộc tấn công mạng này có thể tiếp cận rộng rãi. Một kẻ tấn công với thông tin xác thực bị đánh cắp chỉ cần kiến thức kỹ thuật tối thiểu để đạt được mục tiêu, chỉ yêu cầu hiểu biết về truy cập VPN và điều hướng RDP cơ bản.

Kết hợp với khả năng chi trả của thông tin xác thực trên thị trường ngầm, điều này tạo ra một điểm vào hấp dẫn cho các tác nhân đe dọa ở các cấp độ tinh vi khác nhau. Việc hiểu rõ những rủi ro bảo mật này là then chốt để xây dựng hệ thống phòng thủ vững chắc.

Hướng Tới Các Chiến Lược Bảo Mật Mạng Tập Trung Vào Danh Tính

Phòng thủ hiệu quả đòi hỏi một sự thay đổi cơ bản theo hướng các chiến lược an ninh tập trung vào danh tính. Các tổ chức phải thực thi xác thực đa yếu tố (MFA) trên tất cả các điểm truy cập, bao gồm mạng nội bộ và cơ sở hạ tầng VPN.

Giám sát hành vi (Behavioral monitoring) nên gắn cờ các kịch bản di chuyển bất khả thi (impossible travel scenarios), đăng nhập đồng thời vào nhiều hệ thống và các mẫu truy cập không nhất quán với hoạt động bình thường. Đây là một yếu tố quan trọng trong việc tăng cường bảo mật mạng.

Ngoài ra, việc hạn chế và giám sát rõ ràng các công cụ quản lý từ xa — kết hợp với các cơ chế phát hiện việc triển khai và hoạt động mạng của chúng — cung cấp khả năng hiển thị quan trọng vào các hoạt động độc hại.

Sự thật khó chịu được củng cố bởi những cuộc điều tra này vẫn không thay đổi: vụ vi phạm nguy hiểm nhất thường không phải là một vụ vi phạm nào cả, mà chỉ đơn thuần là một kẻ tấn công đăng nhập thành công bằng thông tin xác thực bị đánh cắp. Đây chính là một hình thức tấn công mạng tinh vi.