Bạn có bao giờ nghi ngờ một tin nhắn từ Microsoft Teams không? Câu hỏi này trở nên cấp thiết hơn bao giờ hết khi các chuyên gia bảo mật vừa phát hiện nhóm tấn công UNC6692 đang khai thác chính nền tảng làm việc này để thực hiện chiến dịch tấn công đa tầng. Họ không chỉ dừng lại ở Teams mà còn lạm dụng AWS S3 buckets và triển khai malware tùy chỉnh mang tên "Snow". Chúng tôi cho rằng đây là minh chứng rõ ràng cho xu hướng tấn công ngày càng tinh vi, khi tin tặc không ngần ngại khai thác những công cụ mà chúng ta tin tưởng nhất.

Khi Microsoft Teams trở thành "đường cống" cho tin tặc

UNC6692 đã chứng minh rằng không có nền tảng nào là tuyệt đối an toàn. Nhóm này sử dụng Microsoft Teams như một kênh truyền thông hợp pháp để tiếp cận nạn nhân thông qua các kỹ thuật social engineering (kỹ thuật thao túng tâm lý) cực kỳ tinh vi. Thay vì gửi email lạ có thể bị lọc spam, họ tạo ra những cuộc trò chuyện có vẻ bình thường trên Teams để xây dựng lòng tin.

Điểm đáng lo ngại nhất là cách họ khai thác tâm lý người dùng. Teams được xem là môi trường làm việc an toàn, nơi nhân viên thường hạ thấp cảnh giác khi nhận tin nhắn từ "đồng nghiệp". Chúng tôi đánh giá đây chính là lý do khiến chiến thuật này trở nên đặc biệt nguy hiểm - nó tấn công vào yếu tố con người, khâu yếu nhất trong chuỗi bảo mật.

Malware "Snow" - vũ khí tùy chỉnh đáng báo động

Malware "Snow" được UNC6692 phát triển không phải là mã độc thông thường. Đây là công cụ tấn công được thiết kế riêng cho chiến dịch này, cho thấy trình độ kỹ thuật cao và sự đầu tư nghiêm túc của nhóm tội phạm. Snow có khả năng thực hiện nhiều chức năng độc hại, từ thu thập thông tin nhạy cảm đến tạo backdoor (cửa hậu) cho phép tin tặc quay lại hệ thống bất cứ lúc nào.

Việc kết hợp Snow với AWS S3 buckets (kho lưu trữ đám mây của Amazon) tạo ra một hệ thống tấn công lai ghép tinh vi. Tin tặc sử dụng S3 buckets như một Command & Control server (máy chủ điều khiển) để giao tiếp với malware đã cài đặt, đồng thời lưu trữ dữ liệu đánh cắp được. Phương pháp này giúp họ ẩn mình trong lưu lượng mạng bình thường vì việc kết nối đến AWS là hoàn toàn hợp pháp.

Tác động thực tế: Khi ranh giới tin cậy bị xóa nhòa

Chiến dịch của UNC6692 không chỉ đơn thuần là một vụ tấn công mạng thông thường. Nó đánh dấu sự xuất hiện của một xu hướng đáng lo ngại: tin tặc ngày càng tập trung khai thác các nền tảng được tin tưởng thay vì tìm kiếm lỗ hổng kỹ thuật phức tạp. Tại Việt Nam, với hàng triệu doanh nghiệp đang chuyển đổi số và sử dụng Microsoft Teams làm công cụ làm việc chính, rủi ro này trở nên đặc biệt nghiêm trọng.

Theo thống kê từ Microsoft, Teams có hơn 280 triệu người dùng hoạt động hàng tháng trên toàn cầu. Tại thị trường Việt Nam, con số này ước tính khoảng 2-3 triệu người dùng doanh nghiệp. Nếu chỉ 1% trong số này trở thành nạn nhân, chúng ta đang nói đến hàng chục nghìn người có thể bị ảnh hưởng.

Lộ trình bảo vệ khẩn cấp cho doanh nghiệp Việt

Trước mối đe dọa này, các doanh nghiệp Việt Nam cần hành động ngay lập tức. Đầu tiên, thiết lập chính sách xác thực đa yếu tố (Multi-Factor Authentication) cho tất cả tài khoản Microsoft 365, đặc biệt là Teams. Tiếp theo, triển khai giám sát lưu lượng mạng để phát hiện các kết nối bất thường đến các dịch vụ đám mây như AWS S3.

Quan trọng không kém là đào tạo nhân viên nhận biết social engineering. Tổ chức các buổi workshop định kỳ về an ninh mạng, mô phỏng các tình huống tấn công thực tế qua Teams. Cuối cùng, xây dựng quy trình báo cáo sự cố rõ ràng để nhân viên có thể nhanh chóng thông báo khi phát hiện hoạt động đáng ngờ. Chúng tôi khuyến nghị mọi tổ chức nên coi an ninh mạng như một khoản đầu tư, không phải chi phí - bởi cái giá của một vụ tấn công thành công sẽ đắt gấp nhiều lần so với việc phòng ngừa.