Bạn có tin được không khi chính chiếc hộp thư Outlook quen thuộc đang được tin tặc biến thành vũ khí tấn công? Nhóm hacker nguy hiểm Harvester vừa ra mắt phiên bản Linux của backdoor GoGra, khai thác Microsoft Graph API để điều khiển malware một cách bí mật. Điều đáng lo ngại là kỹ thuật này có thể qua mặt hầu hết các hệ thống bảo mật hiện tại. Các chuyên gia từ Symantec và Carbon Black vừa phát hiện ra chiến dịch tấn công nhắm vào khu vực Nam Á.

Khi email trở thành vũ khí tấn công không thể phát hiện

GoGra backdoor (backdoor có nghĩa là cửa hậu - phần mềm độc hại giúp tin tặc điều khiển máy tính từ xa) đã được nhóm Harvester nâng cấp lên phiên bản Linux với khả năng đáng sợ. Thay vì sử dụng các kênh truyền thông truyền thống dễ bị phát hiện, malware này lợi dụng Microsoft Graph API - giao diện lập trình ứng dụng chính thức của Microsoft. Tin tặc biến các hộp thư Outlook thành trung tâm chỉ huy và kiểm soát (C2) hoàn toàn hợp pháp.

Chúng tôi cho rằng đây là bước tiến vượt bậc trong kỹ thuật tấn công mạng. Việc sử dụng dịch vụ email chính thức giúp malware hòa mình vào lưu lượng mạng bình thường, khiến các hệ thống phòng thủ perimeter (tường lửa, hệ thống phát hiện xâm nhập) hoàn toàn mù tịt. Hacker không cần thiết lập máy chủ C2 bất hợp pháp mà chỉ cần tạo tài khoản email và khai thác API có sẵn.

Harvester - kẻ săn mồi chuyên nghiệp nhắm vào Nam Á

Nhóm Harvester không phải là cái tên mới trong làng an ninh mạng quốc tế. Advanced Persistent Threat (APT - mối đe dọa liên tục nâng cao) này đã hoạt động nhiều năm với chuyên môn tấn công các tổ chức chính phủ và doanh nghiệp. Điểm đặc biệt của GoGra Linux variant là khả năng thích nghi với môi trường máy chủ Linux - hệ điều hành phổ biến trong các trung tâm dữ liệu doanh nghiệp.

Theo phân tích của các chuyên gia, chiến dịch này có dấu hiệu nhắm vào các thực thể quan trọng tại Nam Á. Khu vực này đang trải qua giai đoạn chuyển đổi số mạnh mẽ, tạo ra nhiều mục tiêu béo bở cho tin tặc. Việt Nam, với tốc độ phát triển công nghệ vượt bậc và hệ thống bảo mật chưa đồng đều, có thể nằm trong tầm ngắm của những cuộc tấn công tương tự.

Tác động nghiêm trọng khi ranh giới bảo mật bị xóa nhòa

Kỹ thuật Living off the Land (sống dựa vào tài nguyên có sẵn) mà Harvester áp dụng đang làm lung lay nền tảng của an ninh mạng truyền thống. Khi malware sử dụng các dịch vụ hợp pháp như Microsoft Graph API, ranh giới giữa hoạt động bình thường và tấn công mạng trở nên mờ nhạt. Các giải pháp bảo mật endpoint (điểm cuối) và network security (bảo mật mạng) truyền thống gặp khó khăn trong việc phát hiện.

Chúng tôi đánh giá tác động của xu hướng này có thể lan rộng ra toàn cầu. Nếu không có biện pháp đối phó kịp thời, các doanh nghiệp Việt Nam sử dụng Microsoft 365 có thể trở thành mục tiêu dễ dàng. Đặc biệt các tổ chức có hạ tầng hỗn hợp Windows-Linux, nơi GoGra có thể di chuyển linh hoạt giữa các hệ điều hành.

Phòng thủ chủ động trước mối đe dọa mới

Các tổ chức Việt Nam cần thực hiện ngay các bước bảo vệ cụ thể. Đầu tiên, kiểm tra và hạn chế quyền truy cập Microsoft Graph API, chỉ cho phép các ứng dụng được xác thực. Thứ hai, triển khai giám sát anomaly (bất thường) trong email traffic, đặc biệt chú ý đến các pattern giao tiếp không bình thường với Outlook API. Thứ ba, cập nhật endpoint detection and response (EDR) với các rule phát hiện GoGra signature.

Theo đánh giá của chúng tôi, việc áp dụng Zero Trust Architecture (kiến trúc không tin tưởng) là giải pháp căn cốc nhất. Thay vì tin tưởng mù quáng vào các dịch vụ "chính thống", mọi hoạt động đều phải được xác thực và giám sát liên tục. Các CISO (Chief Information Security Officer - Giám đốc An ninh Thông tin) cần đầu tư vào threat hunting (săn tìm mối đe dọa) chủ động thay vì chỉ dựa vào các công cụ phòng thủ thụ động truyền thống.