Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch tấn công mạng tinh vi, kẻ tấn công giả danh nhân viên hỗ trợ kỹ thuật trên Microsoft Teams để lừa nạn nhân cấp quyền truy cập từ xa vào máy tính. Sau khi xâm nhập thành công, nhóm này đánh cắp dữ liệu, thay đổi thiết lập bảo mật rồi triển khai ransomware nhằm che giấu mục đích thực sự của cuộc tấn công.
Theo báo cáo từ hãng bảo mật Rapid7 được đăng tải trên TechRadar, vụ việc nhắm vào một tổ chức chưa được tiết lộ danh tính. Kẻ tấn công đã liên hệ với nạn nhân thông qua Microsoft Teams, đóng giả làm bộ phận IT nội bộ và viện lý do hỗ trợ xử lý sự cố kỹ thuật.
Trong quá trình trao đổi, tin tặc thuyết phục nạn nhân cài đặt và chạy phần mềm điều khiển từ xa AnyDesk. Sau khi có quyền truy cập hệ thống, chúng triển khai nhiều loại mã độc đánh cắp thông tin, thu thập thông tin xác thực, chỉnh sửa thiết lập xác thực đa yếu tố (MFA), đồng thời thiết lập cơ chế duy trì quyền truy cập lâu dài trên thiết bị bị xâm nhập.
Theo báo cáo từ hãng bảo mật Rapid7 được đăng tải trên TechRadar, vụ việc nhắm vào một tổ chức chưa được tiết lộ danh tính. Kẻ tấn công đã liên hệ với nạn nhân thông qua Microsoft Teams, đóng giả làm bộ phận IT nội bộ và viện lý do hỗ trợ xử lý sự cố kỹ thuật.
Trong quá trình trao đổi, tin tặc thuyết phục nạn nhân cài đặt và chạy phần mềm điều khiển từ xa AnyDesk. Sau khi có quyền truy cập hệ thống, chúng triển khai nhiều loại mã độc đánh cắp thông tin, thu thập thông tin xác thực, chỉnh sửa thiết lập xác thực đa yếu tố (MFA), đồng thời thiết lập cơ chế duy trì quyền truy cập lâu dài trên thiết bị bị xâm nhập.
Ransomware chỉ là “vỏ bọc”
Rapid7 cho biết bước cuối cùng của cuộc tấn công là triển khai ransomware Chaos – một biến thể ransomware-as-a-service (RaaS) mới xuất hiện từ năm 2025 và thường nhắm vào các tổ chức lớn bằng hình thức tống tiền kép.
Nạn nhân thậm chí còn bị đưa lên website rò rỉ dữ liệu của nhóm Chaos nhằm tạo cảm giác đây là một vụ tấn công ransomware thông thường vì mục đích tài chính. Tuy nhiên, quá trình phân tích kỹ thuật, chứng chỉ ký mã và phương thức hoạt động cho thấy đây thực chất là chiến dịch gián điệp mạng do nhóm MuddyWater thực hiện.
Nạn nhân thậm chí còn bị đưa lên website rò rỉ dữ liệu của nhóm Chaos nhằm tạo cảm giác đây là một vụ tấn công ransomware thông thường vì mục đích tài chính. Tuy nhiên, quá trình phân tích kỹ thuật, chứng chỉ ký mã và phương thức hoạt động cho thấy đây thực chất là chiến dịch gián điệp mạng do nhóm MuddyWater thực hiện.
Ảnh: The Hacker News
Rapid7 nhận định nhóm tấn công dường như không tập trung vào việc đòi tiền chuộc mà chủ yếu muốn đánh cắp dữ liệu và duy trì khả năng theo dõi nạn nhân trong thời gian dài. Việc triển khai ransomware được xem như cách đánh lạc hướng các nhà điều tra và che giấu dấu vết hoạt động gián điệp.
MuddyWater là nhóm nào?
MuddyWater, còn được biết đến với nhiều tên khác như Seedworm, Static Kitten hay Mango Sandstorm, là nhóm tin tặc bị cáo buộc có liên hệ với Bộ Tình báo và An ninh Iran (MOIS). Nhóm này từng thực hiện nhiều chiến dịch gián điệp mạng nhằm vào cơ quan chính phủ, doanh nghiệp và tổ chức tại Trung Đông, châu Âu và Mỹ.
Theo các tài liệu theo dõi an ninh mạng quốc tế, MuddyWater thường sử dụng kỹ thuật social engineering (tấn công tâm lý) kết hợp với các công cụ điều khiển từ xa hợp pháp như AnyDesk, Atera Agent hoặc ScreenConnect để vượt qua lớp phòng thủ truyền thống.
Trong chiến dịch lần này, nhóm tin tặc tận dụng Microsoft Teams để tạo lòng tin với nạn nhân. Điều này khiến cuộc tấn công trở nên nguy hiểm hơn nhiều so với các email phishing truyền thống bởi nạn nhân thường có xu hướng tin tưởng các cuộc gọi hoặc tin nhắn mang danh nghĩa hỗ trợ kỹ thuật nội bộ.
Theo các tài liệu theo dõi an ninh mạng quốc tế, MuddyWater thường sử dụng kỹ thuật social engineering (tấn công tâm lý) kết hợp với các công cụ điều khiển từ xa hợp pháp như AnyDesk, Atera Agent hoặc ScreenConnect để vượt qua lớp phòng thủ truyền thống.
Trong chiến dịch lần này, nhóm tin tặc tận dụng Microsoft Teams để tạo lòng tin với nạn nhân. Điều này khiến cuộc tấn công trở nên nguy hiểm hơn nhiều so với các email phishing truyền thống bởi nạn nhân thường có xu hướng tin tưởng các cuộc gọi hoặc tin nhắn mang danh nghĩa hỗ trợ kỹ thuật nội bộ.
Xu hướng mới của tội phạm mạng
Các chuyên gia cho rằng vụ việc phản ánh xu hướng ngày càng rõ rệt ranh giới giữa hoạt động gián điệp mạng do quốc gia bảo trợ và tội phạm mạng tài chính đang dần bị xóa nhòa.
Nhiều nhóm APT hiện không chỉ đánh cắp dữ liệu mà còn sử dụng kỹ thuật, công cụ và mô hình hoạt động giống các băng nhóm ransomware chuyên nghiệp để che giấu mục tiêu thực sự. Điều này khiến việc điều tra, truy vết và xác định động cơ tấn công trở nên khó khăn hơn đáng kể.
Rapid7 cảnh báo các tổ chức cần đặc biệt cẩn trọng với các yêu cầu hỗ trợ kỹ thuật bất thường trên Microsoft Teams hoặc các nền tảng cộng tác trực tuyến khác, nhất là khi có yêu cầu cài đặt phần mềm điều khiển từ xa hoặc thay đổi thiết lập bảo mật.
Nhiều nhóm APT hiện không chỉ đánh cắp dữ liệu mà còn sử dụng kỹ thuật, công cụ và mô hình hoạt động giống các băng nhóm ransomware chuyên nghiệp để che giấu mục tiêu thực sự. Điều này khiến việc điều tra, truy vết và xác định động cơ tấn công trở nên khó khăn hơn đáng kể.
Rapid7 cảnh báo các tổ chức cần đặc biệt cẩn trọng với các yêu cầu hỗ trợ kỹ thuật bất thường trên Microsoft Teams hoặc các nền tảng cộng tác trực tuyến khác, nhất là khi có yêu cầu cài đặt phần mềm điều khiển từ xa hoặc thay đổi thiết lập bảo mật.
Người dùng cần làm gì để tự bảo vệ?
Các chuyên gia khuyến nghị người dùng và doanh nghiệp không cài đặt phần mềm điều khiển từ xa nếu chưa xác minh rõ danh tính người hỗ trợ. Đồng thời cần bật xác thực đa yếu tố, hạn chế quyền truy cập từ xa và thường xuyên rà soát các thiết lập bảo mật trên tài khoản doanh nghiệp.
Ngoài ra, các tổ chức cũng nên tăng cường đào tạo nhận diện social engineering, bởi nhiều cuộc tấn công hiện nay không khai thác lỗ hổng kỹ thuật mà lợi dụng trực tiếp sự tin tưởng của con người để xâm nhập hệ thống.
Ngoài ra, các tổ chức cũng nên tăng cường đào tạo nhận diện social engineering, bởi nhiều cuộc tấn công hiện nay không khai thác lỗ hổng kỹ thuật mà lợi dụng trực tiếp sự tin tưởng của con người để xâm nhập hệ thống.
Tổng hợp
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
