-
09/04/2020
-
112
-
1.078 bài viết
Tin tặc biến Velociraptor và Microsoft Teams thành công cụ tấn công tinh vi
Các nhà nghiên cứu an ninh mạng vừa phát đi cảnh báo về những chiến dịch tấn công mới, trong đó tin tặc khai thác các công cụ hợp pháp mà nhiều doanh nghiệp tại Việt Nam và thế giới tin dùng. Xu hướng này không chỉ làm khó việc giám sát và ứng phó sự cố mà còn đặt ra rủi ro trực tiếp cho các tổ chức sử dụng Microsoft 365, Teams và các công cụ forensic mã nguồn mở trong môi trường sản xuất.
Một báo cáo mới từ Sophos cho thấy tin tặc đã lợi dụng Velociraptor, công cụ mã nguồn mở thường được dùng trong điều tra số và giám sát hệ thống, để biến nó thành cánh cổng bí mật kết nối tới máy chủ điều khiển. Chuỗi tấn công được triển khai tinh vi: kẻ xâm nhập trước tiên dùng tiện ích msiexec của Windows để tải xuống một gói cài đặt MSI từ dịch vụ Cloudflare Workers, vốn được thiết kế làm “trạm trung gian” cho các công cụ tiếp theo. Khi Velociraptor được cài đặt, nó lập tức thiết lập liên lạc với máy chủ staging, đồng thời tiếp nhận lệnh để tải Visual Studio Code qua một script PowerShell được mã hóa. Khi khởi chạy với chế độ tunnel, Visual Studio Code không còn là công cụ lập trình thông thường mà trở thành kênh truy cập từ xa cho phép tin tặc thực thi mã tùy ý, tải thêm các payload bổ sung và duy trì hiện diện lâu dài trên hệ thống mục tiêu.
Chiêu thức này đặt ra thách thức nghiêm trọng cho các đội ứng cứu sự cố. Việc tin tặc tận dụng một công cụ forensic hợp pháp khiến ranh giới giữa hoạt động quản trị bình thường và hành vi độc hại bị xóa nhòa, đồng thời đánh lừa các cơ chế giám sát truyền thống vốn tin tưởng vào các phần mềm đáng tin cậy. Đây là minh chứng rõ rệt cho xu hướng “living-off-the-land” ngày càng tinh vi, khi các công cụ sẵn có được biến thành vũ khí mà không cần triển khai phần mềm độc hại riêng biệt.
Cùng lúc đó, các công ty an ninh mạng Hunters và Permiso ghi nhận sự gia tăng đáng kể các chiến dịch khai thác Microsoft Teams để phát tán mã độc. Thay vì dựa vào email như trước đây, tin tặc tận dụng khả năng gửi tin nhắn và thực hiện cuộc gọi trực tiếp trên Teams để tiếp cận nạn nhân một cách kín đáo. Chúng thường tạo tenant mới hoặc chiếm đoạt tài khoản đã tồn tại, sau đó giả mạo bộ phận hỗ trợ kỹ thuật nhằm thuyết phục người dùng cài đặt phần mềm điều khiển từ xa như AnyDesk, DWAgent hoặc Quick Assist.
Khi quyền kiểm soát hệ thống được thiết lập, tin tặc triển khai các script PowerShell có khả năng đánh cắp thông tin đăng nhập, duy trì hiện diện và thực thi mã độc tùy ý. Đáng chú ý, nạn nhân còn bị lừa nhập mật khẩu vào hộp thoại Windows giả mạo, và toàn bộ dữ liệu này được lưu lại dưới dạng file văn bản ngay trên thiết bị bị xâm nhập. Đây là bước tiến nguy hiểm trong kỹ thuật tấn công, bởi các thông điệp giả mạo được thiết kế tinh vi để giống hoàn toàn hoạt động hỗ trợ kỹ thuật thường nhật, khiến nhân viên doanh nghiệp khó nhận ra mối đe dọa và cảnh giác kịp thời.
Không dừng lại ở đó, một chiến dịch malvertising mới cũng được phát hiện khi tin tặc lợi dụng các liên kết quảng cáo trên công cụ tìm kiếm để dẫn nạn nhân tới trang đăng nhập Microsoft 365 giả mạo. Thay vì tấn công trực tiếp, chúng tạo ra một chuỗi chuyển hướng tinh vi, khiến nạn nhân khó nhận ra nguy cơ ngay từ bước đầu.
Điểm đặc biệt của chiến dịch này là việc sử dụng dịch vụ Active Directory Federation Services trong tenant Microsoft do tin tặc thiết lập. Điều này khiến quá trình truy cập trông hoàn toàn hợp lệ và vượt qua nhiều cơ chế kiểm tra đường dẫn dựa trên danh sách tên miền đáng tin cậy. Khi người dùng nhập thông tin xác thực, toàn bộ dữ liệu sẽ trực tiếp rơi vào tay tin tặc, mở ra nguy cơ xâm nhập hệ thống và đánh cắp tài khoản.
Những chiến dịch trên cho thấy xu hướng mới trong hoạt động tấn công mạng: tận dụng chính các nền tảng và công cụ được cộng đồng doanh nghiệp tin tưởng để làm vỏ bọc. Thay vì phải phát triển phần mềm độc hại phức tạp, tin tặc ngày càng ưa chuộng việc khai thác môi trường hợp pháp, từ đó giảm thiểu khả năng bị phát hiện và tăng cơ hội xâm nhập thành công. Điều này đặc biệt đáng lưu ý với các tổ chức tại Việt Nam, nơi Microsoft 365, Teams và các công cụ forensic mã nguồn mở đang được sử dụng rộng rãi nhưng năng lực giám sát vẫn chưa phổ biến.
Trước bối cảnh này, chuyên gia WhiteHat khuyến nghị các tổ chức và người dùng thực hiện những biện pháp sau:
Một báo cáo mới từ Sophos cho thấy tin tặc đã lợi dụng Velociraptor, công cụ mã nguồn mở thường được dùng trong điều tra số và giám sát hệ thống, để biến nó thành cánh cổng bí mật kết nối tới máy chủ điều khiển. Chuỗi tấn công được triển khai tinh vi: kẻ xâm nhập trước tiên dùng tiện ích msiexec của Windows để tải xuống một gói cài đặt MSI từ dịch vụ Cloudflare Workers, vốn được thiết kế làm “trạm trung gian” cho các công cụ tiếp theo. Khi Velociraptor được cài đặt, nó lập tức thiết lập liên lạc với máy chủ staging, đồng thời tiếp nhận lệnh để tải Visual Studio Code qua một script PowerShell được mã hóa. Khi khởi chạy với chế độ tunnel, Visual Studio Code không còn là công cụ lập trình thông thường mà trở thành kênh truy cập từ xa cho phép tin tặc thực thi mã tùy ý, tải thêm các payload bổ sung và duy trì hiện diện lâu dài trên hệ thống mục tiêu.
Chiêu thức này đặt ra thách thức nghiêm trọng cho các đội ứng cứu sự cố. Việc tin tặc tận dụng một công cụ forensic hợp pháp khiến ranh giới giữa hoạt động quản trị bình thường và hành vi độc hại bị xóa nhòa, đồng thời đánh lừa các cơ chế giám sát truyền thống vốn tin tưởng vào các phần mềm đáng tin cậy. Đây là minh chứng rõ rệt cho xu hướng “living-off-the-land” ngày càng tinh vi, khi các công cụ sẵn có được biến thành vũ khí mà không cần triển khai phần mềm độc hại riêng biệt.
Cùng lúc đó, các công ty an ninh mạng Hunters và Permiso ghi nhận sự gia tăng đáng kể các chiến dịch khai thác Microsoft Teams để phát tán mã độc. Thay vì dựa vào email như trước đây, tin tặc tận dụng khả năng gửi tin nhắn và thực hiện cuộc gọi trực tiếp trên Teams để tiếp cận nạn nhân một cách kín đáo. Chúng thường tạo tenant mới hoặc chiếm đoạt tài khoản đã tồn tại, sau đó giả mạo bộ phận hỗ trợ kỹ thuật nhằm thuyết phục người dùng cài đặt phần mềm điều khiển từ xa như AnyDesk, DWAgent hoặc Quick Assist.
Khi quyền kiểm soát hệ thống được thiết lập, tin tặc triển khai các script PowerShell có khả năng đánh cắp thông tin đăng nhập, duy trì hiện diện và thực thi mã độc tùy ý. Đáng chú ý, nạn nhân còn bị lừa nhập mật khẩu vào hộp thoại Windows giả mạo, và toàn bộ dữ liệu này được lưu lại dưới dạng file văn bản ngay trên thiết bị bị xâm nhập. Đây là bước tiến nguy hiểm trong kỹ thuật tấn công, bởi các thông điệp giả mạo được thiết kế tinh vi để giống hoàn toàn hoạt động hỗ trợ kỹ thuật thường nhật, khiến nhân viên doanh nghiệp khó nhận ra mối đe dọa và cảnh giác kịp thời.
Không dừng lại ở đó, một chiến dịch malvertising mới cũng được phát hiện khi tin tặc lợi dụng các liên kết quảng cáo trên công cụ tìm kiếm để dẫn nạn nhân tới trang đăng nhập Microsoft 365 giả mạo. Thay vì tấn công trực tiếp, chúng tạo ra một chuỗi chuyển hướng tinh vi, khiến nạn nhân khó nhận ra nguy cơ ngay từ bước đầu.
Điểm đặc biệt của chiến dịch này là việc sử dụng dịch vụ Active Directory Federation Services trong tenant Microsoft do tin tặc thiết lập. Điều này khiến quá trình truy cập trông hoàn toàn hợp lệ và vượt qua nhiều cơ chế kiểm tra đường dẫn dựa trên danh sách tên miền đáng tin cậy. Khi người dùng nhập thông tin xác thực, toàn bộ dữ liệu sẽ trực tiếp rơi vào tay tin tặc, mở ra nguy cơ xâm nhập hệ thống và đánh cắp tài khoản.
Những chiến dịch trên cho thấy xu hướng mới trong hoạt động tấn công mạng: tận dụng chính các nền tảng và công cụ được cộng đồng doanh nghiệp tin tưởng để làm vỏ bọc. Thay vì phải phát triển phần mềm độc hại phức tạp, tin tặc ngày càng ưa chuộng việc khai thác môi trường hợp pháp, từ đó giảm thiểu khả năng bị phát hiện và tăng cơ hội xâm nhập thành công. Điều này đặc biệt đáng lưu ý với các tổ chức tại Việt Nam, nơi Microsoft 365, Teams và các công cụ forensic mã nguồn mở đang được sử dụng rộng rãi nhưng năng lực giám sát vẫn chưa phổ biến.
Trước bối cảnh này, chuyên gia WhiteHat khuyến nghị các tổ chức và người dùng thực hiện những biện pháp sau:
- Triển khai giải pháp giám sát hành vi ở cấp độ đầu cuối để phát hiện các hoạt động bất thường kịp thời
- Tăng cường theo dõi việc cài đặt và sử dụng các công cụ ít phổ biến trong nội bộ doanh nghiệp
- Tổ chức đào tạo nhân viên nhằm nhận diện chiêu trò giả mạo bộ phận hỗ trợ kỹ thuật trên các nền tảng cộng tác trực tuyến
- Người dùng cá nhân cần cảnh giác với các quảng cáo trên công cụ tìm kiếm và ưu tiên truy cập trực tiếp qua tên miền chính thức để tránh rơi vào bẫy chuyển hướng
- Kết hợp công nghệ giám sát, quy trình ứng phó và nâng cao nhận thức người dùng để giảm thiểu rủi ro từ việc tin tặc khai thác công cụ hợp pháp.
Tổng hợp