Tin tức bảo mật mới ghi nhận một chiến dịch tấn công mạng nhắm vào nhân viên bằng cách kết hợp email bombing và mạo danh bộ phận hỗ trợ IT trên Microsoft Teams. Mục tiêu là dụ nạn nhân cấp quyền truy cập từ xa vào chính thiết bị của họ, từ đó dẫn đến hệ thống bị xâm nhập và đánh cắp dữ liệu.
Tin tức an ninh mạng: chuỗi tấn công bắt đầu bằng email bombing
Chuỗi tấn công mạng thường khởi đầu bằng việc nạn nhân nhận hàng trăm đến hàng nghìn email không mong muốn trong thời gian rất ngắn. Kỹ thuật này được gọi là email bombing, tạo ra cảm giác hoảng loạn và khiến người dùng tin rằng tài khoản của họ đang gặp sự cố nghiêm trọng.
Trong bối cảnh đó, một đối tượng tự xưng là nhân viên hỗ trợ IT sẽ liên hệ qua Microsoft Teams và đề nghị trợ giúp. Cách tiếp cận này tận dụng tâm lý sốt ruột của nạn nhân, làm tăng khả năng họ chấp nhận cuộc gọi hoặc tin nhắn.
Tham khảo thêm tài liệu từ eSentire: eSentire Security Advisory.
Cảnh báo CVE và bề mặt tấn công trên Microsoft Teams
Trong nội dung được phân tích không nêu lỗ hổng CVE cụ thể, không có CVSS hay mã khai thác exploit. Đây là một cảnh báo CVE theo nghĩa vận hành an ninh mạng, tập trung vào lạm dụng quy trình hỗ trợ và tin nhắn doanh nghiệp thay vì khai thác lỗ hổng phần mềm.
Điểm đáng chú ý là kẻ tấn công dùng tài khoản ngoài tổ chức nhưng hiển thị như một bộ phận IT hợp lệ, với tên như “IT Protection Department” hoặc “Windows Security Help Desk”. Các tài khoản được tạo bằng tên người thật như michaelturner@ hoặc danielfoster@ để tăng độ tin cậy.
Đặc điểm lừa đảo trên Microsoft Teams
- Liên hệ từ external account nhưng hiển thị như nội bộ.
- Dùng tên hiển thị mang tính kỹ thuật, liên quan đến IT support.
- Tạo cảm giác người gửi “biết rõ” sự cố email bombing của nạn nhân.
- Yêu cầu nạn nhân chấp nhận hỗ trợ từ xa qua công cụ hợp lệ.
Remote access và chiếm quyền điều khiển thiết bị
Sau khi tạo được niềm tin, kẻ tấn công yêu cầu cấp quyền qua các công cụ như Quick Assist hoặc AnyDesk. Khi nạn nhân chấp nhận, đối tượng có thể kiểm soát phiên làm việc và tiến hành các hành vi sau đó trên máy trạm.
Theo báo cáo, các cuộc tấn công mạng kiểu này có tỷ lệ thành công lên tới 72% trong dữ liệu quan sát của eSentire Annual Cyber Threat Report 2026. Hoạt động được ghi nhận tăng mạnh trong giai đoạn 2024–2025.
Trong bối cảnh hệ thống bị tấn công, việc lạm dụng công cụ hỗ trợ từ xa khiến phát hiện bằng kiểm soát thông thường trở nên khó khăn hơn so với mã độc truyền thống.
Kiểm soát truy cập cần lưu ý
- Chặn hoặc hạn chế Quick Assist, AnyDesk, ConnectWise nếu không có nhu cầu vận hành rõ ràng.
- Giới hạn các kết nối từ bên ngoài trên Microsoft Teams.
- Bật thông báo rõ ràng khi người gửi là external contact.
Phân tích hành vi sau xâm nhập
Trong nhiều trường hợp thực tế, sau khi có quyền truy cập từ xa, kẻ tấn công tải WinSCP dạng portable từ trang chính thức để chuyển dữ liệu ra ngoài. Đây là một ứng dụng hợp lệ, nên dễ vượt qua một số cơ chế giám sát nếu chỉ dựa trên danh tiếng phần mềm.
Việc dùng phần mềm hợp pháp cho mục đích xấu là một kỹ thuật thường gặp trong mối đe dọa dạng living-off-the-land. Điều này làm giảm khả năng bị cảnh báo tức thời, dù hành vi thực tế là rò rỉ dữ liệu hoặc data exfiltration.
Trong một sự cố khác, đối tượng dùng Quick Assist để đẩy một tệp ZIP có tên Email-Deployment-Process-System.zip lên máy mục tiêu. Bên trong archive có một file Java binary thực thi ứng dụng Java độc hại, sau đó là hành vi đánh cắp dữ liệu.
IOC nổi bật
- Email-Deployment-Process-System.zip
- Display name giả mạo: IT Protection Department
- Display name giả mạo: Windows Security Help Desk
- Tài khoản mạo danh dạng tên người thật: michaelturner@, danielfoster@
- Công cụ thường bị lạm dụng: Quick Assist, AnyDesk, WinSCP
Hạ tầng và mô hình chiến dịch tấn công mạng
Hạ tầng đứng sau chiến dịch không mang tính tự phát. Các thông điệp Microsoft Teams độc hại được ghi nhận phát ra từ các nhà cung cấp hosting có tính ẩn danh cao, cho thấy đây là cuộc tấn công mạng có tổ chức và có hạ tầng hỗ trợ.
Những IP đơn lẻ đã được quan sát tấn công nhiều tổ chức cùng lúc. Mẫu hành vi này phù hợp với một chiến dịch threat intelligence cần được theo dõi chặt chẽ ở cấp độ mạng, endpoint và danh tính người dùng.
- NKtelecom INC
- WorkTitans B.V.
- Global Connectivity Solutions LLP
- GWY IT PTY LTD
Biện pháp giảm thiểu rủi ro bảo mật
Microsoft Teams nên được cấu hình để chặn hoặc giới hạn tin nhắn và cuộc gọi từ tổ chức bên ngoài, trừ khi thật sự cần cho công việc. Các chính sách cộng tác bên ngoài cần kèm cảnh báo rõ ràng để người dùng biết họ đang trao đổi với ai.
Nhân viên cần được hướng dẫn xác minh mọi yêu cầu hỗ trợ bất thường qua kênh thứ hai, như gọi trực tiếp helpdesk chính thức, gửi email xác thực hoặc tạo ticket trong hệ thống nội bộ. Đây là bước quan trọng để giảm rủi ro bảo mật khi đối mặt với tin tức an ninh mạng kiểu social engineering.
Nhóm công cụ cần kiểm soát gồm remote access và file transfer utilities, đặc biệt là các ứng dụng có thể được dùng để hỗ trợ hợp lệ nhưng cũng có thể bị lạm dụng trong tấn công mạng.
- Quick Assist
- AnyDesk
- ConnectWise
- WinSCP
- RClone
- FileZilla
- MegaSync
Điểm cần giám sát trên hệ thống
- Kết nối Teams từ tài khoản ngoài tổ chức.
- Yêu cầu cấp quyền điều khiển màn hình hoặc điều khiển từ xa.
- Thực thi file ZIP, Java binary hoặc công cụ truyền file sau khi remote access được cấp.
- Dấu hiệu sao chép dữ liệu ra ngoài từ endpoint bị chiếm quyền điều khiển.
tin bảo mật mới nhất cho thấy chiến dịch này không dựa trên lỗ hổng zero-day hay remote code execution, mà khai thác niềm tin của người dùng đối với kênh hỗ trợ nội bộ. Với các tổ chức dùng Microsoft Teams, đây là dạng mối đe dọa mạng cần kiểm soát đồng thời ở lớp cấu hình, nhận thức người dùng và giám sát hành vi endpoint.
