Phishing campaign quy mô lớn này đang nhắm vào các tổ chức bằng thư mời sự kiện giả mạo để đánh lừa nhân viên nhập thông tin đăng nhập корпоративate. Chiến dịch thuộc nhóm tin tức an ninh mạng có phạm vi rộng, tập trung vào các lĩnh vực nhạy cảm như tài chính, chính phủ, công nghệ và y tế.
Chuỗi tấn công và kỹ thuật lừa đảo
Hoạt động này được xây dựng theo chuỗi nhiều giai đoạn, bắt đầu từ mồi nhử đáng tin cậy và kết thúc bằng khả năng truy cập từ xa vào mạng nội bộ của nạn nhân. Kẻ tấn công không chỉ dừng ở việc thu thập thông tin xác thực mà còn kết hợp OTP interception và triển khai lặng lẽ Remote Monitoring and Management (RMM) để duy trì quyền truy cập.
Cách tiếp cận nhiều lớp khiến tấn công mạng này khó bị phát hiện sớm, đặc biệt khi các bước trong chuỗi được thiết kế để trông giống hoạt động hợp lệ của người dùng và bộ phận kỹ thuật.
Luồng lây nhiễm
Chuỗi xâm nhập thường bắt đầu khi mục tiêu truy cập vào một trang CAPTCHA. Trang này hoạt động như một bộ lọc để loại bỏ trình quét tự động và chỉ cho phép người dùng thật đi tiếp.
Sau bước kiểm tra, nạn nhân được chuyển đến trang mời sự kiện giả. Tại đây, chiến dịch rẽ theo hai nhánh:
- Một nhánh dẫn tới trang đăng nhập giả để thu thập credential.
- Nhánh còn lại tự động tải xuống bộ cài RMM lên máy nạn nhân.
Việc tải xuống tự động làm tăng tốc độ thiết lập foothold, trước khi cảnh báo bảo mật thông thường có thể kích hoạt.
RMM bị lạm dụng trong chiến dịch
Sau lớp phishing, kẻ tấn công triển khai các công cụ RMM phổ biến như ScreenConnect, ITarian và Datto RMM. Đây là các công cụ thường xuất hiện trong môi trường quản trị hợp lệ, nên dễ hòa lẫn vào hoạt động vận hành bình thường.
Vì nhiều hệ thống lọc bảo mật hiếm khi chặn RMM hoàn toàn, các kết nối này có thể duy trì quyền truy cập âm thầm và dài hạn trên máy bị xâm nhập. Điều này làm tăng rủi ro bảo mật khi kẻ tấn công có thể điều khiển từ xa mà không tạo ra dấu hiệu quá rõ ràng.
Dấu hiệu hạ tầng và mẫu hành vi
Hạ tầng phishing của chiến dịch được xây dựng để mô phỏng website doanh nghiệp hợp pháp, từ giao diện đến luồng điều hướng. Cách làm này làm chậm quá trình phát hiện và cho phép chiến dịch tồn tại lâu hơn trong môi trường mục tiêu.
Các nhà phân tích cũng ghi nhận những điểm lặp ổn định trong hạ tầng, gồm:
- Đường dẫn tài nguyên cố định như /Image/*.png.
- Chuỗi yêu cầu web điển hình từ /favicon.ico sang /blocked.html rồi đến nội dung phishing.
Các mẫu truy vấn này có thể hỗ trợ phát hiện xâm nhập sớm nếu được theo dõi trong IDS, proxy hoặc hệ thống giám sát lưu lượng web.
AI-assisted content và phishing kit tái sử dụng
Một số trang phishing cho thấy dấu hiệu được tạo hỗ trợ bởi AI, cho thấy kẻ tấn công có thể đang tự động hóa quá trình sinh nội dung để tăng tốc độ triển khai. Ngoài ra, mã nhúng trong các trang này xác nhận việc tái sử dụng các phishing kit phổ biến.
Cách vận hành này cho phép tạo nhanh trang giả mới và thay đổi hạ tầng mỗi khi domain bị gắn cờ hoặc bị vô hiệu hóa. Đây là đặc trưng thường gặp của các chiến dịch tin bảo mật mới nhất tập trung vào credential theft.
Khả năng phát hiện và giám sát
Đội ngũ an ninh mạng cần giám sát chặt việc cài đặt công cụ RMM ngoài quy trình IT được phê duyệt. Bất kỳ outbound connection nào tới nền tảng RMM không được tổ chức xác nhận đều nên được xem xét và hạn chế.
Việc theo dõi chuỗi chuyển hướng dựa trên CAPTCHA và các mẫu request web giống chiến dịch phishing đã biết có thể giúp phát hiện sớm trước khi xảy ra remote access hoặc credential harvesting.
Tham khảo thêm tài liệu phân tích từ NVD/CISA và các khuyến nghị liên quan: CISA.
IOC
- CAPTCHA-based redirect chain dẫn tới domain lạ.
- Fake event invitation page mạo danh lời mời sự kiện.
- /favicon.ico → /blocked.html → nội dung phishing.
- /Image/*.png xuất hiện cố định trên nhiều domain phishing.
- Outbound connection tới các nền tảng RMM không được phê duyệt.
Ảnh hưởng hệ thống
Chiến dịch này có thể dẫn đến xâm nhập trái phép vào mạng doanh nghiệp, đánh cắp thông tin đăng nhập và thiết lập quyền truy cập từ xa bền vững. Khi RMM được cài đặt thành công, kẻ tấn công có thể thao tác trên hệ thống như một quản trị viên hợp lệ, làm tăng nguy cơ mở rộng sang các máy khác trong cùng môi trường.
Do các công cụ RMM thường gắn với hoạt động IT bình thường, dấu hiệu bất thường có thể bị che khuất nếu không có baseline rõ ràng cho lưu lượng và hành vi quản trị. Đây là yếu tố khiến phát hiện tấn công trở nên khó khăn hơn trong giai đoạn đầu.
Khuyến nghị giám sát kỹ thuật
- Chặn hoặc cảnh báo các request có chuỗi chuyển hướng CAPTCHA bất thường.
- Gắn cờ domain mới có cấu trúc giống website sự kiện hoặc đăng nhập nội bộ.
- Kiểm tra mọi lần cài đặt ScreenConnect, ITarian, Datto RMM ngoài quy trình.
- So khớp lưu lượng web với mẫu hành vi phishing đã biết để phát hiện sớm.
- Rà soát outbound connection đến các dịch vụ RMM không thuộc danh mục được phép.
Trong bối cảnh tin tức bảo mật liên quan đến phishing ngày càng gia tăng, việc giám sát chuỗi chuyển hướng, kiểm soát RMM và đối chiếu hành vi người dùng với baseline vận hành là các điểm kiểm soát trực tiếp giúp giảm nguy cơ bảo mật.
