Các tác nhân đe dọa đang gia tăng việc lạm dụng các nền tảng doanh nghiệp đáng tin cậy như Microsoft Teams và Google Drive để triển khai các mã độc truy cập từ xa (RAT) một cách tinh vi. Một chiến dịch mới được ghi nhận cho thấy việc tận dụng kỹ thuật lừa đảo xã hội và cơ chế command-and-control (C2) dựa trên đám mây nhằm né tránh các phương pháp phát hiện xâm nhập truyền thống. Phương thức này đặt ra một thách thức đáng kể cho các tổ chức trong việc bảo vệ hệ thống của mình.
Mối Đe Dọa Mạng Mới: Kỹ Thuật Lừa Đảo Xã Hội Tinh Vi
Vào đầu tháng 4 năm 2026, Đơn vị Phản ứng Đe dọa (TRU) của eSentire đã xác định một cuộc xâm nhập có chủ đích nhắm vào một tổ chức trong lĩnh vực pháp lý. Trong cuộc tấn công này, những kẻ tấn công đã sử dụng kỹ thuật lừa đảo giọng nói (vishing) qua Microsoft Teams để lừa người dùng cấp quyền truy cập từ xa thông qua công cụ Windows Quick Assist.
Giai Đoạn Chuẩn Bị: Email Bombing và Lừa Đảo Giọng Nói
Cuộc tấn công mạng bắt đầu bằng giai đoạn tấn công email bombing. Hộp thư đến của nạn nhân bị ngập lụt với hơn 280 email đăng ký hợp pháp trong một khoảng thời gian ngắn. Điều này tạo ra sự nhầm lẫn và cảm giác cấp bách, chuẩn bị nền tảng cho một cuộc liên lạc hỗ trợ IT giả mạo trên Microsoft Teams.
Kẻ tấn công mạo danh nhân viên hỗ trợ nội bộ. Chúng thuyết phục người dùng khởi chạy Quick Assist và thực hiện các bước hướng dẫn được cung cấp qua một liên kết Pastebin. Sự kết hợp giữa các kỹ thuật lừa đảo này giúp kẻ tấn công dễ dàng giành quyền kiểm soát.
Triển Khai Mã Độc: Nimbus RAT và Thời Gian Xâm Nhập Nhanh Chóng
Chỉ trong vòng vài phút sau khi giành quyền truy cập, tác nhân đe dọa đã triển khai một Trojan truy cập từ xa (RAT) dựa trên Java, được gọi là Nimbus RAT. Toàn bộ quá trình xâm nhập được hoàn tất trong chưa đầy 20 phút. Tốc độ này thể hiện sự trưởng thành trong hoạt động và khả năng lặp lại của các chiến dịch tấn công hiện nay.
Payload cuối cùng được tải xuống từ một tenant Microsoft 365 đã bị xâm phạm và được lưu trữ trên SharePoint. Việc này củng cố thêm ảo giác về tính hợp pháp của tệp tin. Tệp lưu trữ tải xuống chứa một kho lưu trữ Java độc hại, được đóng gói cùng với một môi trường chạy OpenJDK. Điều này cho phép thực thi mã độc trên bất kỳ hệ thống Windows nào mà không cần phụ thuộc vào các thư viện đã cài đặt sẵn.
Một khi được thực thi, Nimbus RAT thiết lập cơ chế tồn tại trên hệ thống. Sau đó, nó bắt đầu các giao tiếp được mã hóa với hạ tầng command-and-control của mình. Khả năng hoạt động độc lập của mã độc là một điểm cộng lớn cho kẻ tấn công.
Hoạt Động C2 Đột Phá và Tính Năng Nâng Cao của Nimbus RAT
Một đặc điểm nổi bật của Nimbus RAT là việc sử dụng Google Drive và Google Sheets làm kênh C2. Thay vì dựa vào hạ tầng độc hại truyền thống, mã độc này giao tiếp với các API hợp pháp của Google. Điều này khiến cho việc phát hiện xâm nhập ở cấp độ mạng trở nên vô cùng khó khăn.
Kỹ Thuật Command-and-Control (C2) Độc Đáo
Các lệnh được lấy từ các tệp Google Drive do kẻ tấn công kiểm soát. Dữ liệu bị đánh cắp được tải lên theo cùng một cách thức. Thiết kế này đảm bảo rằng lưu lượng truy cập độc hại hòa lẫn một cách liền mạch với hoạt động đám mây doanh nghiệp thông thường. Các giải pháp bảo mật truyền thống gặp nhiều khó khăn trong việc phân biệt.
Tính Năng và Khả Năng Mạnh Mẽ của Mã Độc
Phân tích tĩnh cho thấy Nimbus RAT là một implant có tính mô-đun cao và khả năng mạnh mẽ. Nó hỗ trợ thực thi lệnh tùy ý, thao tác hệ thống tệp, truy cập registry, chụp ảnh màn hình và thực thi payload giai đoạn thứ hai trong bộ nhớ. Những khả năng này cho phép kẻ tấn công kiểm soát toàn diện hệ thống bị xâm nhập.
Đáng chú ý, Nimbus RAT bao gồm hai cơ chế thu thập thông tin đăng nhập. Một là cửa sổ nhắc nhở bảo mật Windows giả mạo. Hai là lời gọi API trực tiếp thông qua CredUIPromptForCredentialsW. Cả hai kỹ thuật này đều được thiết kế để thu thập nhiều lần thử mật khẩu, nhằm tăng tỷ lệ thành công của cuộc tấn công mạng.
Phân Tích Mối Đe Dọa và Xu Hướng Tấn Công Tổng Thể
Dữ liệu đo lường từ Đơn vị Phản ứng Đe dọa (TRU) của eSentire cho thấy đây không phải là một sự cố đơn lẻ. Trong một báo cáo được chia sẻ với Cybersecurity News, các nhà nghiên cứu đã quan sát thấy 1.540 tương tác đáng ngờ trên Microsoft Teams tại 172 tổ chức trong vòng 12 tháng. Số liệu này cho thấy sự gia tăng mạnh mẽ từ tháng 12 năm 2025 đến tháng 3 năm 2026. Chi tiết hơn có thể tham khảo từ báo cáo của eSentire: Nimbus RAT: How Threat Actors Are Abusing Microsoft Teams and Google Drive to Deploy a Java RAT.
Mẫu Hình Kẻ Tấn Công và Nền Tảng Lợi Dụng
Gần 65% các cuộc tấn công này bắt nguồn từ các tenant Microsoft 365 dùng một lần, sử dụng các tên miền onmicrosoft.com. Kẻ tấn công thường mạo danh nhân viên hỗ trợ IT hoặc bộ phận helpdesk. Điều này tạo ra một lớp vỏ bọc đáng tin cậy cho các hoạt động độc hại.
Phân tích hạ tầng cho thấy các mẫu hình tấn công nhất quán. Chúng bao gồm việc đăng ký tên miền nhanh chóng, sử dụng các TLD hàng đầu, tái sử dụng các dải IP của nhà cung cấp dịch vụ lưu trữ và tạo tenant quy mô lớn để mở rộng chiến dịch. Trong một số trường hợp, các tenant hợp pháp đã bị xâm phạm cũng được sử dụng. Điều này làm tăng độ tin cậy của các nỗ lực lừa đảo và giảm sự nghi ngờ của người dùng. Mỗi yếu tố này đều góp phần vào tính hiệu quả của các cuộc tấn công mạng.
Dịch Chuyển Chiến Thuật Sang Nền Tảng SaaS Đáng Tin Cậy
Ý nghĩa rộng hơn của chiến dịch này là sự chuyển dịch trong việc lạm dụng các hệ sinh thái SaaS đáng tin cậy ở mọi giai đoạn của vòng đời tấn công. Microsoft Teams được sử dụng để truy cập ban đầu, SharePoint cho việc phân phối payload, Pastebin để dàn dựng hướng dẫn, Quick Assist để điều khiển từ xa và Google Drive cho command-and-control. Việc lạm dụng các dịch vụ hợp pháp này làm cho việc phát hiện xâm nhập trở nên phức tạp hơn.
Do các nền tảng này được sử dụng rộng rãi và không thể dễ dàng bị chặn, các nhà phòng thủ phải dựa vào khả năng phát hiện dựa trên hành vi và khả năng hiển thị đa lớp. Cách tiếp cận này giúp nhận diện các hoạt động bất thường mà không cần chặn toàn bộ dịch vụ.
Chiến Lược Phòng Ngừa và Phát Hiện Nâng Cao
Các đội ngũ bảo mật được khuyến nghị giám sát hoạt động hộp thư bất thường, chẳng hạn như sự gia tăng đột ngột về số lượng email đến. Những thay đổi này thường là dấu hiệu báo trước các nỗ lực lừa đảo giọng nói (vishing) hoặc các cuộc tấn công mạng sắp diễn ra.
Giám Sát Hành Vi và Khả Năng Hiển Thị Endpoint
Dữ liệu telemetry từ endpoint vẫn đóng vai trò cực kỳ quan trọng. Đặc biệt là trong việc xác định các thực thi đáng ngờ của javaw.exe từ các thư mục không chuẩn. Cần liên kết các hoạt động này với các kết nối đi đến các API của Google. Một số ví dụ về việc cần giám sát:
- Phát hiện các tiến trình
javaw.exechạy từ%TEMP%hoặc các thư mục người dùng khác thay vì đường dẫn cài đặt Java hợp lệ. - Theo dõi các kết nối mạng bất thường từ các tiến trình Java tới các tên miền Google Drive/Sheets không liên quan đến hoạt động doanh nghiệp thông thường.
- Sử dụng các công cụ EDR (Endpoint Detection and Response) để phát hiện hành vi truy cập hệ thống tệp hoặc registry bất thường do
javaw.exetạo ra.
Giải Pháp Phát Hiện Dựa Trên Ngữ Cảnh
Chiến dịch này nhấn mạnh cách các tác nhân đe dọa đang kết hợp kỹ thuật lừa đảo xã hội với các dịch vụ đám mây hợp pháp để vượt qua các biện pháp phòng thủ truyền thống. Khi các doanh nghiệp ngày càng phụ thuộc vào các nền tảng SaaS, nhu cầu về các chiến lược phát hiện dựa trên ngữ cảnh ngày càng tăng. Các chiến lược này cần tập trung vào hành vi người dùng, hoạt động tiến trình và tín hiệu nhận dạng, thay vì chỉ dựa vào việc chặn theo tên miền.
Việc tăng cường nhận thức về mối đe dọa mạng cho người dùng cuối và triển khai các giải pháp bảo mật đa lớp là chìa khóa để chống lại các cuộc tấn công mạng ngày càng tinh vi này. Các tổ chức cần đầu tư vào phân tích hành vi và trí tuệ nhân tạo để nâng cao khả năng phát hiện xâm nhập.
