WithSecure đã ghi nhận sự gia tăng các cuộc tấn công RMM (Remote Monitoring and Management) nhắm mục tiêu, sử dụng các khả năng RMM được nhúng trong tài liệu PDF. Các chiến dịch này chủ yếu tập trung vào các tổ chức ở Pháp và Luxembourg.
Những kẻ tấn công sử dụng email lừa đảo xã hội để gửi các tệp PDF tưởng chừng vô hại, chứa các siêu liên kết dẫn đến trình cài đặt RMM hợp pháp. Phương pháp này giúp chúng vượt qua các cổng email và biện pháp phòng thủ điểm cuối.
Mối Đe Dọa Lạm Dụng RMM Qua PDF
Các công cụ RMM, được thiết kế cho quản trị IT, đóng vai trò là vector truy cập ban đầu mạnh mẽ. Chúng cho phép kẻ tấn công kiểm soát hệ thống từ xa, vô hiệu hóa các biện pháp kiểm soát bảo mật, leo thang đặc quyền và triển khai các payload thứ cấp.
Kỹ thuật này lặp lại chiến thuật của các nhóm mã độc tống tiền như Black Basta. Nhóm này giả mạo nhân viên hỗ trợ để lừa người dùng cài đặt RMM, nhằm mục đích triển khai ransomware.
Hoạt động được quan sát nhấn mạnh việc vũ khí hóa phần mềm hợp pháp. Các tác nhân đe dọa điều chỉnh việc sử dụng RMM để duy trì quyền truy cập và ẩn mình, đánh dấu sự phát triển từ phishing rộng rãi sang nhắm mục tiêu chính xác.
Các chiến dịch này tập trung vào các lĩnh vực có giá trị cao như năng lượng, chính phủ, ngân hàng và xây dựng. Sự gia tăng của các chiến dịch tấn công RMM cho thấy sự cần thiết phải tăng cường khả năng phòng thủ mạng.
Mục Tiêu và Phạm Vi Tấn Công Mạng
Các chiến dịch có tính đặc thù về địa lý, với hầu hết các sự cố xảy ra ở Châu Âu, mặc dù các trường hợp rải rác cũng xuất hiện bên ngoài khu vực này.
GDP bình quân đầu người cao của Luxembourg khiến quốc gia này trở thành mục tiêu hấp dẫn đối với các tác nhân có động cơ tài chính. Điều này cho thấy một chiến lược được tính toán, ưu tiên các vụ xâm nhập mang lại lợi nhuận cao hơn là các cuộc tấn công dựa trên số lượng lớn.
Kỹ Thuật Phân Phối và Lừa Đảo Xã Hội
Theo báo cáo của WithSecure, các tệp PDF được tùy chỉnh theo ngành của nạn nhân. Chúng có thể chứa hình ảnh bị làm mờ hoặc các mồi nhử cụ thể theo lĩnh vực như hóa đơn hoặc hợp đồng để tăng tính xác thực và thúc đẩy nhấp chuột. Tìm hiểu thêm về chiến thuật này.
Ví dụ, một công ty bất động sản Hà Lan đã bị nhắm mục tiêu bằng một tệp PDF tiếng Hà Lan đề cập đến FleetDeck RMM.
Phân tích metadata tiết lộ các mẫu về tác giả PDF, bao gồm các tên như “Dennis Block” và “Guillaume Vaugeois”. Các tệp này được tạo thông qua các công cụ như Microsoft Word, Canva và ILovePDF, cho thấy nỗ lực đa dạng hóa các dấu hiệu để trốn tránh phát hiện dựa trên chữ ký.
Dữ liệu dòng thời gian từ VirusTotal cho thấy hoạt động lạm dụng RMM đã xuất hiện từ tháng 7 năm 2024. Các công cụ như Atera, Bluetrait và ScreenConnect được triển khai thông qua các URL trực tiếp hoặc được chuyển hướng, đơn giản hóa quá trình lây nhiễm mà không cần cấu hình sau cài đặt.
Việc phân phối phụ thuộc vào các tệp PDF có chứa liên kết tải xuống trực tiếp đến máy chủ của nhà cung cấp RMM. Những liên kết này thường được giả mạo từ các miền hợp pháp hoặc mạo danh các giám đốc điều hành để tăng tính xác thực.
Một chiến thuật gần đây liên quan đến việc lạm dụng Zendesk để phân phối PDF thông qua các phiếu hỗ trợ. Điều này giúp bỏ qua các bộ lọc email bằng cách lưu trữ các tệp đính kèm sạch trên các nền tảng đáng tin cậy.
Hậu Quả và Chiến Lược Lây Nhiễm
Sau khi được cài đặt, các tác nhân RMM cấp quyền truy cập từ xa ngay lập tức. Điều này có thể dẫn đến mã độc tống tiền hoặc đánh cắp dữ liệu, mặc dù chưa có payload thứ cấp nào được xác nhận trong nhóm hoạt động cụ thể này.
Mối đe dọa tấn công RMM này nhấn mạnh tính linh hoạt của kẻ tấn công trong việc khai thác các công cụ hợp pháp.
Phòng Ngừa và Tăng Cường Bảo Mật Mạng
Để giảm thiểu rủi ro từ các cuộc tấn công RMM, các tổ chức nên thực thi chính sách cho phép ứng dụng (application allowlisting) để chặn các chương trình RMM trái phép.
Hạn chế việc tải xuống các công cụ như FleetDeck trừ khi được phê duyệt rõ ràng. Đồng thời, giám sát các chuỗi tiến trình bất thường, chẳng hạn như PDF tạo ra các lượt tải xuống tệp MSI/EXE qua trình duyệt, thông qua các giải pháp EDR (Endpoint Detection and Response).
Giáo dục người dùng về các dấu hiệu lừa đảo (phishing red flags), bao gồm các yêu cầu hỗ trợ IT không mong muốn, vẫn là yếu tố thiết yếu.
Hoạt động này nhấn mạnh rủi ro của các công cụ RMM hợp pháp khi nằm trong tay kẻ xấu. Chúng tạo điều kiện cho các vụ xâm nhập mạng lén lút thông qua các vector lừa đảo xã hội.
Cảnh giác chống lại các hành vi lạm dụng như vậy, đặc biệt trong các hoạt động tập trung vào Châu Âu, là rất quan trọng để ngăn chặn leo thang thành các mối đe dọa nâng cao như từ nhóm Conti hoặc BlackCat. Tăng cường bảo mật mạng là ưu tiên hàng đầu.
