Tổng quan
Một làn sóng tấn công mới đang gia tăng, trong đó kẻ xấu lạm dụng các công cụ Quản lý và Giám sát Từ xa (Remote Monitoring and Management – RMM) hợp pháp như LogMeIn Resolve (trước đây là GoToResolve) và PDQ Connect để chiếm quyền điều khiển hệ thống của nạn nhân. Thay vì phát tán mã độc truyền thống, tin tặc đánh lừa người dùng cài đặt các phần mềm hỗ trợ CNTT đáng tin cậy này dưới những vỏ bọc quen thuộc—chẳng hạn như tiện ích thường ngày hoặc bản cập nhật phần mềm.
Khi được cài đặt, công cụ RMM sẽ cấp cho kẻ tấn công quyền truy cập từ xa toàn phần vào máy nạn nhân. Do bản thân phần mềm là hợp pháp và được sử dụng phổ biến trong môi trường doanh nghiệp, nhiều cơ chế phát hiện bảo mật truyền thống khó có thể phát hiện hoặc ngăn chặn hành vi lạm dụng này.
Gia tăng phát hiện hành vi lạm dụng RMM
Gần đây, dữ liệu giám sát (telemetry) cho thấy sự gia tăng đáng kể các phát hiện mang định danh RiskWare.MisusedLegit.GoToResolve, dùng để đánh dấu các trường hợp sử dụng đáng ngờ công cụ RMM hợp pháp GoToResolve/LogMeIn Resolve.
Dữ liệu cũng cho thấy công cụ này xuất hiện với nhiều tên tệp (filename) khác nhau, phản ánh các chiến thuật ngụy trang nhằm đánh lừa người dùng tải về và cài đặt. Tên tệp thường đóng vai trò như “mồi nhử”, khiến nạn nhân tin rằng họ đang tải một phần mềm hợp pháp hoặc cần thiết.
Kịch bản lừa đảo điển hình
Một ví dụ điển hình là email lừa đảo (phishing) được gửi tới người dùng tại Bồ Đào Nha. Trong email, liên kết tải về trỏ tới một tệp được lưu trữ trên Dropbox.
Việc sử dụng công cụ RMM hợp pháp kết hợp với tên miền uy tín như dropbox[.]com khiến email trở nên đáng tin cậy hơn, đồng thời làm giảm khả năng bị các giải pháp bảo mật email chặn lại.
Ngoài ra, các nhà nghiên cứu khác cũng ghi nhận việc kẻ tấn công dựng các website giả mạo, sao chép giao diện trang tải về của những tiện ích miễn phí phổ biến như Notepad++ hay 7-Zip. Khi người dùng nhấp vào liên kết độc hại, họ thực chất tải về trình cài đặt RMM đã bị cấu hình sẵn cho mục đích tấn công.
Cơ chế kiểm soát và né tránh phát hiện
Trình cài đặt RMM độc hại này thường được gắn sẵn một “CompanyId” duy nhất—một mã định danh cứng (hardcoded) liên kết trực tiếp máy nạn nhân với bảng điều khiển quản trị của kẻ tấn công.
Nhờ mã định danh này, tin tặc có thể ngay lập tức nhận diện và kết nối tới hệ thống mới bị xâm nhập mà không cần thêm thông tin xác thực hay phát triển mã độc tùy chỉnh. Công cụ hợp pháp sẽ tự động đăng ký và hoạt động trơn tru dưới tài khoản của kẻ tấn công.
Trong nhiều môi trường, tường lửa và các giải pháp an ninh cho phép lưu lượng RMM đi qua, bởi các công cụ này được thiết kế để chạy với quyền quản trị (administrator privileges) và phục vụ hoạt động CNTT hợp pháp. Hệ quả là lưu lượng truy cập độc hại “hòa lẫn” với lưu lượng quản trị bình thường, gây khó khăn cho việc phát hiện.
Mối liên hệ với tấn công ransomware và APT
Việc lạm dụng RMM thường không phải là đích đến cuối cùng. Trong nhiều chiến dịch, đây là bước xâm nhập ban đầu (Initial Access), tạo bàn đạp cho các hoạt động nguy hiểm hơn như:
- Triển khai malware bổ sung hoặc ransomware
- Đánh cắp thông tin xác thực và dữ liệu nhạy cảm
- Di chuyển ngang (lateral movement) trong mạng nội bộ
- Vô hiệu hóa hoặc né tránh các giải pháp bảo mật
Đối với các nhóm APT (Advanced Persistent Threat), RMM bị lạm dụng là công cụ lý tưởng để duy trì hiện diện lâu dài, khó bị phát hiện và dễ ngụy trang dưới hoạt động quản trị hợp pháp.
Khuyến nghị bảo mật: Làm thế nào để tự bảo vệ
Bằng cách lạm dụng các công cụ CNTT đáng tin cậy thay vì mã độc truyền thống, kẻ tấn công đang nâng cao mức độ tinh vi về khả năng ẩn mình và duy trì quyền truy cập. Nhận thức an ninh và kiểm soát chặt chẽ nguồn tải phần mềm là tuyến phòng thủ quan trọng nhất.
Các biện pháp khuyến nghị:
- Chỉ tải và cài đặt phần mềm từ website chính thức hoặc các nguồn đã được xác minh.
- Kiểm tra chữ ký số (digital signature) và chứng chỉ của tệp cài đặt trước khi chạy.
- Xác minh các thông báo cập nhật bất ngờ thông qua một kênh liên lạc độc lập và đáng tin cậy.
- Luôn cập nhật hệ điều hành và phần mềm để vá các lỗ hổng bảo mật.
- Sử dụng giải pháp chống mã độc thời gian thực, có khả năng phát hiện hành vi lạm dụng công cụ truy cập từ xa. Ví dụ Data Loss Prevention để chống thất thoát dữ liệu
- Đào tạo người dùng nhận diện các kỹ thuật Social Engineering thường được sử dụng để thúc đẩy việc tải xuống phần mềm độc hại.
Kết luận
Trong bối cảnh tấn công malware và ransomware ngày càng tinh vi, ranh giới giữa công cụ hợp pháp và hành vi độc hại đang bị xóa nhòa. Việc hiểu rõ cách kẻ tấn công lạm dụng RMM giúp tổ chức và người dùng cá nhân nâng cao năng lực phòng thủ, giảm thiểu rủi ro bị xâm nhập và mất dữ liệu—đặc biệt trong các môi trường CNTT và hạ tầng quan trọng.
