Tấn công mạng nguy hiểm: Lạm dụng công cụ hợp pháp

Một chiến dịch tấn công mạng mới đã được ghi nhận, sử dụng một công cụ quản lý từ xa hợp pháp để chiếm quyền điều khiển máy tính nạn nhân một cách âm thầm, mà không triển khai bất kỳ mã độc truyền thống nào. Hoạt động này nhắm mục tiêu vào các tổ chức tại Brazil, nơi kẻ tấn công lừa người dùng cài đặt một tác nhân phần mềm doanh nghiệp thực sự, sau đó cung cấp toàn quyền kiểm soát từ xa cho các đối tượng đe dọa.

Chiến dịch Lừa đảo Tinh vi

Chiến dịch bắt đầu bằng một email lừa đảo trông hoàn toàn bình thường. Liên kết trong email sẽ chuyển hướng nạn nhân qua một cổng trung gian của Google trước khi đến một trang web cổng thông tin doanh nghiệp giả mạo bằng tiếng Bồ Đào Nha.

Mô phỏng Quy trình Công việc Thực tế

Trang web này mô phỏng các quy trình truy cập tài liệu mà nhân viên tài chính, mua sắm và hành chính thường xuyên xử lý. Điều này giúp nạn nhân mất cảnh giác và dễ dàng rơi vào bẫy.

Điều khiến cuộc tấn công này đặc biệt nguy hiểm là những gì xảy ra sau khi người dùng nhấp vào liên kết tải xuống. Thay vì nhận được một tài liệu kinh doanh, nạn nhân lại vô tình cài đặt một tác nhân NinjaOne Remote Monitoring and Management (RMM) hợp pháp, được cấu hình để kết nối ngược lại cơ sở hạ tầng do kẻ tấn công kiểm soát.

Báo cáo từ Chuyên gia

Các nhà phân tích từ Cato CTRL, bộ phận nghiên cứu mối đe dọa của Cato Networks, đã xác định chuỗi lạm dụng NinjaOne chưa từng được ghi nhận trước đây và chia sẻ phát hiện của họ trong một báo cáo. Báo cáo này nhấn mạnh về kỹ thuật khai thác zero-day qua việc lạm dụng các công cụ hợp pháp.

Chiến dịch nhắm mục tiêu vào ít nhất một tổ chức trong lĩnh vực hóa chất và vật liệu tiên tiến. Các chủ đề kỹ thuật xã hội được sử dụng, bao gồm hồ sơ tài chính giả mạo, tài liệu nhà cung cấp và cổng quản lý khiếu nại, có liên quan rộng rãi trên nhiều ngành công nghiệp.

Kẻ tấn công đã thiết kế các trang lừa đảo phản ánh văn hóa kinh doanh Brazil, sử dụng các tên thương hiệu địa phương đáng tin cậy và các tham chiếu dịch vụ chính phủ để làm cho lời lừa đảo trở nên chân thực.

Cơ sở hạ tầng lừa đảo vẫn còn hoạt động vào ngày 3 tháng 6 năm 2026, ngay cả sau khi có thông báo tiết lộ có trách nhiệm. Kẻ tấn công đã đầu tư nỗ lực đáng kể để ngăn chặn các nhà nghiên cứu và giữ chân nạn nhân thực sự, cho thấy đây là một chiến dịch được lên kế hoạch cẩn thận thay vì là một hoạt động cơ hội.

Cơ chế Tấn công và Ảnh hưởng

Một khi nạn nhân cài đặt tác nhân NinjaOne, kẻ tấn công sẽ có cùng mức độ truy cập mà một quản trị viên CNTT hợp pháp có đối với điểm cuối đó. Điều này bao gồm việc giám sát hoạt động thiết bị, chạy lệnh từ xa, chuyển tệp, triển khai công cụ và tự động hóa tác vụ, tất cả đều thông qua một nền tảng đáng tin cậy và có chữ ký số.

Vì phần mềm là thật và phổ biến trong môi trường doanh nghiệp, hầu hết các công cụ bảo mật đều không gắn cờ nó. Tệp tải xuống có tên là NinjaOne-Agent-DocumentoFiscal21782856920262001238-Sede-Auto-x86-64, duy trì ảo ảnh về tài liệu tài chính cho đến khi cài đặt.

Nạn nhân thường được liên hệ qua điện thoại và yêu cầu cài đặt phần mềm dường như cần thiết để truy cập tài liệu của họ. Phương pháp được điều hành này loại bỏ hoàn toàn sự cần thiết của các lỗ hổng và đặt kỹ thuật xã hội vào trung tâm của cuộc tấn công.

Các Biện pháp Phòng vệ của Kẻ Tấn công

Cơ sở hạ tầng lừa đảo phức tạp hơn vẻ ngoài ban đầu. Các trang web sử dụng kỹ thuật theo dõi dấu vân tay trình duyệt (browser fingerprinting), phát hiện sandbox và geofencing để sàng lọc các nhà nghiên cứu trước khi cung cấp payload.

Trong quá trình thử nghiệm, trình cài đặt chỉ được cung cấp cho khách truy cập từ các địa chỉ IP của Brazil, làm giảm đáng kể khả năng hiển thị cho bất kỳ ai điều tra từ bên ngoài khu vực.

JavaScript nhúng theo dõi chuyển động chuột, tương tác chạm và hành vi cuộn để xác nhận sự hiện diện của người dùng thực.

Các bình luận của nhà phát triển viết bằng tiếng Bồ Đào Nha, chẳng hạn như “Bot preencheu o honeypot” (tạm dịch: “Bot đã điền vào honeypot”), cho thấy những nỗ lực có chủ ý nhằm chặn các hệ thống phân tích.

Sau khi các kiểm tra được vượt qua, payload được phân phối âm thầm thông qua một iframe ẩn, và các dấu vết của cơ chế được xóa sạch trong vòng khoảng 30 giây.

Bất chấp các biện pháp bảo vệ này, các nhà nghiên cứu đã tìm thấy một manh mối bất ngờ. Nhiều tên miền do kẻ tấn công kiểm soát hiển thị cùng một hình nền theo chủ đề Trái đất. Việc xoay quanh tên tệp hình ảnh được chia sẻ này đã phơi bày thêm cơ sở hạ tầng của chiến dịch.

Các nhà điều tra cũng tìm thấy sự trùng lặp với cơ sở hạ tầng trước đây được liên kết với Venon RAT, một chiến dịch đe dọa tại Brazil sử dụng mã độc dựa trên Rust, mặc dù kết nối này chưa đủ để quy kết chắc chắn.

Khuyến nghị Bảo mật

Các tổ chức nên giám sát việc cài đặt trái phép phần mềm quản lý từ xa, đặc biệt là khi người dùng được yêu cầu cài đặt phần mềm chỉ để xem một tài liệu. Yêu cầu bất thường liên quan đến hồ sơ tài chính, liên lạc nhà cung cấp hoặc quy trình làm việc khiếu nại nên được xem xét cẩn thận.

Các nhóm bảo mật được khuyến nghị cảnh báo nhân viên trong các bộ phận tài chính, mua sắm và hành chính, vì họ vẫn là mục tiêu có khả năng nhất của loại hình tấn công này. Việc phát hiện xâm nhập thông qua các hành vi bất thường là rất quan trọng.

Các Chỉ số Liên quan (IoCs)

• Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.] ) để ngăn chặn việc phân giải hoặc siêu liên kết vô tình. Chỉ khôi phục định dạng gốc trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.