Zensec, một tổ chức nghiên cứu an ninh mạng, đã công bố chi tiết về một chiến dịch tấn công chuỗi cung ứng phức tạp. Chiến dịch này đã khai thác hạ tầng Remote Monitoring and Management (RMM) đáng tin cậy để triển khai mã độc ransomware tại nhiều tổ chức ở Vương quốc Anh trong giai đoạn đầu năm 2025.

Cuộc điều tra đã tiết lộ cách hai nhóm ransomware-as-a-service (RaaS) nổi bật đã khai thác các lỗ hổng nghiêm trọng trong phần mềm SimpleHelp RMM. Mục tiêu là xâm nhập vào các khách hàng hạ nguồn thông qua các nhà cung cấp dịch vụ quản lý (MSP) của họ.

Khai thác Lỗ hổng SimpleHelp RMM

Các cuộc tấn công tập trung vào ba lỗ hổng nghiêm trọng trong nền tảng SimpleHelp RMM:

• CVE-2024-57726
• CVE-2024-57727
• CVE-2024-57728

SimpleHelp được các MSP và nhà cung cấp phần mềm triển khai rộng rãi để quản lý các điểm cuối từ xa. Khi không được vá lỗi, nền tảng này đã trở thành cửa ngõ cho kẻ tấn công.

Cấu hình mặc định của SimpleHelp chạy với đặc quyền cấp SYSTEM. Điều này cấp cho các tác nhân đe dọa quyền kiểm soát không giới hạn đối với mạng của nạn nhân sau khi bị xâm nhập.

Khả năng này cho phép kẻ tấn công vượt qua các kiểm soát bảo mật truyền thống và di chuyển ngang (lateral movement) với rất ít trở ngại. Mặc dù nhà cung cấp SimpleHelp đã phát hành các bản vá và phân loại các lỗ hổng này là nghiêm trọng, nhiều tổ chức vẫn trở thành nạn nhân của việc khai thác trong quý 1 và quý 2 năm 2025.

Các máy chủ RMM bị xâm nhập đóng vai trò là các điểm dàn dựng đặc quyền. Chúng cho phép kẻ tấn công tiếp cận môi trường khách hàng hạ nguồn thông qua các kênh quản lý hợp pháp mà các công cụ bảo mật vốn dĩ tin cậy. Đây là một điểm yếu cốt lõi trong mô hình tấn công chuỗi cung ứng này.

Chiến dịch Ransomware Medusa

Nhóm mã độc ransomware Medusa đã dàn dựng một chiến dịch phối hợp nhắm mục tiêu vào nhiều tổ chức ở Vương quốc Anh trong quý 1 năm 2025.

Chi tiết Triển khai và Kỹ thuật Né tránh

Sau khi có quyền truy cập ban đầu thông qua các phiên bản SimpleHelp bị xâm nhập, kẻ tấn công đã triển khai PDQ Inventory và PDQ Deploy trong khoảng một nửa số sự cố được quan sát.

Các công cụ quản lý CNTT hợp pháp này đã bị vũ khí hóa để thực thi các tải trọng ransomware. Các tệp thực thi được đặt tên là Gaze.exe hoặc các tệp thực thi cụ thể theo tổ chức, được phân tán trên toàn mạng nạn nhân.

Các nhà điều hành Medusa đã thể hiện các kỹ thuật né tránh phòng thủ tinh vi. Họ sử dụng các lệnh PowerShell được mã hóa base64 đẩy qua PDQ Deploy để vô hiệu hóa Microsoft Defender và cấu hình các loại trừ.

powershell -EncodedCommand JABhAHQAdABhAGMAawBlAHIAPQAiAG0AZQBkAHUAcwBhACIAOwAgACQAcwBhAGMAawAgAD0AIgBjAG0AZABsAGUAdAAiADsAIA...

Các công cụ trinh sát mạng như netscan.exe đã cho phép các tác nhân đe dọa liệt kê các máy chủ và ưu tiên các mục tiêu có giá trị cao, bao gồm bộ điều khiển miền, máy chủ tệp và hạ tầng sao lưu.

Rò rỉ và Đánh cắp Dữ liệu

Rò rỉ dữ liệu đã xảy ra trong khoảng 50% số sự cố Medusa được phân tích, sử dụng RClone được đổi tên thành lsp.exe để né tránh phát hiện.

Công cụ exfiltration này được cấu hình với các bộ lọc cụ thể, nhắm mục tiêu các tệp trên 1500 ngày tuổi và dưới 1500MB. Điều này tối ưu hóa việc đánh cắp dữ liệu người dùng trong khi tránh các tệp quá lớn không cần thiết.

Kẻ tấn công đã xóa có hệ thống các tệp cấu hình RClone sau khi exfiltration để cản trở điều tra pháp y. Mã độc ransomware đã mã hóa các hệ thống với phần mở rộng .MEDUSA và thả các ghi chú đòi tiền chuộc có tiêu đề !!!READ_ME_MEDUSA!!!.txt trên các máy bị nhiễm.

Mô hình tống tiền kép của Medusa được thể hiện thông qua trang web rò rỉ dữ liệu của chúng. Nạn nhân xuất hiện với các gói bằng chứng (proof-of-life) bao gồm ảnh chụp màn hình, bản xem trước tài liệu và cây tệp có thể duyệt được, được thiết kế để gây áp lực buộc các tổ chức phải trả tiền.

Chiến dịch Ransomware DragonForce

DragonForce, một nhóm ransomware-as-a-service tương đối mới được thành lập vào năm 2023, đã thực hiện các chiến dịch tương tự trong quý 2 năm 2025.

Phương pháp của họ phản ánh vectơ truy cập ban đầu của Medusa thông qua các phiên bản SimpleHelp bị xâm nhập, mặc dù việc thực thi chiến thuật của họ khác nhau ở các lĩnh vực chính.

Chi tiết Tấn công và Duy trì Truy cập

Sau khi thiết lập quyền truy cập thông qua việc xâm nhập RMM, các nhà điều hành DragonForce đã cài đặt AnyDesk để kiểm soát tương tác và tạo các tài khoản quản trị viên cục bộ tên admin để duy trì quyền truy cập (persistence).

Nhóm này đặc biệt quan tâm đến hạ tầng sao lưu, thực thi các script thu thập thông tin xác thực như Get-Veeam-Creds.ps1 để trích xuất thông tin xác thực plaintext từ các kho mật khẩu SQL và tệp cấu hình của Veeam.

# Ví dụ đoạn mã PowerShell giả định để thu thập thông tin Veeam
Get-ChildItem -Path C:ProgramDataVeeamBackup -Recurse -Include *.xml, *.bak | ForEach-Object {
    Get-Content $_.FullName | Select-String -Pattern "password" -Context 0,1
}

Kỹ thuật Exfiltration và Mã hóa

Phương pháp exfiltration của DragonForce ưu tiên Restic, một công cụ sao lưu mã nguồn mở, hơn RClone. Kẻ tấn công đã cấu hình Restic để chuyển dữ liệu đến các điểm cuối lưu trữ tương thích S3, đặc biệt tận dụng hạ tầng lưu trữ đám mây Wasabi.

Cách tiếp cận này đã tạo ra các bản sao lưu ngoài trang web trái phép dưới sự kiểm soát của kẻ tấn công. Tải trọng ransomware nhắm mục tiêu các tệp Hyper-V VHDX và mã hóa các hệ thống với phần mở rộng *.dragonforce_encrypted.

Tên tệp bị che khuất bằng các chuỗi ký tự ngẫu nhiên khớp với độ dài tên tệp gốc. Ghi chú đòi tiền chuộc có tiêu đề readme.txt hướng dẫn nạn nhân liên hệ với nhà điều hành qua trò chuyện TOX ID. DragonForce duy trì cả blog công khai cho danh sách nạn nhân ban đầu và một trang web rò rỉ dữ liệu nơi các tệp bị đánh cắp có thể duyệt và tải xuống.

Bài học về An ninh Chuỗi Cung ứng và Khuyến nghị

Các chiến dịch này làm sáng tỏ một lỗ hổng cơ bản trong hệ sinh thái CNTT hiện đại: các tổ chức chỉ an toàn khi nhà cung cấp ít được bảo vệ nhất của họ an toàn. Khi hạ tầng RMM của bên thứ ba đáng tin cậy bị xâm nhập, kẻ tấn công sẽ thừa hưởng các kênh truy cập hợp pháp.

Các kênh này có thể vượt qua các biện pháp phòng thủ chu vi và né tránh việc giám sát bảo mật được thiết kế để phát hiện các kết nối bất thường. Việc khai thác các lỗ hổng SimpleHelp bất chấp các bản vá có sẵn nhấn mạnh những thách thức dai dẳng trong an ninh chuỗi cung ứng và quản lý bản vá trong các mối quan hệ kinh doanh liên kết.

Cả Medusa và DragonForce đều tận dụng mô hình tin cậy này, biến các công cụ quản lý MSP thành vũ khí để triển khai ransomware và đánh cắp dữ liệu. Sự kiện này là một minh chứng rõ ràng cho nguy cơ từ các cuộc tấn công chuỗi cung ứng.

Hành động Khuyến nghị

Các tổ chức phải khẩn trương thực hiện kiểm tra các công cụ truy cập từ xa của bên thứ ba, xác minh trạng thái bản vá của nhà cung cấp, triển khai phân đoạn mạng để hạn chế di chuyển ngang và tăng cường giám sát các hoạt động RMM bất thường.

Các cuộc tấn công chuỗi cung ứng được Zensec ghi nhận cho thấy rằng bảo mật chu vi đơn thuần là không đủ bảo vệ khi các nền tảng quản lý đáng tin cậy trở thành hạ tầng của đối thủ.