top of page

Microsoft Teams bị lợi dụng để giả mạo bộ phận IT, phát tán mã độc EtherRAT vào doanh nghiệp

Một chiến dịch tấn công mới đang lợi dụng các cuộc gọi thoại trên Microsoft Teams để giả mạo nhân viên hỗ trợ CNTT, lừa người dùng cài đặt mã độc EtherRAT. Kẻ tấn công kết hợp email lừa đảo, cuộc gọi Teams và phần mềm điều khiển từ xa hợp pháp nhằm chiếm quyền truy cập ban đầu vào hệ thống doanh nghiệp.

Trong bối cảnh Microsoft Teams trở thành nền tảng giao tiếp phổ biến trong doanh nghiệp, các nhóm tấn công mạng cũng nhanh chóng chuyển hướng sang khai thác chính sự tin tưởng của người dùng. Chiến dịch phát tán EtherRAT mới được phát hiện cho thấy chỉ một cuộc gọi giả danh bộ phận IT cũng có thể mở đường cho mã độc xâm nhập toàn bộ hệ thống nếu nhân viên mất cảnh giác.

Microsoft Teams đang bị lợi dụng như thế nào để phát tán EtherRAT?

Chiến dịch này không khai thác lỗ hổng của Microsoft Teams mà lợi dụng yếu tố con người thông qua kỹ thuật Social Engineering. Kẻ tấn công đóng giả nhân viên hỗ trợ CNTT để tạo lòng tin và hướng dẫn nạn nhân tự thực hiện các thao tác nguy hiểm.

Quá trình tấn công bắt đầu bằng email phishing chứa tệp PDF độc hại. Sau đó, nạn nhân nhận cuộc gọi Microsoft Teams từ tài khoản bên ngoài tự xưng là bộ phận IT.

Microsoft Teams giả mạo IT Support phát tán EtherRAT
Microsoft Teams giả mạo IT Support phát tán EtherRAT

Trong cuộc gọi, nạn nhân được yêu cầu cài đặt các công cụ điều khiển từ xa hợp pháp như AnyDesk hoặc HopToDesk nhằm "khắc phục sự cố". Sau khi có quyền truy cập, đối tượng triển khai trình cài đặt MSI độc hại để tải Node.js runtime, giải mã các thành phần mã độc và cuối cùng kích hoạt EtherRAT trên thiết bị nạn nhân.

EtherRAT nguy hiểm ra sao đối với doanh nghiệp?

EtherRAT là mã độc cho phép kẻ tấn công duy trì quyền truy cập từ xa sau khi xâm nhập thành công.

Theo thông tin được công bố, mục tiêu của chiến dịch là tạo điểm truy cập ban đầu (Initial Access) vào mạng doanh nghiệp. Khi đã hiện diện trong hệ thống, tin tặc có thể tiếp tục mở rộng phạm vi tấn công hoặc triển khai các hoạt động tiếp theo.

Điểm đáng chú ý là toàn bộ chuỗi tấn công sử dụng nhiều phần mềm hợp pháp nên dễ vượt qua sự nghi ngờ của người dùng cũng như một số cơ chế bảo vệ truyền thống.

Vì sao các cuộc gọi giả mạo IT Support ngày càng hiệu quả?

Các nền tảng cộng tác như Microsoft Teams đã trở thành công cụ làm việc hàng ngày của doanh nghiệp. Điều này khiến nhân viên ít nghi ngờ khi nhận cuộc gọi từ người tự nhận là bộ phận kỹ thuật.

Microsoft trước đó cũng từng cảnh báo các nhóm tấn công đang ngày càng lạm dụng Teams để thực hiện các chiến dịch giả mạo Helpdesk, kết hợp phần mềm điều khiển từ xa hợp pháp nhằm chiếm quyền truy cập hệ thống.

Doanh nghiệp cần làm gì để phòng tránh hình thức tấn công này?

Biện pháp quan trọng nhất là xây dựng quy trình xác minh trước mọi yêu cầu hỗ trợ kỹ thuật.

Doanh nghiệp nên quy định rõ:

  • Không cài đặt phần mềm điều khiển từ xa theo hướng dẫn từ cuộc gọi bất ngờ.

  • Xác minh danh tính người gọi thông qua kênh nội bộ chính thức.

  • Hạn chế hoặc kiểm soát quyền gọi từ tài khoản Microsoft Teams bên ngoài.

  • Đào tạo nhận diện các cuộc gọi giả mạo IT Helpdesk.

  • Theo dõi các hoạt động cài đặt phần mềm điều khiển từ xa và MSI bất thường trên thiết bị đầu cuối.

Những biện pháp này giúp giảm đáng kể nguy cơ bị khai thác thông qua kỹ thuật lừa đảo thay vì lỗ hổng kỹ thuật.

Microsoft Teams giả mạo IT Support, EtherRAT Malware
Microsoft Teams giả mạo IT Support, EtherRAT Malware

Giải pháp doanh nghiệp có thể triển khai ngay

Đối với các chiến dịch Social Engineering kết hợp Microsoft Teams, yếu tố con người là lớp phòng thủ đầu tiên.

Doanh nghiệp nên:

  • Ban hành quy trình xác minh Helpdesk nhiều bước trước khi cấp quyền điều khiển máy tính.

  • Áp dụng nguyên tắc Zero Trust đối với mọi yêu cầu truy cập từ xa.

  • Giới hạn quyền cài đặt phần mềm của người dùng thông thường.

  • Theo dõi các tiến trình bất thường như AnyDesk, HopToDesk hoặc MSI Installer phát sinh ngoài quy trình chuẩn.

  • Tổ chức diễn tập nhận diện cuộc gọi giả mạo định kỳ cho nhân viên.

Trong thực tế, các cuộc tấn công kiểu Helpdesk Impersonation thường diễn ra rất nhanh và khó được phát hiện nếu doanh nghiệp không có đội ngũ giám sát an ninh hoạt động liên tục.

Giải pháp bảo vệ “lá chắn số” từ IPSIP Việt Nam

Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động 24/7 như Trung tâm Giám sát An ninh mạng (SOC 24/7), Trung tâm Điều hành Mạng lưới (NOC 24/7) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm.

Giải pháp an ninh mạng IPSIP Việt Nam
Giải pháp an ninh mạng IPSIP Việt Nam
Chiến dịch phát tán EtherRAT cho thấy tin tặc không nhất thiết phải khai thác lỗ hổng phần mềm mà ngày càng tập trung vào việc khai thác niềm tin của người dùng. Chỉ một cuộc gọi Microsoft Teams giả danh bộ phận IT cũng có thể trở thành điểm khởi đầu cho một sự cố an ninh nghiêm trọng. Vì vậy, doanh nghiệp cần đồng thời tăng cường nhận thức người dùng, chuẩn hóa quy trình hỗ trợ kỹ thuật và đầu tư các lớp giám sát an ninh phù hợp để giảm thiểu rủi ro từ các cuộc tấn công Social Engineering ngày càng tinh vi.

Nguồn tham khảo


Bình luận


theo dõi ipsip việt nam trên google news.png
conact-ipsip-vietnam
zalo
đặt lịch hẹn
bottom of page