Chiến dịch lừa đảo VENOMOUS#HELPER

Một chiến dịch tấn công lừa đảo tinh vi, được xác định là VENOMOUS#HELPER, đã hoạt động ít nhất từ tháng 4 năm 2025, nhắm mục tiêu vào nhiều phương thức tấn công thông qua việc lạm dụng các công cụ Giám sát và Quản lý Từ xa (RMM) hợp pháp. Hơn 80 tổ chức, chủ yếu ở Hoa Kỳ, đã bị ảnh hưởng. Hoạt động này trùng lặp với các cụm tấn công đã được ghi nhận trước đây được gọi là STAC6405. Mặc dù việc xác định thủ phạm vẫn chưa chắc chắn, nhưng các mô hình hoạt động phù hợp mạnh mẽ với các nhóm môi giới truy cập ban đầu (IAB) hoặc các nhóm tiền thân của phần mềm tống tiền nhằm mục đích thiết lập chỗ đứng để khai thác sau này.

Sống dựa vào các công cụ đáng tin cậy: Lạm dụng phần mềm RMM hợp pháp

Thay vì triển khai phần mềm độc hại công khai, tin tặc dựa vào các phiên bản tùy chỉnh của các công cụ hợp pháp như SimpleHelp và ConnectWise ScreenConnect. Vì các ứng dụng này thường được sử dụng trong môi trường doanh nghiệp, sự hiện diện của chúng thường bỏ qua các biện pháp kiểm soát an ninh truyền thống và tránh gây nghi ngờ.

Việc triển khai đồng thời cả hai công cụ là một chiến thuật có chủ đích. Bằng cách thiết lập hai kênh truy cập từ xa, kẻ tấn công đảm bảo khả năng hoạt động liên tục. Nếu một kết nối bị phát hiện và vô hiệu hóa, kênh thứ hai vẫn hoạt động, cho phép tiếp tục truy cập trái phép mà không bị gián đoạn.

Điểm khởi đầu của tấn công lừa đảo: Kỹ thuật xã hội ngụy trang dưới vỏ bọc đáng tin cậy

Chuỗi tấn công bắt đầu bằng một email lừa đảo được soạn thảo kỹ lưỡng, giả mạo Cơ quan An sinh Xã hội Hoa Kỳ (SSA). Tin nhắn yêu cầu người nhận xác minh địa chỉ email của họ và tải xuống một bản sao kê được cho là của SSA thông qua một liên kết được nhúng.

Đáng chú ý, liên kết này dẫn nạn nhân đến một trang web kinh doanh hợp pháp nhưng đã bị xâm nhập của Mexico, cho thấy nỗ lực cố ý nhằm né tránh các bộ lọc thư rác và các biện pháp phòng vệ dựa trên uy tín. Từ đó, nạn nhân được chuyển hướng đến một tên miền thứ hai do kẻ tấn công kiểm soát, nơi lưu trữ phần mềm độc hại được ngụy trang dưới dạng một tài liệu hợp pháp.

Phân phối và duy trì dữ liệu: Thiết kế truy cập dài hạn

Sau khi được tải xuống, phần mềm độc hại, được đóng gói dưới dạng tệp thực thi Windows, sẽ khởi động quá trình cài đặt công cụ SimpleHelp RMM. Những kẻ tấn công được cho là đã xâm nhập vào tài khoản cPanel trên máy chủ lưu trữ để triển khai tệp độc hại.

Sau khi thực thi, phần mềm độc hại thiết lập khả năng tồn tại và phục hồi thông qua một số cơ chế:

• Cài đặt dưới dạng dịch vụ Windows với khả năng duy trì hoạt động trong Chế độ An toàn.
• Triển khai một cơ chế giám sát tự phục hồi, tự động khởi động lại dịch vụ nếu bị chấm dứt.
• Thường xuyên liệt kê các sản phẩm bảo mật đã cài đặt thông qua không gian tên WMI root\SecurityCenter2 cứ sau 67 giây.

• Giám sát liên tục hoạt động của người dùng theo chu kỳ 23 giây.

Những kỹ thuật này đảm bảo rằng sự hiện diện độc hại vẫn hoạt động, thích nghi và khó bị loại bỏ.

Nâng cao đặc quyền và kiểm soát toàn hệ thống

Để đạt được quyền kiểm soát tương tác hoàn toàn đối với hệ thống bị xâm nhập, ứng dụng SimpleHelp nâng cao đặc quyền bằng cách giành được quyền SeDebugPrivilege thông qua AdjustTokenPrivileges. Ngoài ra, một thành phần hợp pháp của phần mềm, 'elev_win.exe', được sử dụng để có được quyền truy cập cấp SYSTEM.

Cấp độ đặc quyền cao này cho phép kẻ tấn công:

• Theo dõi và ghi lại hoạt động trên màn hình.
• Chèn các thao tác gõ phím trong thời gian thực
• Truy cập các tài nguyên nhạy cảm trong ngữ cảnh của người dùng

Những khả năng như vậy cho phép kiểm soát hoàn toàn môi trường của nạn nhân mà không kích hoạt các cảnh báo an ninh thông thường.

Chiến lược truy cập dự phòng: ScreenConnect như một kênh dự phòng

Sau khi thiết lập kênh truy cập chính, kẻ tấn công triển khai ConnectWise ScreenConnect như một cơ chế truy cập từ xa thứ cấp. Điều này đảm bảo khả năng duy trì kết nối ngay cả khi kết nối SimpleHelp ban đầu bị phát hiện và chặn.

Việc sử dụng nhiều công cụ hợp pháp cho thấy chiến lược truy cập nhiều lớp được thiết kế để đảm bảo tính bền vững và bí mật, làm phức tạp các nỗ lực phát hiện và ứng phó sự cố.

Tác động về mặt vận hành: Kiểm soát thầm lặng ngoài tầm kiểm soát

Phiên bản SimpleHelp được triển khai (5.0.1) cung cấp một bộ tính năng quản trị từ xa mạnh mẽ. Sau khi xâm nhập vào môi trường, kẻ tấn công có được khả năng hoạt động tự do và kín đáo. Tổ chức bị xâm phạm sẽ dễ bị khai thác liên tục, vì kẻ tấn công có thể xâm nhập lại hệ thống bất cứ lúc nào.

Môi trường này thực chất trở thành một tài sản được kiểm soát, nơi kẻ thù có thể thực thi các lệnh một cách âm thầm, truyền tải tập tin theo cả hai chiều và di chuyển ngang qua mạng. Bởi vì tất cả hoạt động dường như bắt nguồn từ phần mềm được ký số hợp lệ do một nhà cung cấp uy tín của Anh sản xuất, nên các biện pháp phòng chống virus truyền thống và phòng thủ dựa trên chữ ký thường không phát hiện ra sự xâm nhập.

Kết luận: Một kế hoạch chi tiết cho các cuộc xâm nhập hiện đại

VENOMOUS#HELPER là một ví dụ điển hình cho xu hướng ngày càng gia tăng việc lợi dụng các công cụ quản trị hợp pháp cho mục đích xấu. Bằng cách kết hợp kỹ thuật xã hội, lạm dụng phần mềm đáng tin cậy và các cơ chế truy cập dư thừa, chiến dịch này đạt được sự bền vững, bí mật và linh hoạt trong hoạt động. Cách tiếp cận này nhấn mạnh nhu cầu cấp thiết về giám sát hành vi, nguyên tắc không tin tưởng (zero-trust) và tăng cường kiểm tra việc sử dụng các công cụ hợp pháp trong môi trường doanh nghiệp.