Discord không chỉ là nơi game thủ tụ tập. Các chuyên gia an ninh mạng vừa phát hiện nhóm hacker Webworm có liên kết với Trung Quốc đang lợi dụng nền tảng này cùng Microsoft Graph API để điều khiển hai loại backdoor (cửa sau) nguy hiểm mang tên EchoCreep và GraphWorm. Mục tiêu chính của chúng là các cơ quan chính phủ trên toàn thế giới. Đây là bằng chứng mới nhất cho thấy tin tặc đang khai thác các dịch vụ hợp pháp để che giấu hoạt động độc hại của mình.

Webworm trở lại với chiến thuật mới đầy tinh vi

Nhóm hacker Webworm lần đầu được Symantec - công ty con của Broadcom - phát hiện và công bố vào tháng 9/2022. Tuy nhiên, các chuyên gia đánh giá rằng nhóm này đã hoạt động từ ít nhất năm 2022 với mục tiêu chính là các cơ quan chính phủ. Điểm đáng chú ý là Webworm không ngừng nâng cấp kỹ thuật tấn công, từ việc sử dụng các công cụ truyền thống chuyển sang khai thác các nền tảng phổ biến như Discord.

Chúng tôi cho rằng việc nhóm hacker này chọn Discord và Microsoft Graph API không phải ngẫu nhiên. Command-and-Control (C2 hay C&C) - hệ thống điều khiển từ xa - thường bị các giải pháp bảo mật phát hiện dễ dàng khi sử dụng máy chủ riêng. Thay vào đó, Webworm đã khéo léo "ẩn mình" trong lưu lượng truy cập hợp pháp của các dịch vụ được tin tưởng, khiến việc phát hiện trở nên cực kỳ khó khăn.

Cặp đôi backdoor EchoCreep và GraphWorm hoạt động thế nào?

EchoCreep và GraphWorm là hai backdoor được Webworm phát triển riêng với khả năng tàng hình cao. EchoCreep sử dụng Discord - nền tảng chat phổ biến với hơn 150 triệu người dùng hàng tháng - để giao tiếp với máy chủ điều khiển. Malware này có thể thực hiện các lệnh từ xa, tải xuống tệp tin, và thu thập thông tin nhạy cảm mà không bị nghi ngờ vì lưu lượng Discord rất bình thường trong môi trường doanh nghiệp.

GraphWorm lại khai thác Microsoft Graph API - giao diện lập trình ứng dụng cho phép truy cập dữ liệu Microsoft 365. Đây là một nước đi cực kỳ thông minh vì Graph API được sử dụng rộng rãi trong các tổ chức để tự động hóa các tác vụ văn phòng. Khi GraphWorm hoạt động, nó giả dạng như các request API bình thường, khiến các hệ thống bảo mật khó có thể phân biệt được đâu là hoạt động hợp pháp, đâu là tấn công.

Mức độ nguy hiểm và tác động toàn cầu

Theo đánh giá của các chuyên gia, chiến dịch tấn công này có mức độ nghiêm trọng cao vì nhắm vào các cơ quan chính phủ - nơi lưu trữ thông tin mật và dữ liệu nhạy cảm. Việt Nam, với tình hình an ninh mạng đang căng thẳng khi liên tục bị các nhóm hacker quốc tế nhắm tới, cần đặc biệt cảnh giác. Năm 2024, Cục An toàn thông tin (Bộ TT&TT) đã ghi nhận hàng nghìn cuộc tấn công mạng vào các hệ thống quan trọng của Việt Nam.

Chúng tôi lo ngại rằng xu hướng sử dụng các dịch vụ hợp pháp để che giấu hoạt động tấn công sẽ trở nên phổ biến hơn. Điều này đòi hỏi các tổ chức phải thay đổi cách tiếp cận bảo mật, từ việc chỉ tập trung vào chặn các kết nối đáng ngờ sang phân tích sâu hơn về hành vi của ứng dụng và người dùng.

Hướng dẫn bảo vệ khẩn cấp cho doanh nghiệp Việt

Các tổ chức Việt Nam cần thực hiện ngay các biện pháp sau để phòng chống Webworm. Đầu tiên, rà soát và giám sát chặt chẽ việc sử dụng Discord trong môi trường công sở, đặc biệt là các kết nối bất thường hoặc truyền tải dữ liệu lớn. Tiếp theo, thiết lập monitoring (giám sát) chuyên sâu cho Microsoft Graph API, bao gồm việc theo dõi các request bất thường, tần suất truy cập cao, và các hoạt động ngoài giờ làm việc.

Bên cạnh đó, triển khai giải pháp EDR (Endpoint Detection and Response - phát hiện và ứng phó tại điểm cuối) có khả năng phân tích hành vi để phát hiện backdoor. Cuối cùng, thường xuyên đào tạo nhân viên về các kỹ thuật social engineering và cách nhận biết email phishing, vì đây thường là bước đầu để Webworm xâm nhập vào hệ thống. Đặc biệt, các cơ quan nhà nước cần thiết lập chính sách Zero Trust - không tin tưởng bất kỳ kết nối nào cho đến khi được xác minh đầy đủ.