Một kỹ thuật tấn công mạng tinh vi mới có tên gọi “Ghost Calls” đã được công bố, khai thác các nền tảng hội nghị truyền hình phổ biến để thiết lập các kênh Command-and-Control (C2) bí mật. Phương pháp này biến các công cụ giao tiếp kinh doanh đáng tin cậy thành các con đường ẩn cho tội phạm mạng, tạo ra một mối đe dọa mạng đáng kể.

Tổng quan về Kỹ thuật Tấn công mạng Ghost Calls

Kỹ thuật Ghost Calls được trình bày chi tiết bởi Adam Crosser từ Praetorian tại Black Hat USA 2025. Nó minh họa cách kẻ tấn công có thể lạm dụng giao thức TURN (Traversal Using Relays around NAT). Các nền tảng hội nghị truyền hình lớn như Zoom, Microsoft Teams và Google Meet đều sử dụng giao thức này. Mục đích của cuộc tấn công mạng này là tạo ra các đường hầm tàng hình cho các hoạt động độc hại.

Ghost Calls khai thác sâu vào sự tin cậy vốn có của các doanh nghiệp đối với các giải pháp hội nghị truyền hình. Với Zoom chiếm 55.91% thị phần toàn cầu và Microsoft Teams giữ 32.29%, những nền tảng này đóng vai trò là các kênh liên lạc được tin cậy cao. Điều đáng nói, lưu lượng từ các nền tảng này thường bỏ qua các biện pháp kiểm soát bảo mật mạng truyền thống, bao gồm tường lửa và kiểm tra proxy. Crosser nhấn mạnh trong bài trình bày của mình rằng “Các giải pháp hội nghị truyền hình cung cấp một vector hấp dẫn cho các kênh Command-and-Control bí mật, ngắn hạn.”

Khai thác Giao thức TURN để Chiếm quyền Điều khiển Từ xa

Cơ chế Khai thác Giao thức TURN

Cuộc tấn công mạng Ghost Calls tập trung vào việc khai thác các máy chủ TURN. Đây là các thành phần cơ sở hạ tầng thiết yếu giúp thiết lập và duy trì kết nối giữa người dùng đứng sau tường lửa và các thiết bị NAT. Chức năng chính của TURN là cho phép dữ liệu truyền tải thông qua một máy chủ trung gian khi kết nối trực tiếp không thể thực hiện được. Điều này giúp các ứng dụng giao tiếp thời gian thực như hội nghị truyền hình hoạt động mượt mà.

Điểm đặc biệt nguy hiểm của kỹ thuật này là nhiều tổ chức có chủ đích loại trừ lưu lượng hội nghị truyền hình khỏi các quy trình kiểm tra bảo mật nghiêm ngặt. Cả Microsoft Teams và Zoom đều khuyến nghị cấu hình split tunneling, cho phép lưu lượng này bỏ qua VPN để tối ưu hiệu suất. Thêm vào đó, nhiều chính sách bảo mật miễn trừ các nền tảng này khỏi việc kiểm tra TLS/SSL (decryption) nhằm duy trì chất lượng cuộc gọi. Những yếu tố này tạo điều kiện thuận lợi cho kẻ tấn công thực hiện các hành vi xâm nhập mạng mà không bị phát hiện.

Tính Bền vững của Thông tin Xác thực TURN

Một khía cạnh đáng lo ngại khác của kỹ thuật Ghost Calls là tính bền vững của thông tin xác thực TURN. Các thông tin này thường có giá trị trong vài ngày hoặc thậm chí lâu hơn. Điều này có nghĩa là kẻ tấn công không cần một cuộc họp đang diễn ra hay yêu cầu cài đặt phần mềm độc hại trên hệ thống nạn nhân để duy trì quyền truy cập. Một khi thông tin xác thực TURN được lấy, kẻ tấn công có thể duy trì khả năng chiếm quyền điều khiển và liên lạc với hệ thống bị xâm nhập ngay cả sau khi sự cố ban đầu được giải quyết hoặc nạn nhân đã ngắt kết nối.

Công cụ Chứng minh Khái niệm: TURNt

Để chứng minh khả năng thực thi của tấn công mạng này, các nhà nghiên cứu đã phát triển TURNt (TURN tunneler), một công cụ mã nguồn mở. TURNt là một minh chứng mạnh mẽ cho phép kẻ tấn công thiết lập các kênh C2 bí mật thông qua giao thức TURN. Công cụ này có khả năng thực hiện nhiều chức năng độc hại:

• Chuyển tiếp cổng từ xa (Remote Port Forwarding)
• Chuyển tiếp cổng cục bộ (Local Port Forwarding)
• Proxy SOCKS
• Giao tiếp C2 phi tập trung và bền vững

Điều quan trọng là tất cả các hoạt động được thực hiện bởi TURNt đều xuất hiện dưới dạng lưu lượng hội nghị hợp pháp. Đây là một yếu tố then chốt giúp kỹ thuật tấn công mạng này khó bị phát hiện bởi các công cụ giám sát truyền thống.

Thách thức trong Phát hiện và Biện pháp Đối phó An ninh mạng

Kỹ thuật tấn công Ghost Calls đặt ra những thách thức đáng kể đối với các nhóm an ninh và hệ thống phòng thủ hiện có. Lưu lượng mạng của cuộc tấn công mạng này xuất hiện hợp pháp, sử dụng mã hóa TLS tiêu chuẩn qua cổng 443. Đây là cổng mà hầu hết lưu lượng web an toàn sử dụng, khiến nó gần như không thể phân biệt được với hoạt động hội nghị truyền hình thực sự.

Các phương pháp giám sát truyền thống, vốn tập trung vào thể tích lưu lượng (traffic volume) hoặc mối tương quan quy trình (process correlation), thường tạo ra quá nhiều báo động giả (false positives) khi cố gắng phát hiện kỹ thuật này. Sự khó khăn này buộc các chuyên gia an ninh mạng phải thay đổi cách tiếp cận.

Thay vì cố gắng phát hiện trực tiếp kỹ thuật Ghost Calls, các nhà nghiên cứu khuyến nghị tập trung vào các yếu tố khác của chuỗi tấn công. Các biện pháp đối phó hiệu quả nhằm tăng cường bảo mật mạng bao gồm:

• Triển khai canary tokens: Đây là các mồi nhử kỹ thuật số được thiết kế để phát hiện các nỗ lực truy cập trái phép vào các tài nguyên quan trọng.
• Giám sát các công cụ tấn công cụ thể: Chú ý đến việc sử dụng các công cụ như Impacket hoặc secretsdump.py. Kẻ tấn công có thể sử dụng các công cụ này và proxy chúng thông qua các kênh C2 ẩn được thiết lập bằng Ghost Calls.

Nghiên cứu này làm nổi bật một xu hướng rộng lớn hơn trong các cuộc tấn công mạng: kẻ tấn công đang khai thác các ứng dụng kinh doanh đáng tin cậy để trốn tránh phát hiện. Điều này buộc các nhóm an ninh phải suy nghĩ lại về các chiến lược phòng thủ dựa trên vành đai truyền thống trong kỷ nguyên truyền thông đám mây phổ biến và các ứng dụng SaaS.

Tham khảo thêm về nghiên cứu tại Black Hat USA 2025: Ghost Calls: Abusing Web Conferencing for Covert Command & Control.