Nguyễn Đức Thao
Intern Writer
Bắc Mỹ – Một nhóm tội phạm mạng mới đang hợp tác chặt chẽ với các tổ chức tội phạm truyền thống, khai thác một lỗ hổng đáng ngạc nhiên: phần mềm quản lý và giám sát từ xa (RMM) hợp pháp của doanh nghiệp. Theo Proofpoint, nhóm tin tặc này đã hoạt động ít nhất từ tháng 6 năm 2025, nhắm mục tiêu vào các công ty vận tải và hậu cần để thực hiện các vụ trộm cắp hàng hóa vật chất quy mô lớn, với thực phẩm và đồ uống là các mặt hàng bị nhắm mục tiêu nhiều nhất.
Các chuyên gia cảnh báo rằng đây là một sự thay đổi đáng kể, khi tội phạm mạng chuyển từ việc chỉ đánh cắp dữ liệu sang lấy cắp tài sản vật lý thông qua xâm nhập kỹ thuật số.
Kỹ thuật tấn công tinh vi diễn ra theo chuỗi sau:
(thehackernews)
Các chuyên gia cảnh báo rằng đây là một sự thay đổi đáng kể, khi tội phạm mạng chuyển từ việc chỉ đánh cắp dữ liệu sang lấy cắp tài sản vật lý thông qua xâm nhập kỹ thuật số.
Công cụ IT trở thành vũ khí trộm cắp
Mối đe dọa lần này đặc biệt nguy hiểm bởi kẻ tấn công không sử dụng phần mềm độc hại tùy chỉnh, mà lại tận dụng các công cụ RMM phổ biến trong môi trường doanh nghiệp như ScreenConnect, SimpleHelp, PDQ Connect, N-able, và LogMeIn Resolve.Kỹ thuật tấn công tinh vi diễn ra theo chuỗi sau:
- Lừa đảo cấp tốc: Kẻ tấn công sử dụng các email lừa đảo hoặc chiếm đoạt tài khoản email hiện có để tham gia vào các cuộc đàm phán vận chuyển hàng hóa đang diễn ra, tận dụng tính cấp bách trong ngành logistics.
- Cài đặt "Cửa Hậu" hợp pháp: Các URL độc hại được gửi đi, dẫn đến trình cài đặt tệp thực thi triển khai các công cụ RMM hợp pháp. Các công cụ này thường không bị các giải pháp bảo mật gắn cờ là độc hại, giúp kẻ tấn công che giấu hành vi và thiết lập quyền truy cập lâu dài.
- Chiếm quyền điều phối: Sau khi xâm nhập, kẻ tấn công do thám mạng, sử dụng các công cụ thu thập thông tin đăng nhập như WebBrowserPassView để lấy mật khẩu, và tiến hành kiểm soát hệ thống điều phối.
- Cướp hàng hóa: Trong ít nhất một trường hợp, tin tặc đã xóa các đơn hàng hiện có và thêm thiết bị của chúng vào số máy lẻ của người điều phối, sau đó đặt hàng dưới tên hãng vận tải bị xâm phạm và điều động việc vận chuyển hàng hóa đến các địa điểm do tội phạm kiểm soát để cướp và bán lại.
Mối nguy từ tính phổ biến của phần mềm RMM
Các nhà nghiên cứu nhấn mạnh rằng việc sử dụng phần mềm RMM mang lại lợi thế chiến lược lớn cho tội phạm mạng.- Tránh được Phần mềm Chống Vi-rút: Do các tệp cài đặt RMM là phần mềm hợp pháp đã được ký, chúng dễ dàng vượt qua các hệ thống phát hiện truyền thống.
- Giảm sự nghi ngờ: Người dùng cuối ít nghi ngờ hơn khi cài đặt các công cụ giám sát từ xa vốn phổ biến, so với các trojan truy cập từ xa khác.
- Bằng cách hợp tác với tội phạm có tổ chức, những kẻ tấn công mạng đã thu hẹp khoảng cách giữa không gian mạng và thế giới vật chất, biến lỗi bảo mật kỹ thuật số thành tổn thất vật chất trực tiếp. Các mặt hàng bị đánh cắp sau đó được bán trực tuyến hoặc vận chuyển ra nước ngoài, gây thiệt hại đáng kể cho chuỗi cung ứng toàn cầu.
Khuyến nghị cho ngành logistics
- Các công ty vận tải và hậu cần phải hành động ngay lập tức:
- Thực thi MFA (Xác Thực Đa Yếu Tố): Bắt buộc MFA cho tất cả tài khoản email và hệ thống quản lý vận tải.
- Quản lý RMM Nghiêm ngặt: Hạn chế và kiểm soát nghiêm ngặt việc cài đặt bất kỳ công cụ RMM nào. Chỉ cho phép các phiên bản đã được IT phê duyệt và giám sát chặt chẽ các kết nối từ xa.
- Đào tạo Chống Lừa đảo: Cung cấp đào tạo chuyên sâu về cách phát hiện email lừa đảo (spear-phishing) và kiểm tra nguồn gốc của các URL, đặc biệt trong các giao dịch vận chuyển hàng hóa.
- Giám sát Bất Thường: Triển khai các công cụ bảo mật để phát hiện hành vi do thám mạng hoặc việc sử dụng bất thường các công cụ RMM hợp pháp trong giờ làm việc.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
