Bạn có tin rằng hacker chỉ cần 5 phút để xâm nhập hoàn toàn vào mạng công ty của bạn? Đó chính xác là những gì nhóm Initial Access Broker (IAB) có tên KongTuke đang thực hiện mỗi ngày. Họ đã tìm ra cách biến Microsoft Teams - công cụ làm việc quen thuộc của hàng triệu người - thành vũ khí tấn công đáng sợ. Sự chuyển dịch chiến thuật này đánh dấu một bước tiến nguy hiểm trong lĩnh vực tội phạm mạng.

Khi ứng dụng làm việc trở thành cửa ngõ tội phạm

KongTuke không phải tên tuổi xa lạ trong cộng đồng an ninh mạng. Họ hoạt động như Initial Access Broker - nghĩa là chuyên "mở khóa" các hệ thống để bán quyền truy cập cho các nhóm ransomware khác. Trước đây, họ thường sử dụng email phishing truyền thống hoặc khai thác lỗ hổng phần mềm. Nhưng giờ đây, Microsoft Teams đã trở thành "sân chơi" mới của họ.

Chúng tôi cho rằng việc KongTuke chuyển sang Microsoft Teams không phải ngẫu nhiên. Với hơn 280 triệu người dùng hoạt động hàng tháng toàn cầu, Teams đã trở thành hạ tầng số thiết yếu của doanh nghiệp. Sự tin tưởng tuyệt đối của nhân viên vào nền tảng này chính là điểm yếu mà hacker khai thác. Khi một tin nhắn xuất hiện trên Teams, ít ai nghi ngờ đó có thể là bẫy.

Giải mã chiến thuật 5 phút của KongTuke

Kỹ thuật mà KongTuke sử dụng được gọi là social engineering (kỹ thuật tâm lý học tội phạm) kết hợp với live-off-the-land technique (khai thác công cụ có sẵn). Đầu tiên, họ gửi tin nhắn giả mạo qua Teams, thường đóng vai nhân viên IT hoặc quản lý cấp cao. Nội dung tin nhắn thường yêu cầu nhân viên thực hiện các tác vụ "khẩn cấp" như cập nhật mật khẩu hoặc cài đặt phần mềm.

Điều đáng sợ nhất là tốc độ thực hiện. Theo phân tích của các chuyên gia, từ khi nhân viên "cắn câu" đến khi KongTuke có được persistent access (quyền truy cập lâu dài) vào hệ thống chỉ mất 5 phút. Họ sử dụng các công cụ PowerShell có sẵn trong Windows để leo thang đặc quyền và cài đặt backdoor. Quá trình này gần như không để lại dấu vết, khiến việc phát hiện trở nên cực kỳ khó khăn.

Cơn ác mộng cho doanh nghiệp Việt Nam

Theo báo cáo của Cục An toàn thông tin (Bộ TT&TT), Việt Nam ghi nhận hơn 12.000 vụ tấn công mạng trong năm 2023, tăng 15% so với năm trước. Trong đó, tấn công nhắm vào doanh nghiệp chiếm 68% tổng số vụ việc. Với sự phổ biến của Microsoft Teams tại các công ty Việt Nam, chúng tôi dự báo KongTuke sẽ sớm nhắm vào thị trường này.

Tác động của một cuộc tấn công thành công có thể tàn phá. KongTuke thường bán quyền truy cập với giá từ 5.000 - 50.000 USD tùy theo quy mô công ty. Những người mua thường là các nhóm ransomware, có thể gây thiệt hại lên đến hàng triệu USD cho mỗi doanh nghiệp. Đối với công ty Việt Nam, con số này có thể quyết định sự sống còn của doanh nghiệp.

Lá chắn bảo vệ cho doanh nghiệp Việt

Để chống lại KongTuke, doanh nghiệp cần triển khai ngay chiến lược bảo mật nhiều lớp. Trước tiên, cấu hình Microsoft Teams để chỉ cho phép liên lạc từ các domain tin cậy. Tiếp theo, bật tính năng Multi-Factor Authentication (xác thực đa yếu tố) cho tất cả tài khoản. Đồng thời, thiết lập giám sát PowerShell execution và cảnh báo khi có hoạt động bất thường.

Quan trọng không kém là đào tạo nhân viên nhận biết social engineering. Tổ chức workshop định kỳ về an ninh mạng, mô phỏng các tình huống tấn công thực tế. Thiết lập quy trình xác minh danh tính khi nhận được yêu cầu nhạy cảm, dù từ "cấp trên" hay "đồng nghiệp". Như chúng tôi thường nói, con người vừa là mắt xích yếu nhất, vừa là tuyến phòng thủ mạnh nhất trong an ninh mạng.