Các công cụ Quản lý và Giám sát Từ xa (Remote Monitoring and Management – RMM) đóng vai trò xương sống trong các hoạt động IT hiện đại. Chúng là công cụ thiết yếu mà các chuyên gia bảo mật sử dụng hàng ngày để vá hệ thống, khắc phục sự cố và quản lý toàn bộ mạng lưới từ bất kỳ đâu. Tuy nhiên, chính những tính năng mang lại tốc độ, khả năng kiểm soát và sự tiện lợi này đã biến RMM thành mục tiêu hàng đầu cho các chiến dịch mối đe dọa mạng của tội phạm không gian mạng.

Những công cụ này, vốn được thiết kế để mang lại lợi ích, giờ đây đang trở thành một trong những điểm xâm nhập nguy hiểm nhất trong bối cảnh mối đe dọa mạng hiện tại. Điều này đòi hỏi một sự thay đổi cơ bản trong cách các tổ chức tiếp cận bảo mật hệ thống.

Sự Gia Tăng Đáng Báo Động của Lạm Dụng Công Cụ RMM

Quy mô của vấn đề này ngày càng lớn và không thể bỏ qua. Báo cáo Tình hình Đe dọa Mạng năm 2026 của Huntress đã ghi nhận mức tăng đáng kinh ngạc là 277% trong việc lạm dụng RMM vào năm 2025. Con số này phản ánh một xu hướng nguy hiểm, nơi kẻ tấn công thay đổi chiến thuật từ các cuộc tấn công bên ngoài truyền thống.

Thay vì chỉ cố gắng triển khai mã độc hoặc vượt qua tường lửa, các tác nhân độc hại giờ đây lợi dụng chính các công cụ đáng tin cậy của doanh nghiệp. Mục tiêu là biến công cụ IT thành vũ khí chống lại các tổ chức phụ thuộc vào chúng.

Bằng cách khai thác phần mềm quản lý từ xa hợp pháp, đã được cài đặt sẵn, kẻ tấn công có thể đạt được quyền truy cập “hands-on-keyboard” (HOK) vào môi trường của nạn nhân. Quyền truy cập HOK mang lại khả năng kiểm soát trực tiếp và sâu rộng, cho phép kẻ tấn công thực hiện các hành động độc hại như một quản trị viên nội bộ mà không gây ra cảnh báo đỏ ngay lập tức.

Các nhà phân tích của Huntress đã xác định một mô hình quan trọng thúc đẩy xu hướng này: các tệp nhị phân RMM hợp lệ không bị hầu hết các sản phẩm bảo mật coi là độc hại. Điều này gây khó khăn lớn cho việc phát hiện. Các công cụ tiêu chuẩn được thiết kế để phát hiện các chữ ký của mã độc đã biết như ransomware hoặc trojan truy cập từ xa (RAT).

Tuy nhiên, một tệp thực thi RMM hợp pháp không khớp với hồ sơ đó. Do đó, nó có thể dễ dàng vượt qua các lớp phòng thủ, được coi là hoạt động IT thông thường và hợp pháp. Các nhà nghiên cứu của Huntress ghi nhận rằng hơn 50% các trường hợp liên quan đến hoạt động đáng ngờ của Atera RMM có liên quan trực tiếp đến các cuộc tấn công ransomware. Điều này cho thấy rõ ràng nguy cơ từ mối đe dọa mạng này, nơi công cụ hợp pháp bị vũ khí hóa.

Mối đe dọa này leo thang nhanh hơn hầu hết các nhà phòng thủ mong đợi. Một khi kẻ tấn công xâm nhập vào một công cụ RMM, chúng sẽ có được mọi khả năng mà công cụ đó được xây dựng để thực hiện. Điều này bao gồm tự động hóa tác vụ, thực thi lệnh, di chuyển trong mạng, và triển khai ransomware hoặc thực hiện các hành vi độc hại khác như đánh cắp dữ liệu.

Tốc Độ Thiệt Hại và Vector Tấn Công Ban Đầu

Theo Báo cáo Tình hình Đe dọa Mạng năm 2026 của Huntress, khi các công cụ như RustDesk hoặc Atera bị lạm dụng, thiệt hại do ransomware có thể diễn ra chỉ trong vòng một đến hai giờ. Tốc độ này cho phép kẻ tấn công ẩn mình, xuất hiện như một quản trị viên đáng tin cậy, trong khi âm thầm phá bỏ các biện pháp phòng thủ từ bên trong và gây ra tổn thất lớn. Đây là một hình thức tấn công mạng cực kỳ nguy hiểm do tính chất “inside-out” của nó.

Quyền truy cập ban đầu hầu như luôn bắt đầu từ yếu tố con người, làm nổi bật tầm quan trọng của các biện pháp bảo mật dựa trên người dùng. Tấn công lừa đảo (phishing) và kỹ thuật xã hội (social engineering) vẫn là những điểm xâm nhập phổ biến nhất. Kẻ tấn công thường tạo ra các email lừa đảo rất thuyết phục, ví dụ như yêu cầu chữ ký điện tử, thông báo hóa đơn, hoặc các liên kết chia sẻ tệp.

Nạn nhân nhấp vào liên kết, tin rằng họ đang mở một tài liệu thông thường, nhưng thực tế là họ đang cài đặt một tác nhân RMM được kết nối trực tiếp với kẻ tấn công. Ngay khi tác nhân đó được cài đặt, quyền truy cập tương tác trực tiếp (live interactive access) được thiết lập. Bước này cấp cho kẻ tấn công khả năng kiểm soát từ xa hoàn toàn, là nền tảng cho một tấn công mạng quy mô lớn sau đó.

Khai Thác Niềm Tin và Rủi Ro Chuỗi Cung Ứng

Khi đã ở bên trong, kẻ tấn công phụ thuộc rất nhiều vào niềm tin mà các tổ chức đặt vào các công cụ đã được phê duyệt. Hầu hết các đội IT đều cho rằng nếu một công cụ nằm trong danh sách cho phép (allow list), mọi phiên chạy qua nó đều an toàn. Đây chính xác là điều mà kẻ tấn công tận dụng để che giấu hoạt động độc hại của mình.

Trong một trường hợp được Huntress SOC ghi lại, một tác nhân đe dọa đã sử dụng thông tin đăng nhập RMM bị đánh cắp để truy cập vào môi trường của một nhà cung cấp dịch vụ được quản lý (MSP). Kẻ tấn công đã chạy các lệnh liệt kê (enumeration commands) và cố gắng vô hiệu hóa tác nhân Huntress để tránh bị phát hiện.

Vì những thông tin đăng nhập đó thuộc về một kỹ thuật viên hỗ trợ IT, kẻ tấn công có thể đã tiếp cận mọi môi trường khách hàng do MSP đó quản lý nếu vụ xâm nhập không được ngăn chặn trong vòng 12 phút. Điều này cho thấy tính nghiêm trọng của rủi ro bảo mật do lạm dụng RMM, đặc biệt khi liên quan đến thông tin đăng nhập bị đánh cắp.

Trong các kịch bản chuỗi cung ứng, rủi ro nhân lên nhanh chóng. Một tài khoản MSP bị xâm nhập có thể dẫn đến hàng chục, thậm chí hàng trăm, tổ chức bị ảnh hưởng cùng một lúc. Điều này tạo ra một mối đe dọa mạng có quy mô lớn, khó kiểm soát và gây thiệt hại lan rộng.

Một ví dụ đáng chú ý khác là việc các tác nhân đe dọa khai thác các công cụ RMM như ScreenConnect. Những cuộc tấn công này thường nhắm vào lỗ hổng trong quá trình xác thực hoặc lợi dụng thông tin đăng nhập yếu để giành quyền kiểm soát. Thông tin chi tiết về các cuộc tấn công khai thác công cụ ScreenConnect RMM có thể được tìm thấy tại Hackers Exploiting ScreenConnect RMM Tool.

Chiến Lược Phòng Ngừa và Tăng Cường An Ninh Mạng Toàn Diện

Các nhà phòng thủ không thể tiếp tục tin tưởng hoàn toàn vào sự hiện diện của công cụ đã được phê duyệt. Thay vào đó, cần bắt đầu xác minh hành vi — biết rõ người dùng nào kết nối, vào thời điểm nào, từ địa điểm nào và những hành động nào được thực hiện. Bất kỳ phiên nào nằm ngoài đường cơ sở hành vi đã thiết lập đều cần được xem xét kỹ lưỡng ngay lập tức, ngay cả khi công cụ đang chạy nó mang một tên đáng tin cậy. Đây là một bước quan trọng để tăng cường an ninh mạng.

Các tổ chức nên duy trì một danh sách chi tiết và cập nhật thường xuyên của mọi công cụ RMM đã được phê duyệt. Danh sách này cần bao gồm các thông tin kỹ thuật như các băm thực thi (executable hashes) và các điểm cuối kết nối được phép. Việc này giúp các tệp nhị phân không quen thuộc hoặc các kết nối đến các máy chủ không xác định sẽ kích hoạt cảnh báo ngay lập tức, giúp phát hiện sớm mối đe dọa mạng tiềm ẩn.

Đào tạo nâng cao nhận thức bảo mật định kỳ là cần thiết để giúp nhân viên nhận biết các mồi nhử phishing và các kỹ thuật xã hội khác. Việc này giúp ngăn chặn một tác nhân RMM độc hại kịp đặt chân lên máy tính của tổ chức. Nhân viên cần được trang bị kiến thức để phát hiện các dấu hiệu bất thường và tránh trở thành điểm yếu đầu tiên trong chuỗi tấn công.

Cuối cùng, xây dựng văn hóa nơi làm việc khuyến khích báo cáo hoạt động bất thường một cách nhanh chóng có thể thu hẹp khoảng cách giữa lây nhiễm và phát hiện nhanh hơn bất kỳ công nghệ bảo mật đơn lẻ nào. Sự cảnh giác và phản ứng của con người là yếu tố then chốt trong một chiến lược an ninh mạng toàn diện và hiệu quả.

Để biết thêm chi tiết về tình hình lạm dụng RMM, bạn có thể tham khảo bài viết chuyên sâu từ Huntress: RMM Abuse: When IT Convenience Bites Back.