Tấn công RDP nguy hiểm: APT Sandworm chiếm quyền điều khiển

Một nhóm tấn công mạng tiên tiến (APT) được hỗ trợ đang tích cực nhắm mục tiêu vào các máy chủ **Remote Desktop Protocol (RDP)** trên hạ tầng trọng yếu, tổ chức quốc phòng và cơ quan chính phủ. Chiến dịch này đánh dấu sự chuyển đổi đáng kể trong chiến thuật của nhóm, tập trung vào việc xâm nhập thầm lặng và thu thập thông tin tình báo dài hạn.

Nhóm này, được biết đến với tên gọi **APT-C-13** và thường được theo dõi dưới các tên như **Sandworm**, **APT44**, **Seashell Blizzard**, và **Voodoo Bear**, đã thực hiện các hoạt động mạng từ ít nhất năm **2009**. Chiến dịch hiện tại thể hiện rõ sự thay đổi chiến lược.

Nội dung

APT Sandworm: Chuyển Đổi Chiến Thuật Tấn Công

Điểm Khởi Đầu Của Cuộc Tấn Công RDP

Khung Kỹ Thuật Tấn Công Tambur/Sumbur/Kalambur

Module Tambur: Thiết Lập Persistence

Module Kalambur và Sumbur: Che Giấu Hoạt Động C2

Module DemiMur: Vô Hiệu Hóa Bảo Mật Hệ Thống

Tác Động Và Rủi Ro Bảo Mật

Các Chỉ Số Thỏa Hiệp (IOCs)

Biện Pháp Phòng Ngừa Và Phát Hiện Hiệu Quả

APT Sandworm: Chuyển Đổi Chiến Thuật Tấn Công

Trong chiến dịch gần đây nhất, **APT Sandworm** đã từ bỏ các cuộc tấn công phá hoại, một lần mà chuyển sang chiến lược xâm nhập âm thầm và duy trì quyền truy cập kéo dài. Mục tiêu chính là thu thập thông tin tình báo trong thời gian dài.

Các nhà nghiên cứu mô tả sự chuyển đổi này là từ “gây rối tức thì” sang “ký sinh dai dẳng dựa trên thông tin tình báo”, một sự phát triển có tính toán được quan sát từ **2024** đến **2026**.

Điểm Khởi Đầu Của Cuộc Tấn Công RDP

Điểm xâm nhập chính của chiến dịch này là một ảnh ISO ngụy trang có tên **Microsoft.Office.2025×64.v2025.iso**. Ảnh này được phân phối rộng rãi qua các kênh **Telegram** và các cộng đồng chia sẻ phần mềm crack.

Khi nạn nhân mount ảnh ISO và cố gắng cài đặt hoặc kích hoạt phần mềm Microsoft Office giả mạo, các file thực thi ẩn dưới dạng **auto.exe** hoặc **setup.exe** sẽ tự động khởi chạy trong nền.

Kỹ thuật social engineering này lợi dụng sự tin tưởng của người dùng vào các tên phần mềm quen thuộc. Sau khi kích hoạt, trình tải ban đầu sẽ quét cấu hình hệ thống mục tiêu và triển khai các module độc hại khác một cách chọn lọc. Thông tin chi tiết về các kỹ thuật social engineering có thể tham khảo thêm tại Cybersecurity News.

Các nhà phân tích tại **360 Threat Intelligence Center** đã xác định chiến dịch này và xác nhận rằng **APT-C-13** đang triển khai một khung xâm nhập modular có tên là dòng **Tambur/Sumbur/Kalambur**. Bạn có thể tìm đọc phân tích gốc tại 360 Threat Intelligence Center.

Khung Kỹ Thuật Tấn Công Tambur/Sumbur/Kalambur

Khung tấn công này được thiết kế để duy trì quyền truy cập và che giấu hoạt động C2 một cách tinh vi, gây khó khăn cho việc **phát hiện xâm nhập**.

Module Tambur: Thiết Lập Persistence

Module **Tambur** thiết lập persistence bằng cách tạo các tác vụ theo lịch trình (scheduled tasks) có tên “**Tambur**” và “**Protector**”. Các tác vụ này được đặt trong đường dẫn `\Microsoft\Windows\WDI\Protector\` để giả mạo thành một thành phần Windows Diagnostic Infrastructure (WDI) tự nhiên.

Các tác vụ này chạy với đặc quyền **administrator-level** và sử dụng một mật khẩu mã hóa cứng là `1qaz@WSX` để duy trì quyền truy cập liên tục, không bị gián đoạn vào dịch vụ RDP trên host bị nhiễm mã độc. Đây là một kỹ thuật **chiếm quyền điều khiển** hệ thống thông qua persistence.

Module Kalambur và Sumbur: Che Giấu Hoạt Động C2

Các module **Kalambur** và **Sumbur** mở rộng khả năng kiểm soát bằng cách định tuyến tất cả lưu lượng Command-and-Control (C2) thông qua mạng ẩn danh **Tor**. Điều này giúp che giấu vị trí thực của kẻ tấn công.

Bằng cách sử dụng **SSH reverse tunneling**, kẻ tấn công ánh xạ cổng RDP (**3389**) của nạn nhân tới một máy chủ C2 từ xa. Kỹ thuật này cho phép đăng nhập RDP từ xa một cách âm thầm từ bất kỳ đâu trên thế giới. Để biết thêm về C2 servers, bạn có thể tham khảo bài viết này.

**Sumbur**, phiên bản tinh vi hơn của khung này, mô phỏng dịch vụ cập nhật của Microsoft Edge. Nó lưu trữ các VBScript độc hại trong một thư mục cập nhật Edge giả mạo và kích hoạt chúng cứ **bốn giờ một lần** để hòa nhập vào hoạt động phần mềm bình thường.

Module DemiMur: Vô Hiệu Hóa Bảo Mật Hệ Thống

Module **DemiMur** hoàn thiện chuỗi tấn công bằng cách tiêm một chứng chỉ gốc giả mạo (**DemiMurCA.crt**) vào kho chứng chỉ tin cậy của hệ thống. Từ thời điểm đó, Windows sẽ coi tất cả các payload độc hại tiếp theo là hoàn toàn đáng tin cậy và được ký hợp lệ.

Kết hợp với việc buộc tắt các loại trừ (exclusions) của Microsoft Defender (tham khảo thêm) bao gồm toàn bộ ổ đĩa C, lớp bảo mật gốc của host bị vô hiệu hóa hoàn toàn, để lại cho kẻ tấn công một môi trường hoạt động sạch và không bị phát hiện.

Tác Động Và Rủi Ro Bảo Mật

Tác động của chiến dịch **tấn công RDP** này là nghiêm trọng và sâu rộng. Do chuỗi tấn công chủ yếu lạm dụng các công cụ Windows hợp pháp—bao gồm scheduled tasks, SSH, PowerShell và RDP—các giải pháp chống virus tiêu chuẩn thường không thể đưa ra cảnh báo.

Nhóm tấn công không còn vội vàng; chúng tự cài đặt một cách âm thầm và lưu trú trong nhiều tháng, từ từ trích xuất dữ liệu nhạy cảm từ bên trong môi trường đáng tin cậy của tổ chức. Đây là một **mối đe dọa mạng** dài hạn.

Điều đáng lo ngại là vào thời điểm hầu hết các tổ chức nhận ra có điều gì đó không ổn, kẻ tấn công có thể đã đạt được mục tiêu của chúng, bao gồm việc **chiếm quyền điều khiển** và đánh cắp dữ liệu.

Các Chỉ Số Thỏa Hiệp (IOCs)

Để hỗ trợ **phát hiện xâm nhập** và phòng ngừa, các tổ chức nên theo dõi các chỉ số thỏa hiệp sau:

Tên ảnh ISO: Microsoft.Office.2025x64.v2025.iso
Tên file thực thi độc hại: auto.exe, setup.exe
Đường dẫn Scheduled Task: \Microsoft\Windows\WDI\Protector\
Tên Scheduled Task: Tambur, Protector
Mật khẩu mã hóa cứng: 1qaz@WSX (dùng cho persistence RDP)
Tên chứng chỉ giả mạo: DemiMurCA.crt
Tên khung độc hại: Tambur, Sumbur, Kalambur series

Biện Pháp Phòng Ngừa Và Phát Hiện Hiệu Quả

Các tổ chức cần áp dụng ngay lập tức các biện pháp để tăng cường **an ninh mạng** và ngăn chặn các cuộc **tấn công RDP** tinh vi này.

Cần chặn ngay lập tức các công cụ kích hoạt của bên thứ ba và ảnh ISO trái phép xâm nhập vào mạng của họ, vì đây là kênh phân phối chính cho cuộc tấn công này.

Hành vi mạng nội bộ—bao gồm việc tạo tác vụ theo lịch trình, sửa đổi registry và thực thi PowerShell—nên được giám sát chặt chẽ để tìm dấu hiệu giả mạo. Bảo mật endpoint phải được cập nhật đầy đủ với các bản quét toàn diện thường xuyên, cũng như áp dụng các **bản vá bảo mật** kịp thời.

Các tổ chức và cơ sở công nghiệp trọng yếu cũng nên tăng cường các hoạt động kiểm toán nội bộ và xây dựng các quy tắc phát hiện cụ thể nhắm mục tiêu vào hoạt động RDP và SSH bất thường. Điều này nhằm ngăn chặn hành vi đánh cắp thông tin tình báo dài hạn và bảo vệ hệ thống khỏi **mối đe dọa mạng** từ các nhóm APT như **APT Sandworm**.