Một chiến dịch tấn công mạngphishing tinh vi đang lợi dụng các công cụ quản lý và giám sát từ xa (RMM) như ITarian (trước đây là Comodo), PDQ Connect, SimpleHelp và Atera. Mục tiêu chính của cuộc tấn công mạng này là thiết lập quyền truy cập từ xa bền vững vào các hệ thống bị xâm nhập, cho phép kẻ xấu kiểm soát hệ thống từ xa.

Những kẻ tấn công đánh lừa người dùng bằng cách ngụy trang các trình cài đặt độc hại thành các bản cập nhật trình duyệt hợp pháp, lời mời họp hoặc tiệc, và các mẫu đơn chính phủ. Việc này khai thác sự tin tưởng của nạn nhân vào các phần mềm quản trị IT phổ biến.

Các nhà nghiên cứu bảo mật tại Red Canary Intelligence và đội ngũ săn lùng mối đe dọa của Zscaler đã phát hiện ra phương thức phishing dựa trên RMM này. Họ đã xác định một danh sách cho phép (allowlist) nghiêm ngặt các công cụ quản trị từ xa được phép và hành vi cơ bản cho từng công cụ.

Phương thức Lừa đảo Xã hội trong các Cuộc Tấn công Mạng RMM

Chiến dịch tấn công mạng này tập trung vào bốn hình thức lừa đảo xã hội (social engineering) chính để phân phối các công cụ RMM độc hại, tạo ra mối đe dọa mạng đáng kể cho các tổ chức.

1. Giả Mạo Cập Nhật Trình Duyệt

Kẻ tấn công chuyển hướng người dùng từ các trang web liên quan đến thể thao hoặc chăm sóc y tế đến một lớp phủ (overlay) giả mạo. Lớp phủ này hiển thị thông báo yêu cầu “cập nhật Chrome”.

Bên dưới iframe toàn màn hình là mã JavaScript được tiêm vào để lấy dấu vân tay trình duyệt, thu thập dữ liệu vị trí địa lý thông qua cài đặt ngôn ngữ. Các nhật ký tương tác và thông tin thu thập được sau đó sẽ được chuyển tiếp đến các tên miền command-and-control (C2) của kẻ tấn công để phục vụ cho các bước tiếp theo của tấn công mạng.

Khi nạn nhân nhấp vào nút cập nhật, thay vì tải bản cập nhật, họ lại tải xuống trình cài đặt ITarian MSI. Trình cài đặt này được ký bởi Comodo nhưng thực chất lại khởi chạy một file DicomPortable.exe độc hại.

Tiếp theo, nó sideload các thư viện Qt5Core.dll hoặc sciter32.dll giả mạo để cài đặt các infostealer như HijackLoader hoặc DeerStealer.

2. Lời Mời Họp Giả Mạo

Các lời mời họp giả mạo nhằm mục đích bắt chước các bản cập nhật của Microsoft Teams(chi tiết) hoặc Zoom. Những bản cập nhật này được thiết kế để phát tán các trình cài đặt PDQ Connect hoặc Atera.

Các payload này ngụy trang thành phần mềm họp hợp pháp, với các tên file như MicrosoftTeams.msi. Kẻ tấn công đặc biệt lợi dụng dịch vụ lưu trữ đối tượng Cloudflare R2, sử dụng các URL có dạng pub-<32-character>.r2.dev. Đây là một chiến thuật living-off-trusted-services (LOTS) cổ điển, nơi các dịch vụ hợp pháp được sử dụng làm hạ tầng cho các hoạt động tấn công mạng độc hại.

Sau khi thực thi, tiến trình AteraAgent đăng ký một tham số IntegratorLogin giả mạo với các tài khoản email do kẻ tấn công kiểm soát. Điều này cho phép các bên không được ủy quyền truy cập vào các lệnh từ xa.

3. Lời Mời Tham Gia Tiệc Qua Email

Các lời mời tham gia tiệc giả mạo được phân phối qua email phishing, chứa các file MSI có nhãn “Party Card Viewer” hoặc “E-Invite”. Các file này triển khai PDQ Connect hoặc Atera.

Đối với SimpleHelp, nó xuất hiện thông qua một payload einvite.exe từ tên miền go-envitelabel[.]com và nhanh chóng cài đặt ConnectWise’s ScreenConnect(thông tin thêm). Bản cài đặt này được ký bằng một chứng chỉ đã bị thu hồi.

4. Trang Mẫu Đơn Chính Phủ Giả Mạo

Các trang giả mạo mẫu đơn chính phủ, chẳng hạn như IRS W-9 hoặc báo cáo an sinh xã hội, cung cấp trình cài đặt PDQ Connect hoặc SimpleHelp. Một số trong số này còn liên kết đến các công cụ RMM bổ sung thông qua các file thực thi thứ cấp.

Các tên miền phishing được sử dụng bao gồm onlinebazar[.]us và statementsonlineviewer[.]com, thường lưu trữ các bảng điều khiển IRS giả mạo.

Chiến thuật Duy trì Quyền truy cập và Lan truyền

Kẻ tấn công thường triển khai hai công cụ RMM liên tiếp để đảm bảo các đường dẫn truy cập dự phòng và tăng cường khả năng kiểm soát. Công cụ đầu tiên thiết lập chức năng truy cập từ xa cốt lõi, trong khi công cụ thứ hai thường được sử dụng để thực thi các payload đánh cắp thông tin đăng nhập hoặc thực hiện trinh sát sâu hơn trong hệ thống.

Sự bền bỉ (persistence) được thiết lập bằng cách sửa đổi khóa đăng ký Run keys để tự động khởi chạy các binary RMM đã được đổi tên. Ví dụ, các file như RmmService.exe hoặc DicomPortable.exe được chạy từ các thư mục không chuẩn.

Sự tinh vi của các hoạt động tấn công mạng này nằm ở khả năng ngụy trang thành các hoạt động IT hợp pháp. Hoạt động trên endpoint xuất hiện như các tác vụ quản trị thông thường, trong khi các kết nối mạng đến các tên miền C2 hòa lẫn với lưu lượng dịch vụ hợp pháp.

Zscaler cũng quan sát thấy các kênh Telegram Bot API bị lạm dụng cho mục đích exfiltration dữ liệu và phối hợp C2. Điều này cho thấy sự lạm dụng sáng tạo các nền tảng đáng tin cậy.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Việc nhận diện các chỉ số thỏa hiệp (IOCs) là cực kỳ quan trọng để phát hiện và ngăn chặn các cuộc tấn công mạng tương tự. Các IOCs liên quan đến chiến dịch phishing và tấn công mạng này bao gồm:

• Tên miền Command-and-Control (C2):
  • panelswp[.]com
  • dragonshop[.]cloud
  • abounour[.]com
• Tên miền Phishing:
  • onlinebazar[.]us
  • statementsonlineviewer[.]com
  • go-envitelabel[.]com
• Tên file thực thi độc hại hoặc bị lạm dụng:
  • DicomPortable.exe
  • Qt5Core.dll (giả mạo)
  • sciter32.dll (giả mạo)
  • MicrosoftTeams.msi (giả mạo)
  • einvite.exe
  • RmmService.exe
  • AteraAgent.exe (với tham số IntegratorLogin)
  • pdq-connect-agent.exe
• Malware Infostealer:
  • HijackLoader
  • DeerStealer

Chiến lược Phát hiện và Phòng vệ An ninh Mạng

Để chống lại mối đe dọa mạng này, các tổ chức cần triển khai các chiến lược phát hiện và phòng vệ mạnh mẽ nhằm tăng cường an ninh mạng.

Phát hiện Sớm và Giám sát

Săn lùng mối đe dọa (threat hunting) dựa trên phân tích tiến trình có thể giúp xác định việc sử dụng RMM độc hại. Ví dụ, phát hiện các tiến trình có tên pdq-connect-agent.exe hoặc các lệnh gọi AteraAgent.exe chứa chuỗi “IntegratorLogin” trong dòng lệnh.

Giám sát các binary RMM mới được cài đặt trong các thư mục không mong muốn, các tham số dòng lệnh bất thường, hoặc các lượt tải xuống MSI từ các tên miền không được công nhận có thể giúp phát hiện xâm nhập và hoạt động độc hại sớm.

Cô lập trình duyệt (browser isolation) và mở rộng tính năng lọc egress mạng – đặc biệt đối với các lượt tải xuống file từ Cloudflare R2(tìm hiểu thêm) và các dịch vụ LOTS khác – giúp giảm thiểu rủi ro tiếp xúc.

Tăng cường Khả năng Quan sát với EDR

Đầu tư vào các cảm biến Endpoint Detection and Response (EDR) mạnh mẽ giúp tăng cường khả năng hiển thị các tạo tác tiến trình, ghi file và sửa đổi registry. Những dấu hiệu này thường là dấu hiệu của việc sideload RMM.

Kết hợp với nhật ký DNS và proxy để gắn cờ các giao tiếp với các tên miền bất thường hoặc mới được đăng ký – đặc biệt là các TLD giá rẻ như .pro, .shop hoặc .top – các đội ngũ an ninh mạng có thể cách ly các máy chủ bị xâm nhập trước khi lây lan ngang hoặc triển khai ransomware.

Bằng cách hiểu rõ các kỹ thuật phishing này và nhúng các phân tích phát hiện chính xác vào các hoạt động bảo mật, các nhà phòng thủ có thể chủ động chống lại những kẻ tấn công mạng lợi dụng công cụ RMM để truy cập lén lút và bền vững. Hoạt động săn lùng mối đe dọa liên tục, các danh sách cho phép được xác thực (validated allowlists) và các lớp kiểm soát mạng vẫn là yếu tố then chốt để phá vỡ các chiến dịch này, củng cố an ninh mạng tổng thể. Điều này ngăn chặn các framework quản trị từ xa trở thành cổng lây nhiễm ransomware hoặc kênh rò rỉ dữ liệu.