Mối đe dọa mạng A0Backdoor: Chiến dịch tấn công nguy hiểm

Một mối đe dọa mạng mới đã được xác định, đó là backdoor có tên A0Backdoor. Mã độc này xuất hiện trong một chiến dịch tấn công kỹ thuật xã hội có tính toán, lợi dụng Microsoft Teams và công cụ hỗ trợ từ xa Windows Quick Assist. Nhóm đe dọa này được theo dõi dưới nhiều biệt danh như Blitz Brigantine, Storm-1811 và STAC5777, đồng thời có liên hệ với mạng lưới ransomware Black Basta.

Tổng quan về Chiến dịch Tấn công Mạng A0Backdoor và các Mối Đe Dọa

Chiến dịch này đã hoạt động từ ít nhất là tháng 8 năm 2025 cho đến cuối tháng 2 năm 2026. Các mục tiêu chính là các chuyên gia trong lĩnh vực tài chính và chăm sóc sức khỏe, với chuỗi tấn công ngày càng tinh vi. Đây là một ví dụ điển hình về mối đe dọa mạng đang phát triển không ngừng.

Khởi đầu cuộc tấn công và Kỹ thuật xã hội

Cuộc tấn công bắt đầu bằng cách gửi hàng nghìn email spam đến hộp thư của nạn nhân, tạo ra sự nhầm lẫn và cảm giác cấp bách. Sau đó, nhóm đe dọa liên hệ với nạn nhân qua Microsoft Teams, giả mạo là nhân viên hỗ trợ IT để đề nghị giúp giải quyết vấn đề email.

Nạn nhân, tin rằng đang nói chuyện với bộ phận hỗ trợ của công ty, đã cấp quyền truy cập từ xa thông qua Quick Assist. Đây là một công cụ tích hợp sẵn của Windows cho phép một máy tính được kiểm soát bởi máy tính khác. Với quyền truy cập này, những kẻ tấn công nhanh chóng cài đặt các công cụ riêng và thiết lập một foothold lâu dài trên máy bị xâm nhập.

Cơ chế Lây nhiễm và Kỹ thuật Che giấu của A0Backdoor

Các nhà phân tích từ BlueVoyant đã xác định hai sự cố riêng biệt liên quan đến chiến dịch này. Họ phát hiện phần mềm độc hại được gửi đến nạn nhân ngụy trang dưới dạng các ứng dụng hợp pháp của Microsoft, bao gồm Microsoft Teams và một tiện ích có tên CrossDeviceService. Các gói cài đặt này đến dưới dạng file MSI installer có chữ ký số, tạo vẻ ngoài của các bản cập nhật phần mềm chính hãng.

Các nhà nghiên cứu cũng lưu ý rằng ít nhất ba chứng chỉ ký mã đã được sử dụng từ tháng 7 năm 2025. Điều này cho thấy nhóm đã âm thầm xây dựng bộ công cụ tùy chỉnh của mình trong nhiều tháng. Hậu quả của cuộc tấn công mạng này vượt xa phiên làm việc từ xa ban đầu, đặt ra một mối đe dọa mạng đáng kể.

Thu thập thông tin và Giao tiếp Ban đầu

Backdoor A0Backdoor thu thập thông tin chi tiết về hệ thống như tên người dùng và tên máy tính để lấy dấu vân tay (fingerprint) của máy chủ bị nhiễm trước khi liên lạc với những kẻ điều hành nó.

Giao tiếp này được thực hiện thông qua DNS tunneling qua các trình phân giải công cộng như 1.1.1.1. Điều này giúp máy bị nhiễm tránh kết nối trực tiếp với các máy chủ do kẻ tấn công kiểm soát, làm cho lưu lượng truy cập khó bị gắn cờ hơn, đây là một chiến thuật tinh vi của mối đe dọa mạng này.

Kỹ thuật DLL Sideloading

Cơ chế lây nhiễm đằng sau A0Backdoor cho thấy mức độ tinh vi trong cách tiếp cận kỹ thuật của nhóm. Khi kẻ tấn công thả gói MSI độc hại vào máy của nạn nhân, nó sẽ cài đặt một ứng dụng Microsoft trông có vẻ hợp pháp cùng với một tệp tin bị giả mạo có tên hostfxr.dll.

Thông thường, tệp hostfxr.dll là một thành phần hosting .NET đáng tin cậy được ký bởi Microsoft. Tuy nhiên, trong cuộc tấn công này, nó đã bị thay thế bằng một bản sao độc hại được ký dưới tên chứng chỉ MULTIMEDIOS CORDILLERANOS SRL. Khi thực thi hợp pháp chạy, nó tải DLL giả mạo này – một phương pháp được gọi là DLL sideloading. Kỹ thuật này cho phép mã độc chạy âm thầm dưới vỏ bọc của một tiến trình đáng tin cậy.

Một khi được tải, hostfxr.dll độc hại sẽ giải mã dữ liệu ẩn trong mã của nó và chuyển quyền thực thi sang một payload shellcode. Để làm phức tạp việc phân tích, loader phát sinh các lệnh gọi CreateThread quá mức, có thể gây treo các trình gỡ lỗi trong quá trình chạy.

Các Biện pháp Tránh Phân tích và Khai thác Thời gian của A0Backdoor

Shellcode kiểm tra xem nó có đang chạy trong môi trường ảo hay không bằng cách truy vấn các bảng firmware để tìm các chỉ số sandbox như chuỗi “QEMU”. Nó cũng sử dụng một hệ thống khóa dựa trên thời gian, trong đó khóa giải mã thay đổi khoảng 55 giờ một lần. Việc thực thi mã độc bên ngoài cửa sổ thời gian này sẽ tạo ra khóa sai, khiến payload bị khóa vĩnh viễn. Đây là một yếu tố khiến việc phân tích mối đe dọa mạng này trở nên thách thức.

Giao tiếp Điều khiển và Chỉ huy (C2) của A0Backdoor

Payload A0Backdoor cuối cùng kết nối với những kẻ điều hành thông qua các truy vấn bản ghi DNS MX. Nó sử dụng các tên miền phụ có độ entropy cao (high-entropy subdomains) hòa lẫn vào lưu lượng mạng thông thường. Thay vì đăng ký các tên miền mới có thể gây chú ý, những kẻ điều hành đã đăng ký lại các tên miền cũ, đã hết hạn. Điều này giúp chúng lách qua các công cụ phát hiện được tinh chỉnh để phát hiện các tên miền mới đăng ký hoặc được tạo theo thuật toán, một kỹ thuật né tránh đáng gờm trong các cuộc tấn công mạng.

Chỉ số xâm nhập (IOCs) và Nhận diện mục tiêu

Cuộc điều tra đã xác định các nạn nhân bao gồm các chuyên gia tại một tổ chức tài chính ở Canada và một tổ chức y tế toàn cầu. Dưới đây là các chỉ số xâm nhập (IOCs) cần lưu ý để phát hiện A0Backdoor:

• Chữ ký chứng chỉ độc hại: MULTIMEDIOS CORDILLERANOS SRL
• Chuỗi chỉ báo Sandbox: QEMU
• Trình phân giải DNS công cộng bị lạm dụng cho C2: 1.1.1.1
• Kiểu tên miền phụ C2: High-entropy subdomains, các tên miền cũ đã được đăng ký lại.
• Tên tệp độc hại bị thay thế: hostfxr.dll
• Tên các ứng dụng giả mạo: Microsoft Teams, CrossDeviceService.
• Hình thức phát tán: File MSI installer có chữ ký số.

Để tìm hiểu thêm về phân tích này, bạn có thể tham khảo báo cáo chi tiết từ BlueVoyant về A0Backdoor.

Biện pháp Phòng ngừa và Phát hiện Mối đe dọa mạng

Các tổ chức cần áp dụng các biện pháp bảo mật chặt chẽ để giảm thiểu rủi ro từ những mối đe dọa mạng như A0Backdoor:

Hạn chế quyền truy cập và Đào tạo nhân viên

• Hạn chế sử dụng Quick Assist trong môi trường doanh nghiệp và triển khai các chính sách chặn các phiên truy cập từ xa không được yêu cầu.
• Đào tạo nhân viên luôn xác minh bất kỳ liên hệ hỗ trợ IT nào được thực hiện qua Microsoft Teams trước khi cấp quyền truy cập hoặc chia sẻ thông tin đăng nhập.

Giám sát và Phát hiện trên mạng

Các nhóm an ninh cần theo dõi các gói MSI xuất hiện trong thư mục AppData của người dùng. Đồng thời, họ cần gắn cờ các truy vấn DNS MX đi ra hướng đến các trình phân giải công cộng và giám sát hoạt động DNS tunneling trong mạng. Đây là các biện pháp quan trọng để đối phó với mối đe dọa mạng.

Việc hạn chế quyền truy cập bên ngoài của Microsoft Teams từ các tenant không được nhận diện loại bỏ một trong những kênh chính mà nhóm đe dọa này dựa vào để liên hệ ban đầu.