Các nhóm mã độc tống tiền (ransomware gangs) ngày càng lạm dụng các công cụ Giám sát và Quản lý Từ xa (Remote Monitoring and Management – RMM), vốn được thiết kế cho hoạt động IT hợp pháp, để dàn dựng các cuộc xâm nhập mạng tinh vi, thiết lập quyền truy cập dai dẳng (persistence), thực hiện di chuyển ngang (lateral movement), và trích xuất dữ liệu (data exfiltration).

Các cuộc điều tra được thực hiện vào nửa cuối năm 2024 và quý đầu tiên của năm 2025 đã tiết lộ mô hình tấn công này trong các sự cố ảnh hưởng đến hai tổ chức có trụ sở tại Mỹ và một thực thể tại Anh. Những công cụ này, vốn được tin cậy trong môi trường doanh nghiệp cho các tác vụ như triển khai phần mềm và giám sát hệ thống, có khả năng né tránh các biện pháp kiểm soát bảo mật truyền thống do trạng thái hợp pháp của chúng, làm mờ đi ranh giới giữa các hành động quản trị được ủy quyền và hành vi độc hại bí mật.

Bối Cảnh và Phát Hiện

Các nhà nghiên cứu từ Cato Networks, trong Báo cáo Đe dọa CTRL 2025 của họ, đã phân tích nhiều giải pháp RMM thương mại và mã nguồn mở. Các công cụ cụ thể được ghi nhận là bị khai thác bao gồm AnyDeskScreenConnectSimpleHelp, và PDQ Deploy. Những công cụ này đã bị lạm dụng bởi các nhóm tấn công đáng chú ý như Hunters International và Medusa.

Khả năng lưỡng dụng của các công cụ RMM này phản ánh khả năng của các Trojan Truy cập Từ xa (Remote Access Trojans – RATs). Chúng cho phép thực thi lệnh từ xa, triển khai script, truy cập ẩn danh thông qua các phiên làm việc bí mật, và thiết lập các kết nối ngang hàng (peer-to-peer) được mã hóa. Các tính năng này làm phức tạp quá trình phát hiện và gán ghép trách nhiệm (attribution) cho kẻ tấn công.

Phân Tích Pháp Y và Các Trường Hợp Thực Tế

Phân tích pháp y chi tiết đã khám phá ra các chiến thuật tái diễn trong các chiến dịch này.

Chiến Dịch Tấn Công của Hunters International (Q3 2024)

Trong một sự cố vào quý 3 năm 2024, nhóm Hunters International đã nhắm mục tiêu vào một công ty sản xuất tại Anh. Chúng sử dụng AnyDesk và ScreenConnect để duy trì quyền truy cập dai dẳng trong hơn một tháng. Khoảng thời gian này đã tạo điều kiện cho khả năng trích xuất dữ liệu quy mô lớn trước khi triển khai mã độc tống tiền. Việc nhóm này gần đây đã ngừng hoạt động và cung cấp các công cụ giải mã miễn phí nhấn mạnh tính chất biến động của các hoạt động mã độc tống tiền.

Xâm Nhập của Medusa (Q4 2024)

Tương tự, vào quý 4 năm 2024, nhóm Medusa đã xâm nhập vào một công ty xây dựng tại Mỹ thông qua một trình cài đặt ScreenConnect độc hại. Sau đó, chúng tận dụng PDQ Deploy cho mục đích quét nội bộ mạng và di chuyển ngang. Sự việc này đặt ra câu hỏi liệu các công cụ RMM này đã có sẵn trong môi trường của nạn nhân hay được kẻ tấn công đưa vào hệ thống.

Tấn Công Nhóm Ransomware Không Xác Định (Q1 2025)

Một cuộc tấn công vào quý 1 năm 2025 nhắm vào một tổ chức phi lợi nhuận tại Mỹ liên quan đến một nhóm mã độc tống tiền không xác định. Nhóm này đã triển khai SimpleHelp để thiết lập quyền truy cập dai dẳng ban đầu, sau đó sử dụng AnyDesk trên các máy chủ bổ sung để mở rộng kiểm soát mạng.

Điểm Chung Trong Các Chiến Dịch

Trong tất cả các trường hợp này, những kẻ tấn công đã sử dụng đồng thời nhiều công cụ RMM để tăng cường khả năng phục hồi và linh hoạt trong các chiến dịch của chúng. Chúng khai thác các tính năng như truy cập không cần agent, ghim chứng chỉ (certificate pinning), và các đặc quyền nâng cao của các công cụ RMM, cho phép chúng vượt qua hiệu quả các hệ thống phát hiện và phản ứng điểm cuối (Endpoint Detection and Response – EDR).

Kỹ Thuật Phát Hiện và Giảm Thiểu

Phát Hiện Dựa Trên Phân Tích Mạng

Phân tích hành vi mạng là một phương pháp hiệu quả để phát hiện việc lạm dụng các công cụ RMM. Ví dụ, việc sử dụng các công cụ như Wireshark để bắt gói tin các phiên làm việc của AnyDesk trên cổng 7070 có thể tiết lộ các kết nối đáng ngờ. Ngoài ra, việc phát hiện các điểm bất thường trong hệ thống Cato XDR đã chứng minh cách các công cụ này tạo ra các kết nối hướng ra mạng WAN (WAN-bound connections) đáng ngờ. Những hoạt động này thường kích hoạt các cảnh báo tự động về các tương tác từ máy chủ đến máy chủ bất thường hoặc lần sử dụng đầu tiên của một công cụ nhất định trong môi trường.

Minh Họa Khai Thác (Proof-of-Concept)

Để minh họa mức độ dễ dàng bị khai thác, một cuộc tấn công bằng bằng chứng khái niệm (proof-of-concept) đã được mô phỏng. Kịch bản này liên quan đến một file LNK được gửi qua email lừa đảo (phishing), khi được kích hoạt, sẽ khởi chạy PowerShell để kích hoạt một phiên AnyDesk đã được cài đặt sẵn trên hệ thống của nạn nhân. Điều này cho phép thiết lập kết nối đến endpoint của kẻ tấn công và thiết lập quyền truy cập dai dẳng. Các cơ chế phát hiện của Cato đã nhanh chóng gắn cờ các tín hiệu mạng bất thường này, tạo ra các “XDR stories” để phản ứng nhanh chóng.

Xu Hướng Rộng Hơn

Xu hướng lạm dụng công cụ RMM này không chỉ giới hạn ở các nhóm mã độc tống tiền mà còn mở rộng sang các tác nhân cấp quốc gia, những người đang tìm kiếm các giải pháp RAT với chi phí thấp. Xu hướng này được củng cố bởi thông tin tình báo đe dọa từ các cảnh báo #StopRansomware của CISA.

Các Biện Pháp Giảm Thiểu Hiệu Quả

Để chống lại mối đe dọa này, các tổ chức cần tăng cường khả năng hiển thị mạng và kiểm soát hoạt động. Các biện pháp giảm thiểu bao gồm:

  • Theo dõi các mẫu sử dụng RMM: Giám sát chặt chẽ cách các công cụ RMM được sử dụng trong mạng để xác định các hành vi bất thường.
  • Thực thi allowlisting cho các công cụ đã được phê duyệt: Chỉ cho phép các công cụ RMM cụ thể, đã được kiểm tra và phê duyệt, hoạt động trong môi trường mạng.
  • Áp dụng nguyên tắc đặc quyền tối thiểu (least-privilege): Đảm bảo rằng các công cụ RMM và tài khoản người dùng chỉ có các quyền hạn cần thiết để thực hiện công việc của chúng.
  • Bảo mật console RMM bằng xác thực đa yếu tố (MFA): Bắt buộc MFA cho tất cả các truy cập vào bảng điều khiển quản lý của các công cụ RMM để tăng cường bảo mật.
  • Giám sát các bất thường về hành vi: Chủ động theo dõi lưu lượng truy cập mạng để phát hiện các bất thường, chẳng hạn như lưu lượng truy cập bất thường trên các cổng không chuẩn hoặc kết nối tới các địa chỉ IP đáng ngờ.
  • Kiểm tra định kỳ cấu hình: Thường xuyên kiểm tra và đánh giá lại cấu hình của các công cụ RMM để đảm bảo chúng tuân thủ các chính sách bảo mật tốt nhất.

Bằng cách kết hợp các biện pháp này với phân tích ngữ cảnh, các doanh nghiệp có thể phân biệt hoạt động IT hợp pháp với các mối đe dọa độc hại. Điều này giúp duy trì những lợi ích vốn có của các công cụ RMM trong khi vẫn đối phó hiệu quả với việc chúng bị vũ khí hóa.

Nguồn : https://adsecvn.com/nguy-co-tu-viec-lam-dung-cong-cu-rmm-chien-thuat-moi-cua-ransomware/

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *