Nguy cơ từ việc tin tặc biến công cụ RMM hợp pháp thành vũ khí chiếm quyền và đánh cắp dữ liệu

Tran Hoang PhongTran Hoang Phong
5 min read

Tội phạm mạng đang ngày càng khai thác phần mềm Giám sát và Quản lý Từ xa (Remote Monitoring and Management – RMM) để xâm nhập trái phép vào hệ thống doanh nghiệp. Chiến dịch tấn công mới cho thấy cách các công cụ CNTT hợp pháp, vốn được thiết kế để hỗ trợ quản trị hệ thống, có thể bị biến thành vũ khí nguy hiểm nếu rơi vào tay kẻ xấu.

Cách tiếp cận ban đầu

Cuộc tấn công bắt đầu bằng một chiến dịch phishing tinh vi, rất nhiều email phishing được gửi từ các tài khoản Microsoft 365 đã bị đánh cắp tới nạn nhân. Các email này giả mạo thông báo từ Microsoft OneDrive, kèm theo biểu tượng tệp Word trông hợp pháp và kèm theo cả privacy footers để tăng độ tin cậy. Liên kết độc hại trong email được lưu trữ trên nền tảng Discord Content Delivery Network (cdn.discordapp.com), tận dụng uy tín của Discord để vượt qua bộ lọc bảo mật ban đầu.

Hình 1. Email giả mạo kèm theo tệp đính kèm độc hại

Nhóm nghiên cứu bảo mật đã phát hiện chiến dịch này nhờ công cụ phát hiện dựa trên AI, với các dấu hiệu đáng ngờ như giả mạo OneDrive và thao túng phần mở rộng tệp.

Cơ chế lây nhiễm và triển khai tải độc hại

Chiến dịch sử dụng kỹ thuật thao túng phần mở rộng kép để đánh lừa nạn nhân. Nạn nhân nhận được liên kết dẫn tới một tệp trông như .docx, nhưng thực tế là một tệp Scan_Document_xlsx.docx.msi. Cách đặt tên này khiến người dùng nghĩ đó là tài liệu Office, trong khi thực tế đây là gói cài đặt MSI.

Hình 2. Hộp thoại cài đặt Atera

Khi thực thi, tệp MSI độc hại khởi động quy trình cài đặt nhiều giai đoạn. Atera Agent được cài đặt một cách bình thường, hiển thị hộp thoại cài đặt hợp pháp. Cùng lúc đó, Splashtop StreamerMicrosoft .NET Runtime 8 được cài đặt âm thầm trong nền.

Để giải thích rõ ràng hơn, Atera AgentSplashtop Streamer đều là phần mềm hợp pháp dùng trong quản trị hệ thống từ xa (RMM). Atera Agent cho phép giám sát hiệu suất, thu thập thông tin hệ thống và hỗ trợ tự động hóa tác vụ IT, trong khi Splashtop Streamer cung cấp khả năng điều khiển thiết bị từ xa với quyền quản trị, truyền tệp và chia sẻ màn hình. Khi bị khai thác, hai công cụ này trở thành phương tiện giúp tin tặc duy trì quyền truy cập lâu dài, điều khiển hệ thống và thực hiện hành vi trộm dữ liệu mà khó bị các giải pháp bảo mật phát hiện.

Chiến dịch này cho thấy một bước leo thang đáng lo ngại trong việc lạm dụng RMM. Bằng cách sử dụng kênh tải từ nguồn chính thống, kẻ tấn công tránh bị phát hiện bởi các công cụ dò chữ ký (signature-based detection) và hệ thống giám sát mạng vốn thường cảnh báo khi tải từ tên miền nguy hiểm.

Chiến thuật này ưu tiên duy trì quyền truy cập dài hạn thay vì chỉ tập trung vào tấn công nhanh và ẩn mình, báo hiệu xu hướng tấn công mới mà các tổ chức cần đặc biệt lưu ý.

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch tấn công nguy hiểm này:

1. Tăng cường kiểm soát email và liên kết tải phần mềm

  • Thiết lập chính sách lọc email nghiêm ngặt nhằm chặn các chiến dịch phishing giả mạo dịch vụ quen thuộc (như Microsoft OneDrive).

  • Chú ý đến các tệp đính kèm hoặc liên kết có đuôi mở rộng kép (.docx.msi, .pdf.exe) và các liên kết được lưu trữ trên nền tảng hợp pháp nhưng bị lợi dụng (ví dụ: Discord CDN).

2. Giám sát hành vi cài đặt và thực thi phần mềm

  • Theo dõi việc cài đặt các phần mềm RMM không rõ nguồn gốc hoặc không nằm trong danh mục được phê duyệt.

  • Cảnh báo khi phát hiện tiến trình cài đặt MSI bất thường hoặc các tiến trình của Atera Agent, Splashtop Streamer xuất hiện ngoài kế hoạch triển khai của IT.

3. Kiểm soát và bảo vệ quyền truy cập từ xa

  • Giới hạn quyền cài đặt/cấu hình RMM chỉ cho bộ phận CNTT được ủy quyền.

  • Kích hoạt xác thực đa yếu tố (MFA) cho tất cả tài khoản quản trị RMM và thường xuyên kiểm tra nhật ký kết nối từ xa để phát hiện hoạt động trái phép.

4. Nâng cao nhận thức an ninh cho người dùng

  • Đào tạo người dùng nhận biết các dấu hiệu email lừa đảo, kỹ thuật giả mạo icon/tài liệu và nguy cơ từ liên kết rút gọn.

  • Nhấn mạnh tầm quan trọng của việc chỉ tải và cài đặt phần mềm từ nguồn chính thống.

5. Giám sát lưu lượng mạng và hành vi bất thường

  • Theo dõi kết nối ra ngoài tới máy chủ lạ, đặc biệt là các domain hoặc IP liên quan đến hạ tầng C2 đã được cảnh báo.

  • Kết hợp hệ thống phát hiện xâm nhập (IDS/IPS) và Threat Intelligence để nhanh chóng xác định IOC liên quan đến RMM bị lạm dụng.

Tham khảo

0
Subscribe to my newsletter

Read articles from Tran Hoang Phong directly inside your inbox. Subscribe to the newsletter, and don't miss out.

RMMMalware

Written by

Tran Hoang Phong
Tran Hoang Phong

Just a SOC Analyst ^^