Chiến Dịch Phishing VENOMOUS#HELPER Tấn Công Hơn 80 Tổ Chức Tại Mỹ Thông Qua Công Cụ RMM

Một Chiến Dịch Phishing Ẩn Náu Giữa Ban Ngày

Một chiến dịch phishing tinh vi được gọi là VENOMOUS#HELPER đã xâm phạm hơn 80 tổ chức trên khắp Hoa Kỳ, và điều đáng lo ngại đặc biệt không phải là các công cụ mà kẻ tấn công tự xây dựng, mà là những công cụ chúng vay mượn. Chiến dịch này khai thác phần mềm Giám sát và Quản lý Từ xa (RMM) hợp pháp, cụ thể là SimpleHelp và ScreenConnect, để thiết lập quyền truy cập từ xa liên tục bên trong mạng của nạn nhân.

Các công cụ RMM được sử dụng rộng rãi bởi các bộ phận CNTT và các nhà cung cấp dịch vụ quản lý để chẩn đoán, cập nhật và quản lý các thiết bị đầu cuối từ xa. Vì chúng được các bộ lọc bảo mật doanh nghiệp tin tưởng, chúng trở thành phương tiện hấp dẫn cho những kẻ tấn công muốn hòa lẫn vào lưu lượng mạng thông thường. VENOMOUS#HELPER tận dụng tối đa sự tin tưởng này.

Chuỗi tấn công bắt đầu bằng các email phishing dẫn nạn nhân đến các trang web doanh nghiệp đã bị xâm phạm. Việc sử dụng các tên miền thực, vốn hợp pháp trước đây giúp chiến dịch né tránh các bộ lọc bảo mật email và kiểm tra uy tín web vốn sẽ gắn cờ các trang web không rõ nguồn gốc hoặc mới đăng ký. Khi nạn nhân tương tác với nội dung độc hại, phần mềm RMM sẽ được cài đặt âm thầm, tạo cho kẻ tấn công một chỗ đứng vững chắc có thể tồn tại sau khi khởi động lại, quét thiết bị đầu cuối và thậm chí một số triển khai công cụ bảo mật.

Khi Phần Mềm RMM Trở Thành Mối Nguy Hiểm

Vấn đề cốt lõi mà VENOMOUS#HELPER phơi bày không phải là SimpleHelp hay ScreenConnect vốn không an toàn. Đây là những sản phẩm uy tín được hàng nghìn nhóm CNTT hợp pháp sử dụng mỗi ngày. Vấn đề là kẻ tấn công đã tìm ra cách vũ khí hóa chính những tính năng khiến các công cụ này hữu ích: cài đặt nhẹ, kết nối liên tục và khả năng di chuyển xuyên suốt mạng.

Sau khi được cài đặt, các tác nhân RMM thường giao tiếp ra ngoài qua các cổng web tiêu chuẩn mà nhiều tường lửa cho phép theo mặc định. Điều này có nghĩa là kẻ tấn công kiểm soát một phiên RMM giả mạo có thể di chuyển ngang sang các hệ thống liền kề, lấy cắp dữ liệu hoặc triển khai phần mềm độc hại bổ sung, tất cả trong khi xuất hiện như hoạt động CNTT thường xuyên trên các bảng điều khiển giám sát mạng.

Việc sử dụng các trang web bên thứ ba bị xâm phạm làm cơ chế phân phối tạo thêm một lớp khó khăn cho những người bảo vệ. Các chỉ số xâm phạm truyền thống, như gắn cờ các tên miền không rõ nguồn gốc hoặc các tệp thực thi không được ký, kém hiệu quả hơn khi tải trọng đến từ một trang web mà các công cụ bảo mật đã phân loại là lành tính.

Điều Này Có Ý Nghĩa Gì Với Bạn

Đối với các cá nhân, đặc biệt là những người làm việc từ xa hoặc trong môi trường kết hợp, chiến dịch này là lời nhắc nhở rằng phần mềm mà người sử dụng lao động dùng để quản lý thiết bị làm việc của bạn mang theo rủi ro thực sự nếu không được quản trị đúng cách. Các công cụ RMM thường chạy với quyền nâng cao. Nếu kẻ tấn công giành quyền kiểm soát kênh đó, chúng có quyền truy cập rộng rãi vào máy của bạn và có thể cả các tệp và thông tin xác thực trên đó.

Đây không phải lý do để hoảng loạn, nhưng là lý do để đặt câu hỏi. Nhân viên có quyền lợi chính đáng trong việc biết phần mềm truy cập từ xa nào được cài đặt trên thiết bị của họ, ai có khả năng khởi tạo phiên và liệu các phiên đó có được ghi lại và có thể kiểm tra được hay không. Người sử dụng lao động có trách nhiệm phải có khả năng trả lời rõ ràng cả ba câu hỏi.

Đối với các tổ chức, VENOMOUS#HELPER minh họa lý do tại sao các nguyên tắc không tin tưởng tuyệt đối (zero-trust) quan trọng trong thực tế. Kiến trúc không tin tưởng tuyệt đối không giả định rằng lưu lượng xuất phát từ một công cụ đáng tin cậy hoặc địa chỉ IP đã biết là tự động an toàn. Mọi phiên, mọi yêu cầu truy cập và mọi kết nối ngang đều được xác minh. Kết hợp với xác thực đa yếu tố và phân đoạn mạng, cách tiếp cận này hạn chế đáng kể những gì kẻ tấn công có thể làm ngay cả sau khi chúng đã có được chỗ đứng ban đầu.

Việc sử dụng VPN trong mạng doanh nghiệp cũng đóng vai trò ở đây. Các đường hầm được mã hóa giữa nhân viên từ xa và tài nguyên nội bộ giảm thiểu việc lộ lưu lượng nhạy cảm bị chặn, và chúng tạo ra một điểm kiểm tra xác thực nhất quán mà những kẻ tấn công dựa trên RMM sẽ cần phải vượt qua.

Các Bước Hành Động Cụ Thể

Dù bạn là nhân viên cá nhân hay chịu trách nhiệm về bảo mật tổ chức, có những bước cụ thể đáng thực hiện để phản ứng với những gì VENOMOUS#HELPER tiết lộ.

Đối với cá nhân:

• Hỏi bộ phận CNTT của bạn xem phần mềm RMM nào được cài đặt trên thiết bị làm việc của bạn và yêu cầu chính sách bằng văn bản về cách các phiên từ xa được khởi tạo và ghi lại.
• Hãy thận trọng với các email dẫn bạn đến các trang web bên ngoài, ngay cả những trang có vẻ quen thuộc hoặc chuyên nghiệp.
• Báo cáo bất cứ điều gì cài đặt phần mềm hoặc yêu cầu quyền nâng cao mà không có yêu cầu rõ ràng trước đó từ bạn.

Đối với tổ chức:

• Kiểm tra tất cả các công cụ RMM đã triển khai và đảm bảo chỉ có các phiên bản được ủy quyền với cấu hình đã biết hiện diện trên các thiết bị đầu cuối.
• Hạn chế phần mềm RMM giao tiếp với bất kỳ máy chủ nào ngoài cơ sở hạ tầng nhà cung cấp được phê duyệt của bạn.
• Triển khai danh sách cho phép ứng dụng để ngăn các tác nhân RMM trái phép thực thi.
• Coi các bài mô phỏng phishing là chương trình liên tục, không phải bài tập một lần, đặc biệt đối với nhân viên làm việc với các nhà cung cấp bên ngoài.

VENOMOUS#HELPER là một nghiên cứu điển hình hữu ích về cách kẻ tấn công thích nghi với môi trường CNTT hiện đại. Thay vì trực tiếp đối đầu với các công cụ bảo mật, chúng tìm cách sử dụng phần mềm đáng tin cậy làm vỏ bọc. Biện pháp bảo vệ tốt nhất là biện pháp theo lớp: người dùng hoài nghi, chính sách mạng nghiêm ngặt và kiến trúc bảo mật giả định rằng sự xâm phạm luôn có thể xảy ra.