Hơn 80 tổ chức trên toàn cầu đã trở thành nạn nhân của một chiến dịch tấn công tinh vi mà thậm chí nhiều hệ thống bảo mật hàng đầu cũng không thể phát hiện. Tin tặc đã khéo léo lợi dụng hai công cụ quản lý và giám sát từ xa (RMM - Remote Monitoring and Management) để che giấu hoạt động độc hại của mình. Đây là minh chứng rõ ràng cho thấy ranh giới giữa công cụ hợp pháp và vũ khí tấn công đang ngày càng mỏng manh trong thời đại số.

Khi công cụ quản trị trở thành 'ngựa thành Troy'

Công cụ RMM vốn được thiết kế để giúp các quản trị viên IT theo dõi và kiểm soát hệ thống từ xa một cách hợp pháp. Tuy nhiên, trong chiến dịch tấn công này, tin tặc đã biến những công cụ đáng tin cậy thành vũ khí để xâm nhập sâu vào mạng nội bộ các tổ chức. Chúng tôi cho rằng đây là một bước tiến nguy hiểm trong chiến thuật của tội phạm mạng, khi chúng không còn dựa vào malware truyền thống mà chuyển sang lạm dụng các ứng dụng có sẵn.

Điều đáng lo ngại nhất là hai công cụ RMM được sử dụng trong chiến dịch này đều có độ tin cậy cao và được nhiều doanh nghiệp Việt Nam sử dụng hàng ngày. Tin tặc đã tận dụng đặc tính được phép hoạt động của các công cụ này để tránh bị phát hiện bởi các giải pháp bảo mật endpoint và firewall. Khi một công cụ quản trị hệ thống hoạt động, hầu hết các hệ thống bảo mật sẽ coi đó là hoạt động bình thường.

Phẫu thuật kỹ thuật: Cách thức tấn công tinh vi

Chiến dịch tấn công này bắt đầu bằng các email phishing được thiết kế cực kỳ tinh vi, mô phỏng các thông báo từ những dịch vụ đáng tin cậy. Khi nạn nhân click vào liên kết hoặc tải xuống tệp đính kèm, hacker sẽ cài đặt một trong hai công cụ RMM đã được 'độ chế'. Quá trình này diễn ra hoàn toàn trong im lặng, không có cảnh báo nào xuất hiện trên màn hình người dùng.

Sau khi chiếm quyền kiểm soát ban đầu, tin tặc sử dụng các tính năng sẵn có của công cụ RMM để thực hiện lateral movement (di chuyển ngang trong mạng). Chúng có thể truy cập các máy tính khác trong cùng mạng, thu thập thông tin nhạy cảm, và thậm chí cài đặt thêm các công cụ tấn công khác. Chúng tôi đánh giá đây là một trong những phương thức tấn công khó phát hiện nhất hiện nay, bởi toàn bộ hoạt động đều sử dụng giao thức và kênh truyền hợp pháp.

Hậu quả thảm khốc: Từ rò rỉ dữ liệu đến tê liệt hoạt động

Con số hơn 80 tổ chức bị ảnh hưởng chỉ là phần nổi của tảng băng chìm. Theo phân tích của chúng tôi, thiệt hại thực tế có thể lớn hơn nhiều do đặc tính khó phát hiện của cuộc tấn công này. Các tổ chức bị ảnh hưởng trải dài từ doanh nghiệp nhỏ đến tập đoàn đa quốc gia, với thiệt hại ước tính từ vài chục nghìn đến hàng triệu USD cho mỗi vụ việc.

Đối với bối cảnh Việt Nam, nguy cơ này đặc biệt nghiêm trọng khi nhiều doanh nghiệp trong nước đang tăng cường sử dụng các giải pháp quản lý từ xa sau đại dịch. Các ngành tài chính, y tế và giáo dục - những lĩnh vực xử lý nhiều dữ liệu nhạy cảm - có thể trở thành mục tiêu ưu tiên của tin tặc. Thời gian trung bình để phát hiện ra cuộc tấn công loại này là 287 ngày, đủ để hacker thực hiện mọi mục đích độc hại.

Chiến lược phòng thủ: Bảo vệ tổ chức khỏi mối đe dọa tàng hình

Bước đầu tiên mà mọi tổ chức cần thực hiện ngay là kiểm tra danh sách các công cụ RMM đang được sử dụng trong môi trường làm việc. Hãy xác định ai có quyền cài đặt và sử dụng các công cụ này, đồng thời thiết lập chính sách kiểm soát chặt chẽ. Mọi phần mềm RMM chỉ nên được cài đặt bởi bộ phận IT với sự phê duyệt từ cấp quản lý.

Chúng tôi khuyến nghị triển khai giải pháp giám sát hành vi (Behavioral Monitoring) thay vì chỉ dựa vào signature-based detection truyền thống. Công nghệ AI và machine learning có thể phát hiện những hoạt động bất thường của các công cụ RMM, ngay cả khi chúng sử dụng giao thức hợp pháp. Đồng thời, cần thiết lập cơ chế cảnh báo khi có bất kỳ kết nối RMM mới nào được thực hiện, đặc biệt là vào khung giờ ngoài làm việc hoặc từ các địa chỉ IP bất thường.