
Cảnh báo bảo mật: Tin tặc giả danh nhân viên IT trên Microsoft Teams để phát tán mã độc EtherRAT
Các chuyên gia bảo mật cảnh báo về chiến dịch tấn công tinh vi khi tội phạm mạng giả danh nhân viên IT trên Microsoft Teams, lừa người dùng cài đặt công cụ điều khiển từ xa để chiếm quyền kiểm soát máy tính thông qua mã độc EtherRAT.
Bài viết được dịch và tổng hợp từ tin tức gốc. Bạn có thể đọc bài viết gốc bằng tiếng Anh tại đây.
Điểm tin nhanh:
- Tội phạm mạng đang giả danh nhân viên hỗ trợ IT trên Microsoft Teams để lừa đảo nhân viên doanh nghiệp.
- Nạn nhân bị dụ dỗ cài đặt các công cụ quản trị từ xa (như AnyDesk, HopToDesk) để kẻ tấn công cài đặt mã độc EtherRAT.
- EtherRAT là một loại RAT (Remote Access Trojan) dựa trên Node.js, có khả năng vận hành trên đa nền tảng (Windows, Linux, macOS) và sử dụng hợp đồng thông minh Ethereum để điều khiển C2.
Phương thức tấn công "Giả danh IT" trên Microsoft Teams
Các nhà nghiên cứu tại Unit 42 (Palo Alto Networks) vừa phát đi cảnh báo về một chiến dịch tấn công mạng nguy hiểm nhắm vào môi trường doanh nghiệp. Kẻ tấn công sử dụng nền tảng Microsoft Teams làm bàn đạp để thực hiện các cuộc tấn công lừa đảo (phishing) tinh vi.
Quy trình tấn công (Attack Workflow)
Để hình dung rõ hơn về cách thức kẻ tấn công chiếm quyền điều khiển, chúng ta có thể tóm tắt quy trình qua sơ đồ sau:
[Email Phishing giả mạo khảo sát] ➔ [Cuộc gọi Teams từ kẻ giả danh IT] ➔ [Yêu cầu cấp quyền điều khiển từ xa] ➔ [Cài đặt AnyDesk/HopToDesk] ➔ [Tải xuống MSI chứa EtherRAT] ➔ [Chiếm quyền kiểm soát hệ thống]
Chi tiết kỹ thuật về EtherRAT
EtherRAT là một Trojan truy cập từ xa (RAT) được viết bằng Node.js. Điểm đặc biệt của mã độc này là khả năng linh hoạt trong việc duy trì kết nối với máy chủ điều khiển (Command-and-Control - C2). Thay vì hardcode địa chỉ IP hoặc domain, nó truy vấn trực tiếp một hợp đồng thông minh trên mạng lưới Ethereum để lấy địa chỉ C2 hiện hành.
| Đặc tính kỹ thuật | Chi tiết |
|---|---|
| Ngôn ngữ phát triển | Node.js |
| Nền tảng hỗ trợ | Windows, Linux, macOS |
| Cơ chế C2 | Hợp đồng thông minh Ethereum (dự phòng qua domain) |
| Mục đích | Đánh cắp dữ liệu, thao tác file, duy trì quyền truy cập |
| Phiên bản phát hiện | Đã ghi nhận từ v1 đến v9 |
Dấu vết pháp y (Forensic Artifacts)
Theo Brian Janower, nhà nghiên cứu tại Unit 42, các quản trị viên hệ thống có thể phát hiện dấu hiệu xâm nhập thông qua các file log của Microsoft Teams. Khi một phiên điều khiển từ xa được thiết lập, Teams sẽ tạo ra các file có tiền tố CtrlVirtualCursorWin_*. Đây là một chỉ báo quan trọng (Indicator of Compromise - IoC) để đội ngũ bảo mật xác định liệu máy tính của nhân viên có đang bị kẻ xấu can thiệp hay không.
Lời khuyên cho doanh nghiệp
Trong bối cảnh các công cụ cộng tác như Teams trở thành mục tiêu của tội phạm mạng, việc quản lý quyền truy cập và nâng cao nhận thức bảo mật cho nhân viên là vô cùng cấp thiết. Các doanh nghiệp cần:
- Xác thực danh tính: Luôn kiểm tra kỹ các cuộc gọi từ những người dùng có nhãn "External" (Bên ngoài tổ chức) trên Teams.
- Kiểm soát phần mềm: Hạn chế quyền cài đặt các phần mềm điều khiển từ xa không nằm trong danh mục được phê duyệt của công ty.
- Giám sát log: Theo dõi chặt chẽ các log hệ thống và các file lạ xuất hiện trong thư mục tạm của Teams.
Việc bảo mật hệ thống không chỉ dừng lại ở phần mềm, mà còn là sự kết hợp giữa quy trình quản lý và ý thức con người. Nếu bạn quan tâm đến việc tối ưu hóa quy trình làm việc và bảo mật trong môi trường chat, hãy tham khảo thêm về Slackbot nâng cấp mạnh mẽ: Quản lý CRM, tạo biểu đồ và ký tài liệu DocuSign ngay trong khung chat để hiểu cách các công cụ cộng tác có thể được tích hợp an toàn và hiệu quả hơn.

Do you like this post?
Upvote to push this post higher on the community feed
