Các đối tượng đe dọa đang tiếp tục khai thác lòng tin của người dùng vào các công cụ làm việc hàng ngày. Một chiến dịch tấn công lừa đảo mới được phát hiện đang sử dụng thông báo giả mạo của Microsoft Teams để lừa nhân viên tải xuống một công cụ truy cập từ xa, cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn hệ thống của họ. Chiến dịch này được thiết kế cẩn thận để trông hợp pháp ở mọi bước, khiến nó trở nên đặc biệt nguy hiểm đối với các tổ chức phụ thuộc vào Teams cho giao tiếp hàng ngày. Đây là một mối đe dọa mạng nghiêm trọng cần được chú ý.
Chiến dịch Lừa đảo Mạo danh Microsoft Teams
Chiến dịch bắt đầu bằng một thông điệp đơn giản nhưng thuyết phục. Nạn nhân nhận được email hoặc tin nhắn lừa đảo, dường như đến từ Microsoft Teams, thông báo rằng một bản ghi hoặc bản ghi nhớ cuộc họp đã sẵn sàng để tải xuống. Sự khẩn cấp và quen thuộc được tích hợp trong các thông điệp này đủ để nhiều người dùng nhấp mà không suy nghĩ kỹ.
Sau khi nhấp, người dùng sẽ truy cập vào một trang giả mạo, được thiết kế để giống hệt giao diện Microsoft Teams thật. Các nhà phân tích tại Cyfirma đã xác định chiến dịch này và công bố một báo cáo chi tiết, tiết lộ cách các đối tượng đe dọa đã xây dựng một hoạt động phức tạp, có phạm vi tiếp cận rộng.
Cơ sở hạ tầng Tấn công Tinh vi
Điều khiến chiến dịch này nổi bật không chỉ là các chiêu trò lừa đảo thuyết phục mà còn là cơ sở hạ tầng đằng sau nó. Sự kết hợp giữa các trang web hợp pháp bị xâm phạm và dịch vụ lưu trữ đám mây do kẻ tấn công kiểm soát giúp hoạt động này tránh bị phát hiện.
Các trang web bị xâm phạm thuộc về các doanh nghiệp có thật như quán cà phê, công ty luật, phòng khám y tế và trường học, trải rộng trên nhiều quốc gia. Việc sử dụng tên miền đáng tin cậy giúp kẻ tấn công vượt qua bộ lọc email và cảnh báo trình duyệt.
Họ cũng sử dụng dịch vụ lưu trữ chuyên dụng thông qua Cloudflare Workers và Pages, cùng với các tiện ích tên miền giá rẻ như .icu, .sbs và .online để triển khai nhanh chóng và tiết kiệm chi phí. Phân tích tuổi thọ của cơ sở hạ tầng cho thấy đây không phải là một nỗ lực tồn tại trong thời gian ngắn. Khoảng 56% cơ sở hạ tầng được xác định nằm trong khoảng ba đến sáu tháng, cho thấy một giai đoạn mở rộng lớn bắt đầu vào khoảng tháng 3 năm 2026.
Chiến dịch vẫn đang được duy trì tích cực, với các đợt triển khai mới được xác nhận tại thời điểm phân tích.
Khai thác Công cụ Truy cập Từ xa (RMM)
Sau khi nạn nhân nhấp vào liên kết tải xuống trên trang Teams giả mạo, họ sẽ nhận được một tệp trình cài đặt Windows đã được ký số. Vì tệp này được ký bởi một nhà cung cấp phần mềm hợp pháp, nên các công cụ bảo mật ít có khả năng gắn cờ nó. Tệp này cài đặt một công cụ giám sát và quản lý từ xa thực tế, nhưng được cấu hình sẵn để kết nối trở lại các máy chủ chuyển tiếp do kẻ tấn công kiểm soát thay vì các máy chủ hợp pháp.
Trình cài đặt chạy âm thầm, thả các tệp vào thư mục tạm thời của người dùng và gọi các DLL tùy chỉnh thông qua các tiện ích Windows tiêu chuẩn. Nó cũng bao gồm các kỹ thuật để tránh các nhà nghiên cứu bảo mật, chẳng hạn như kiểm tra thiết bị USB, phát hiện trình gỡ lỗi và trì hoãn ngủ kéo dài được thiết kế để vượt qua môi trường phân tích tự động.
Vào thời điểm bất kỳ điều gì bất thường bị gắn cờ, kẻ tấn công có thể đã thiết lập một kết nối hoạt động vào hệ thống của nạn nhân. Đây là một ví dụ về khai thác zero-day gián tiếp thông qua việc lạm dụng các công cụ hợp pháp.
Các Kỹ thuật Duy trì Quyền Truy cập Tinh vi
Sau khi cài đặt, kẻ tấn công thiết lập nhiều cơ chế duy trì để đảm bảo chúng giữ quyền truy cập ngay cả khi người dùng khởi động lại hoặc cố gắng gỡ bỏ công cụ. Một dịch vụ Windows được tạo với cấu hình tự động khởi động, và một mục đăng ký đảm bảo dịch vụ tồn tại ngay cả khi hệ thống khởi động vào Chế độ An toàn với Mạng.
Ngoài việc duy trì quyền truy cập, kẻ tấn công còn đăng ký một DLL nhà cung cấp thông tin xác thực trong hệ thống xác thực Windows, cho phép chúng thu thập mật khẩu được nhập tại màn hình đăng nhập. Chúng cũng đăng ký như một gói xác thực LSA, cấp quyền truy cập sâu vào hệ thống con bảo mật để thu hoạch thông tin xác thực.
Đây không phải là hành động của một kẻ tấn công cơ hội mà là của một nhóm có nguồn lực mạnh với các mục tiêu dài hạn rõ ràng. Việc sử dụng RMM cho phép chúng thực hiện xâm nhập mạng hiệu quả và duy trì sự hiện diện lâu dài trong hệ thống mục tiêu.
Các Biện pháp Phòng chống và Phát hiện
Các tổ chức nên tập trung vào việc phát hiện dựa trên hành vi thay vì chỉ kiểm tra chữ ký. Đào tạo nhận thức về lừa đảo, đặc biệt là về các chiêu trò nhắm vào nền tảng cộng tác, là một tuyến phòng thủ đầu tiên mạnh mẽ. Việc thực thi xác thực đa yếu tố, hạn chế cài đặt phần mềm chỉ cho quản trị viên và triển khai các công cụ phát hiện điểm cuối đều là những bước quan trọng.
Các nhóm bảo mật nên theo dõi các dịch vụ Windows mới, các thay đổi đối với gói LSA và các kết nối đi bất thường từ phần mềm mới cài đặt. Bất kỳ hệ thống nào bị nghi ngờ đều phải trải qua đánh giá pháp y đầy đủ và đặt lại thông tin xác thực hoàn chỉnh trước khi đưa vào hoạt động trở lại. Việc giám sát các lỗ hổng CVE liên quan đến các công cụ cộng tác và RMM cũng là điều cần thiết.
Mối đe dọa từ các chiến dịch lừa đảo phức tạp như thế này ngày càng gia tăng, đòi hỏi các biện pháp bảo mật chủ động và liên tục cập nhật kiến thức về các kỹ thuật tấn công mới nhất.
Các Chỉ số Xâm nhập (IOC) tiềm năng
- Các tệp trình cài đặt Windows đã ký số đáng ngờ.
- Các dịch vụ Windows mới được tạo với cấu hình tự động khởi động.
- Các mục đăng ký liên quan đến dịch vụ Windows không xác định.
- Hoạt động mạng bất thường từ các ứng dụng hoặc dịch vụ mới cài đặt.
- Các gói xác thực LSA hoặc DLL nhà cung cấp thông tin xác thực được đăng ký không mong muốn.
Việc triển khai các giải pháp bảo mật mạnh mẽ và nâng cao nhận thức cho người dùng là chìa khóa để giảm thiểu rủi ro từ các cuộc tấn công này. An ninh mạng là một quá trình liên tục đòi hỏi sự cảnh giác cao độ.
