Ai có thể ngờ rằng những công cụ quản lý máy tính từ xa mà chúng ta tin tùng hàng ngày lại trở thành "cửa sau" hoàn hảo cho tin tặc? Chiến dịch tấn công mang mã hiệu VENOMOUS#HELPER đã chứng minh điều này một cách đáng sợ nhất. Hacker không cần phá vỡ hệ thống bảo mật phức tạp, mà chỉ cần lợi dụng phần mềm RMM (Remote Monitoring and Management - phần mềm giám sát và quản lý từ xa) hợp pháp như SimpleHelp và ScreenConnect. Kết quả? Hơn 80 tổ chức, chủ yếu tại Hoa Kỳ, đã trở thành nạn nhân của cuộc tấn công tinh vi này kể từ tháng 4/2025.

Khi phần mềm hợp pháp thành "kẻ phản bội"

Theo báo cáo từ công ty bảo mật Securonix, VENOMOUS#HELPER đại diện cho một xu hướng nguy hiểm mới trong thế giới tội phạm mạng. Thay vì phát triển malware phức tạp dễ bị phát hiện, các hacker đã chọn con đường "ngụy trang" hoàn hảo. SimpleHelp và ScreenConnect - hai phần mềm RMM được nhiều doanh nghiệp tin dùng để hỗ trợ kỹ thuật và quản lý hệ thống từ xa - đã bị biến thành công cụ tấn công. Phương thức này đặc biệt nguy hiểm vì các phần mềm RMM có quyền truy cập sâu vào hệ thống và thường được các giải pháp bảo mật "bỏ qua" do tính chất hợp pháp của chúng.

Chúng tôi cho rằng đây không phải là một cuộc tấn công ngẫu hứng. Việc sử dụng nhiều vector tấn công đồng thời và duy trì hoạt động trong suốt nhiều tháng cho thấy đây là một nhóm tội phạm mạng có tổ chức, am hiểu sâu về cơ sở hạ tầng CNTT doanh nghiệp. Đặc biệt, khả năng duy trì quyền truy cập "bền vững" vào các hệ thống bị xâm phạm chứng tỏ mức độ tinh vi đáng báo động.

Giải mã chiến thuật "ngựa thành Troy" thời hiện đại

Chiến dịch VENOMOUS#HELPER bắt đầu bằng các email lừa đảo (phishing) được thiết kế tinh vi, nhắm vào nhiều đối tượng khác nhau trong cùng một tổ chức. Thay vì gửi một email hàng loạt dễ bị phát hiện, hacker đã cá nhân hóa từng thông điệp, tạo cảm giác tin cậy cao. Khi nạn nhân "cắn câu", họ sẽ được hướng dẫn cài đặt phần mềm RMM với lý do hỗ trợ kỹ thuật hoặc cập nhật bảo mật khẩn cấp. Đây chính là bước "đột phá" then chốt của toàn bộ chiến dịch.

Điểm đáng chú ý là việc sử dụng đồng thời cả SimpleHelp và ScreenConnect không phải ngẫu nhiên. Theo phân tích của chúng tôi, đây là chiến lược "dự phòng kép" - nếu một công cụ bị phát hiện và gỡ bỏ, công cụ còn lại vẫn đảm bảo quyền truy cập liên tục. Hơn nữa, cả hai phần mềm này đều có khả năng hoạt động "im lặng" trong nền, không gây ra các dấu hiệu bất thường mà người dùng thông thường có thể nhận ra.

Từ con số đến thực tế: tác động lan rộng khôn lường

80 tổ chức bị ảnh hưởng có vẻ như một con số khiêm tốn, nhưng thực tế nghiêm trọng hơn nhiều. Mỗi tổ chức bị xâm phạm có thể chứa hàng nghìn hồ sơ cá nhân, dữ liệu tài chính và thông tin nhạy cảm khác. Nếu tính trung bình mỗi tổ chức có 1.000 nhân viên, con số nạn nhân tiềm năng có thể lên tới 80.000 người. Đây chưa kể đến những tổ chức lớn có hàng chục nghìn nhân viên trong danh sách bị ảnh hưởng.

Đặc biệt nghiêm trọng là việc hacker có thể duy trì quyền truy cập "thường trực" vào các hệ thống này. Khác với các cuộc tấn công ransomware (mã độc mã hóa dữ liệu đòi tiền chuộc) thông thường có tác động tức thì và dễ phát hiện, VENOMOUS#HELPER hoạt động âm thầm trong bóng tối. Điều này có nghĩa là dữ liệu của các tổ chức này có thể bị khai thác liên tục trong nhiều tháng mà không bị phát hiện. Chúng tôi đánh giá đây là mô hình tấn công "marathon" thay vì "sprint", tập trung vào việc thu thập thông tin lâu dài hơn là tạo ra thiệt hại tức thì.

Lá chắn bảo vệ: hành động ngay từ hôm nay

Trước mối đe dọa từ VENOMOUS#HELPER, các tổ chức Việt Nam cần hành động ngay lập tức. Bước đầu tiên là rà soát toàn bộ các phần mềm RMM đang được sử dụng trong hệ thống, đặc biệt là SimpleHelp và ScreenConnect. Mọi phiên bản không được IT chính thức cài đặt và quản lý phải được gỡ bỏ ngay lập tức. Đồng thời, thiết lập chính sách nghiêm ngặt: chỉ cho phép cài đặt phần mềm RMM thông qua IT department và phải có văn bản phê duyệt từ cấp quản lý.

Không kém quan trọng là việc nâng cao nhận thức cho nhân viên về các chiêu trò lừa đảo qua email hiện đại. Khác với spam thô sơ ngày xưa, các email lừa đảo hiện tại được cá nhân hóa cao và có thể sử dụng thông tin thật về công ty để tạo độ tin cậy. Tổ chức đào tạo định kỳ, mô phỏng các cuộc tấn công phishing, và thiết lập quy trình xác minh kép cho mọi yêu cầu cài đặt phần mềm từ bên ngoài. Đặc biệt, với bối cảnh an ninh mạng Việt Nam đang đối mặt với nhiều thách thức, việc chủ động phòng ngừa các mối đe dọa quốc tế như VENOMOUS#HELPER là cần thiết để bảo vệ dữ liệu và hệ thống thông tin quan trọng của doanh nghiệp.