Một chiến dịch tấn công sử dụng kỹ thuật social engineering, lợi dụng Microsoft Teams và công cụ hỗ trợ từ xa Windows Quick Assist mới được phát hiện gần đây và đang tiếp tục biến đổi với các thủ đoạn mới. Theo cảnh báo từ BlueVoyant, các nhóm tấn công đã triển khai một họ mã độc mới có tên A0Backdoor, sau khi thuyết phục nhân viên cấp quyền truy cập từ xa vào máy tính.

Theo các chuyên gia, chiến dịch này có nhiều điểm giống với phương thức tấn công từng được nhóm Blitz Brigantine (hay Storm-1811) sử dụng trước đây. Nhóm tin tặc này được cho là hoạt động vì mục đích tài chính và từng bị Microsoft phát hiện có liên quan đến các chiến dịch phát tán ransomware Black Basta.

Trong quá trình điều tra, BlueVoyant phát hiện một số tệp cài đặt dạng MSI được lưu trữ trên dịch vụ lưu trữ đám mây cá nhân của Microsoft và chia sẻ thông qua các đường link có mã truy cập (token). Cách phân phối này khiến tệp tải xuống trông đáng tin cậy hơn vì xuất phát từ hạ tầng của Microsoft, đồng thời cũng gây khó khăn cho việc thu thập chứng cứ số sau khi sự cố xảy ra.

Khi được thực thi, các trình cài đặt này sẽ tạo thêm tệp trong thư mục AppData của người dùng, với cấu trúc thư mục và tên gọi giống với các thành phần phần mềm Microsoft hợp pháp. Sau đó, kẻ tấn công sử dụng kỹ thuật DLL sideloading – lợi dụng các thư viện DLL giả mạo để đánh lừa ứng dụng hợp pháp và từ đó kích hoạt mã độc.

Một mẫu điển hình mà BlueVoyant phân tích có tên Update.msi. Tệp này chứa một hostfxr.dll giả mạo, thay thế cho thành phần .NET hợp pháp vốn được Microsoft ký số. Nhờ vậy, kẻ tấn công có thể chạy chương trình tải mã độc (loader) của mình nhưng vẫn khiến hoạt động này trông giống như một tiến trình bình thường của Windows hoặc phần mềm Microsoft.

Loader này được thiết kế nhằm gây khó khăn cho việc phát hiện và phân tích. Theo BlueVoyant, mã độc sử dụng nhiều kỹ thuật che giấu như giải mã dữ liệu khi chạy, tạo nhiều luồng xử lý song song và tích hợp các cơ chế chống phân tích. Chẳng hạn, nó sẽ kiểm tra xem hệ thống có đang chạy trong môi trường phân tích (sandbox) như QEMU hay không trước khi tiếp tục các bước tấn công tiếp theo.

Nếu phát hiện môi trường thực thi không đúng với điều kiện mong muốn, mã độc có thể thay đổi cơ chế giải mã, khiến dữ liệu không thể được giải mã chính xác. Điều này khiến các nhà nghiên cứu bảo mật gặp nhiều khó khăn khi cố gắng phân tích mẫu mã độc trong môi trường phòng thí nghiệm.

Payload cuối cùng trong chuỗi tấn công này là một backdoor có tên A0Backdoor, hoạt động trực tiếp trong bộ nhớ. Sau khi được kích hoạt, mã độc sẽ thu thập thông tin nhận dạng của máy bị xâm nhập và bắt đầu liên lạc với máy chủ điều khiển thông qua kỹ thuật DNS tunneling, thay vì thiết lập kết nối trực tiếp như nhiều loại malware khác.

Cụ thể, thay vì gửi tín hiệu trực tiếp đến máy chủ của kẻ tấn công, malware sẽ gửi các truy vấn MX record DNS tới các máy chủ phân giải công khai như 1.1.1.1, đồng thời mã hóa dữ liệu trong các nhãn và phản hồi DNS.

Theo BlueVoyant, cách thức này giúp lưu lượng mạng trông giống các truy vấn DNS thông thường, từ đó dễ dàng qua mặt các hệ thống giám sát vốn chỉ tập trung phát hiện DNS tunneling thông qua TXT record hoặc các kết nối điều khiển ra ngoài rõ ràng.

Chiến dịch này đáng chú ý vì cho thấy mô hình tấn công mà các chuyên gia an ninh mạng đã theo dõi từ năm 2024 vẫn tiếp tục được tin tặc sử dụng hiệu quả. Tuy nhiên, lần này chúng đã được nâng cấp với các công cụ mới và phương thức điều khiển kín đáo, tinh vi hơn.

Trước đó, Microsoft từng mô tả chuỗi tấn công tương tự: kẻ tấn công giả mạo nhân viên hỗ trợ kỹ thuật thông qua Microsoft Teams hoặc gọi điện trực tiếp, sau đó dụ nạn nhân sử dụng Windows Quick Assist để cấp quyền truy cập từ xa. Khi đã kiểm soát được máy tính, chúng tiếp tục cài đặt các công cụ tấn công như QakBot, Cobalt Strike, SystemBC, và cuối cùng triển khai ransomware Black Basta để tống tiền.

Hãng bảo mật Trend Micro cũng ghi nhận nhiều vụ xâm nhập có cách thức tương tự, bao gồm email bombing, giả mạo liên hệ qua Teams và lạm dụng Quick Assist. Những chiến dịch này được phát hiện trong các cuộc tấn công liên quan đến Black Basta và Cactus ransomware, cho thấy mô hình tấn công mà BlueVoyant vừa phát hiện thực chất đã được các nhóm tin tặc sử dụng trong nhiều chiến dịch trước đó.

Lời khuyên cho đội ngũ bảo mật của các doanh nghiệp là không nên xem Microsoft Teams chỉ đơn thuần là một công cụ cộng tác nội bộ. Trên thực tế, nền tảng này hoàn toàn có thể bị lợi dụng như một kênh xâm nhập ban đầu vào hệ thống.

Khuyến cáo từ chuyên gia của VNCS Global

Để đối phó với những kịch bản thao túng tâm lý (Social Engineering) tinh vi này, chuyên gia của VNCS Global cũng khuyến cáo các doanh nghiệp và cơ quan trọng yếu cần thay đổi tư duy phòng vệ sang mô hình Zero Trust:

  • Kiểm soát kênh xâm nhập đầu tiên (Initial Access): Thay vì coi Microsoft Teams là môi trường “nội bộ” an toàn, cần thiết lập chính sách hạn chế tuyệt đối việc trao đổi với tài khoản ngoại vi. Đồng thời, thực hiện gỡ bỏ hoặc vô hiệu hóa công cụ hỗ trợ từ xa Quick Assist thông qua chính sách nhóm trên các máy trạm không có nhu cầu đặc thù.
  • Giám sát thực thi và dữ liệu ứng dụng: Cần sử dụng giải pháp EDR/XDR để giám sát chặt chẽ các hành vi bất thường tại thư mục AppData. Mọi tệp trình cài đặt (MSI) hoặc tệp thực thi có nhãn Microsoft xuất hiện tại các thư mục người dùng có quyền ghi (User-writable directories) đều phải được coi là một “red flag” cần điều tra ngay lập tức.
  • Chủ động săn tìm mối đe dọa (Threat Hunting) qua DNS: Thay vì chỉ chặn các tên miền độc hại đã biết, đội ngũ an ninh cần chủ động phân tích lưu lượng tên miền (DNS Analysis) để phát hiện các mẫu truy vấn bản ghi MX bất thường. Việc bóc tách sớm các dấu hiệu của kỹ thuật DNS Tunneling sẽ giúp tổ chức ngăn chặn hành vi tuồn dữ liệu của dòng A0Backdoor ngay từ giai đoạn khởi đầu.

Nguồn: Cyber Security News