Một chiến dịch social-engineering phức tạp, lợi dụng Microsoft Teams và Windows Quick Assist, đang tiếp tục phát triển, đặt ra một mối đe dọa mạng đáng kể. Các nhà nghiên cứu từ BlueVoyant cảnh báo rằng những kẻ tấn công hiện đang triển khai một họ mã độc mới có tên là A0Backdoor sau khi thuyết phục nhân viên cấp quyền truy cập từ xa.

Diễn Biến Chiến Dịch và Các Nhóm Đứng Sau

Hoạt động này có sự trùng lặp về chiến thuật với Blitz Brigantine, còn được theo dõi dưới tên Storm-1811, một nhóm có động cơ tài chính mà Microsoft đã liên kết với các chiến dịch mã độc ransomware Black Basta.

Chiến dịch tấn công mạng này cho thấy sự tinh vi trong việc cập nhật công cụ và phương thức chỉ huy và kiểm soát (C2) để né tránh phát hiện.

Kỹ Thuật Social Engineering và Chiếm Quyền Truy Cập Ban Đầu

Mồi Nhử Email và Giả Mạo Hỗ Trợ IT

Theo BlueVoyant, các cuộc tấn công thường bắt đầu bằng hình thức ’email bombing’, nơi mục tiêu bị ngập trong các tin nhắn rác.

Sau đó, một kẻ tấn công giả mạo làm nhân viên hỗ trợ IT nội bộ sẽ liên hệ qua Microsoft Teams. Kẻ tấn công đề nghị giúp khắc phục sự cố email và thuyết phục nhân viên khởi chạy Quick Assist, một công cụ hỗ trợ từ xa hợp pháp của Microsoft cho phép chia sẻ màn hình và chiếm quyền điều khiển thiết bị.

Microsoft trước đây đã cảnh báo rằng Storm-1811 sử dụng cùng phương pháp này, gửi tin nhắn và cuộc gọi Teams từ các tài khoản giả mạo của bộ phận trợ giúp trước khi yêu cầu truy cập Quick Assist.

Triển Khai Mã Độc và Kỹ Thuật Che Giấu

Vận Chuyển qua MSI và Kỹ Thuật DLL Sideloading

Khi nạn nhân phê duyệt phiên, những kẻ tấn công mạng nhanh chóng triển khai các trình cài đặt MSI được ký số, ngụy trang thành các thành phần liên quan đến Microsoft Teams hoặc gói CrossDeviceService.

Trong các trường hợp được điều tra, một số tệp MSI này được lưu trữ trên dịch vụ lưu trữ đám mây cá nhân của Microsoft thông qua các liên kết có token, một phương pháp phân phối giúp các bản tải xuống trông đáng tin cậy hơn và có thể làm phức tạp việc thu thập dữ liệu pháp y sau này.

BlueVoyant phát hiện rằng các trình cài đặt này đã đặt các tệp vào đường dẫn AppData của người dùng, bắt chước các vị trí phần mềm hợp pháp của Microsoft, sau đó dựa vào kỹ thuật DLL sideloading để khởi chạy mã độc. Để biết thêm chi tiết kỹ thuật, tham khảo báo cáo của BlueVoyant tại đây.

Một mẫu được công ty nhấn mạnh là Update.msi, bao gồm một tệp hostfxr.dll giả mạo thay cho thành phần .NET hợp pháp được ký bởi Microsoft, cho phép kẻ tấn công thực thi trình tải (loader) của chúng trong khi vẫn hòa lẫn vào hành vi bình thường của phần mềm Windows và Microsoft. Đây là một phương thức tấn công mạng tinh vi.

Cơ Chế Chống Phân Tích Mã Độc

Trình tải được xây dựng để gây khó khăn cho các nhà phòng thủ. BlueVoyant cho biết nó sử dụng giải mã tại thời điểm chạy (runtime decryption), tạo nhiều luồng (heavy thread creation) và logic chống phân tích (anti-analysis logic), bao gồm kiểm tra các hiện vật của sandbox như QEMU, trước khi giải khóa payload tiếp theo.

Nếu môi trường bị phát hiện không phù hợp, mã độc có thể thay đổi logic khóa của nó và không giải mã đúng cách, khiến mẫu mã độc khó phân tích hơn bên ngoài các điều kiện dự kiến.

A0Backdoor: Backdoor Bộ Nhớ và Kênh C2 Ngầm

Payload cuối cùng chính là thứ mà BlueVoyant gọi là A0Backdoor, một backdoor lưu trú trong bộ nhớ, thu thập dấu vân tay của máy chủ bị xâm nhập và sau đó liên lạc thông qua kênh DNS tunneling bí mật thay vì kết nối trực tiếp dễ bị phát hiện hơn.

Thay vì gửi beacon trực tiếp đến cơ sở hạ tầng của kẻ tấn công, mã độc gửi các truy vấn bản ghi MX đến các bộ phân giải đệ quy công cộng như 1.1.1.1, với dữ liệu được mã hóa ẩn trong các nhãn và phản hồi DNS.

Thiết kế này giúp lưu lượng truy cập hòa lẫn vào mạng và có thể tránh được các phát hiện tập trung vào DNS tunneling dựa trên bản ghi TXT hoặc các phiên chỉ huy và kiểm soát trực tiếp hướng ra ngoài. Đây là một chiến thuật đặc trưng của các cuộc tấn công mạng hiện đại.

Mối Liên Hệ Với Các Chiến Dịch Trước Đây và Sự Liên Tục Của Mối Đe Dọa

Chiến dịch này quan trọng vì nó cho thấy cùng một chiến thuật mà các nhà phòng thủ đã theo dõi từ năm 2024 vẫn đang hiệu quả, nhưng với công cụ được làm mới và C2 bí mật hơn. Điều này chứng tỏ sự bền bỉ của các nhóm tấn công mạng.

Microsoft đã ghi lại chuỗi tấn công trước đó là giả mạo dựa trên Teams hoặc giọng nói, sau đó là lạm dụng Quick Assist, rồi triển khai các công cụ tiếp theo như QakBot, Cobalt Strike, SystemBC, và cuối cùng là mã độc ransomware Black Basta.

Trend Micro sau đó cũng báo cáo hoạt động email bombing, giả mạo Teams và Quick Assist tương tự trong các vụ xâm nhập Black Basta và Cactus, củng cố thêm mô hình rộng lớn hơn mà BlueVoyant hiện đang liên kết với nhóm mã độc mới này.

Chỉ Dẫn Phát Hiện và Biện Pháp Phòng Ngừa

Đối với các nhà phòng thủ, bài học rất rõ ràng: hãy coi Microsoft Teams là một kênh truy cập ban đầu, không chỉ là một ứng dụng cộng tác. Đặc biệt trong bối cảnh các chiến dịch tấn công mạng ngày càng phức tạp.

Các tổ chức nên hạn chế hoặc gỡ bỏ Quick Assist ở những nơi không cần thiết, theo dõi các cuộc trò chuyện Teams bên ngoài không được yêu cầu và điều tra các trình cài đặt MSI được ký số hoặc các tệp nhị phân mang nhãn hiệu Microsoft xuất hiện trong các thư mục ghi được của người dùng một cách bất thường.

Những phát hiện mới nhất của BlueVoyant cho thấy những kẻ tấn công mạng không từ bỏ một chiêu trò thành công, mà âm thầm tinh chỉnh nó để trông hợp pháp hơn trong khi làm cho mã độc của chúng khó bị phát hiện hơn nhiều.

Các Chỉ Số Thỏa Hiệp (IOCs) Tiêu Biểu

Dựa trên phân tích, các chỉ số thỏa hiệp (IOCs) sau đây cần được theo dõi:

• Tên tệp tiềm năng: Update.msi
• Tên tệp giả mạo: hostfxr.dll (thành phần giả mạo)
• Kỹ thuật lây nhiễm: DLL Sideloading
• Kỹ thuật chỉ huy và kiểm soát (C2): Covert DNS Tunneling (qua bản ghi MX)
• Các nhóm tấn công/mã độc liên quan: Blitz Brigantine, Storm-1811, A0Backdoor, Black Basta ransomware, QakBot, Cobalt Strike, SystemBC, Cactus ransomware

Việc chủ động trong giám sát và triển khai các biện pháp bảo vệ là rất cần thiết để chống lại loại hình tấn công mạng liên tục này.