Chiến dịch A0Backdoor Giả mạo IT Support qua Microsoft Teams

Phát hiện một chiến dịch tấn công mạng có tổ chức cao, sử dụng kết hợp kỹ thuật lừa đảo xã hội qua Microsoft Teams với phần mềm độc hại mới được đặt tên là A0Backdoor. Điểm đặc biệt nguy hiểm của chiến dịch này là kẻ tấn công không cần khai thác bất kỳ lỗ hổng bảo mật nào chúng hoàn toàn dựa vào việc lừa dối con người và lạm dụng các công cụ hợp pháp của Microsoft.

Tổng quan

Chiến dịch tấn công mạng đang hoạt động từ ít nhất tháng 8/2025 đến cuối tháng 2/2026, liên quan đến nhóm tấn công được theo dõi là Blitz Brigantine (còn gọi là Storm-1811 hoặc STAC5777), có liên hệ với các hoạt động ransomware Black Basta và Cactus.

Điểm đặc biệt nguy hiểm: kẻ tấn công không khai thác lỗ hổng phần mềm chúng lừa dối con người và lạm dụng chính các công cụ hợp lệ của Microsoft

Chi tiết chuỗi tấn công

Bước 1: Email Bombing — Tạo hỗn loạn

Kẻ tấn công khởi động chiến dịch bằng cách tràn ngập hộp thư đến của nhân viên mục tiêu bằng hàng nghìn email spam. Mục đích không phải để lây nhiễm qua email, mà để tạo ra sự hỗn loạn và khiến nạn nhân sẵn sàng chấp nhận sự giúp đỡ từ 'bộ phận IT'.

• Nạn nhân hoảng loạn vì hộp thư tràn ngập, không thể làm việc bình thường

• Tâm lý sẵn sàng nhờ vả và tin tưởng bất kỳ ai tự xưng là IT support

• Đây là đòn tâm lý cổ điển: tạo vấn đề rồi giả vờ đến giải quyết

Bước 2: Giả mạo IT Support qua Microsoft Teams

Ngay sau khi email bombing bắt đầu, kẻ tấn công tiếp cận nạn nhân qua Microsoft Teams, giả vờ là nhân viên hỗ trợ kỹ thuật nội bộ đang giúp giải quyết vấn đề email. Chúng lợi dụng tính năng cho phép người dùng bên ngoài tổ chức nhắn tin vào Teams.

• Tài khoản Teams được tạo để trông giống tài khoản IT nội bộ

• Kẻ tấn công đề nghị giúp 'giải quyết vấn đề email' mà chính chúng vừa tạo ra

• Nhân viên tin tưởng vì không nghi ngờ Teams công cụ làm việc hàng ngày

Teams mặc định cho phép người dùng từ tổ chức khác (external) nhắn tin và gọi điện. Nhiều tổ chức chưa cấu hình giới hạn liên lạc bên ngoài, tạo ra kênh tấn công trực tiếp không qua email — vốn thường được giám sát kỹ hơn.

Bước 3: Chiếm quyền điều khiển qua Quick Assist

Sau khi tạo dựng niềm tin qua Teams, kẻ tấn công thuyết phục nạn nhân mở Quick Assist công cụ hỗ trợ từ xa hợp pháp tích hợp sẵn trong Windows. Khi nạn nhân chia sẻ mã kết nối, kẻ tấn công có toàn quyền kiểm soát máy tính.

• Quick Assist là công cụ Windows hợp lệ không bị antivirus chặn

• Kẻ tấn công có thể thấy màn hình, điều khiển chuột/bàn phím, chạy lệnh

• Nạn nhân nghĩ đây là quy trình hỗ trợ IT hoàn toàn bình thường

Bước 4: Sử dụng kỹ thuật DLL Sideloading

Sau khi có quyền truy cập qua Quick Assist, kẻ tấn công triển khai MSI installer độc hại. File MSI có tên Update.msi hoặc UpdateFX.msi được lưu trữ trên Microsoft personal cloud storage và mang chữ ký số hợp lệ khiến các giải pháp bảo mật rất khó phát hiện.

Hình : Cấu trúc file trong MSI độc hại — Chỉ hostfxr.dll là file giả mạo, tất cả DLL còn lại đều được Microsoft ký hợp lệ. Chứng chỉ giả: 'MULTIMEDIOS CORDILLERANOS SRL'. (Minh họa kỹ thuật dựa trên nghiên cứu BlueVoyant)

Cách DLL Sideloading hoạt động:

• CrossDeviceService.exe file hợp lệ, ký bởi Microsoft, được cài cùng MSI

• hostfxr.dll file ĐỘC HẠI, giả mạo thư viện .NET hợp lệ, đặt cùng thư mục

• Khi CrossDeviceService.exe khởi động, Windows tự động nạp hostfxr.dll từ cùng thư mục

• Mã độc chạy dưới danh nghĩa tiến trình Microsoft hợp lệ antivirus không cảnh báo

Bước 5: Thực hiện mã payload và chống phân tích trong Loader

Sau khi hostfxr.dll được nạp vào bộ nhớ, nó thực hiện một chuỗi các kỹ thuật phức tạp để chống phân tích và cuối cùng giải mã payload A0Backdoor. Đây là thiết kế tinh vi nhất trong toàn bộ chiến dịch.

Hình : Chuỗi 5 bước giải mã payload Mỗi bước có cơ chế bảo vệ chống phân tích riêng biệt. Payload cuối cùng (A0Backdoor) chỉ tồn tại trong RAM, không có file nào trên đĩa cứng.

Các kỹ thuật chống phân tích nổi bật:

• Tạo hàng trăm thread qua CreateThread API: Debugger bị crash, phân tích động thất bại

• Kiểm tra môi trường sandbox (QEMU, VM): Nếu phát hiện môi trường ảo, payload KHÔNG giải mã

• Khóa SHA-256 phụ thuộc thời gian: Payload chỉ giải mã thành công trong cửa sổ 55 giờ

• Ký tự ẩn trong command line: Loader yêu cầu ký tự space ẩn đặc biệt để tạo seed key đúng

• Mã hóa AES: A0Backdoor được mã hóa AES, chỉ tồn tại trong RAM sau khi giải mã

Bước 6: A0Backdoor cài phần mềm gián điệp trong bộ nhớ

Sau khi được giải mã, A0Backdoor tự di chuyển vào một vùng bộ nhớ mới và bắt đầu thu thập thông tin về hệ thống bị nhiễm. Backdoor hoạt động hoàn toàn trong bộ nhớ RAM không tạo bất kỳ file nào trên đĩa cứng.

• GetComputerNameW — Lấy tên máy tính

• GetUserNameExW — Lấy tên người dùng đang đăng nhập

• DeviceIoControl — Thu thập thông tin phần cứng và thiết bị

• Dữ liệu fingerprint máy nạn nhân được gửi về C2 server để điều phối tấn công tiếp theo

Antivirus truyền thống quét file trên đĩa. Nếu malware chỉ tồn tại trong RAM, phần lớn giải pháp bảo mật sẽ không phát hiện được. Chỉ các giải pháp EDR có khả năng phân tích hành vi trong bộ nhớ mới có thể phát hiện loại mối đe dọa này.

Bước 7: Tạo kênh C2 qua DNS MX Tunneling — Ẩn lệnh trong traffic DNS

Đây là kỹ thuật mới nhất và tinh vi nhất trong chiến dịch này. Thay vì kết nối trực tiếp đến máy chủ điều khiển (dễ bị chặn), A0Backdoor ẩn toàn bộ giao tiếp trong traffic DNS bình thường — loại traffic mà hầu hết doanh nghiệp không bao giờ chặn.

Hình: Cơ chế DNS MX Tunneling — Lệnh điều khiển được ẩn trong subdomain entropy cao của DNS query MX. Traffic đến 1.1.1.1/8.8.8.8 hầu như không bị chặn trong doanh nghiệp.

Cách hoạt động chi tiết:

• Máy bị nhiễm gửi DNS MX query đến 1.1.1.1 hoặc 8.8.8.8 (resolver tin cậy Cloudflare/Google)

• Subdomain chứa metadata mã hóa, ví dụ: A0cmd.dGhpcyBpcyBhIHRlc3Q=.attacker.com

• DNS resolver chuyển tiếp query đến nameserver của kẻ tấn công

• Kẻ tấn công trả về MX record chứa lệnh điều khiển đã mã hóa

• A0Backdoor decode phần label ngoài cùng bên trái của MX response để lấy lệnh thực thi

DNS TXT tunneling đã bị nhiều IDS/IPS theo dõi sẵn. MX record thường chỉ dùng để định tuyến email, rất ít hệ thống giám sát loại record này. Traffic đến Cloudflare (1.1.1.1) và Google (8.8.8.8) là resolver công cộng tin cậy, hầu hết firewall doanh nghiệp không chặn. Đây chính là lý do kẻ tấn công chuyển từ DNS TXT sang DNS MX.

Khuyến nghị

Biện pháp	Hành động cụ thể	Ưu tiên
Vô hiệu hóa Quick Assist	Chặn hoặc gỡ Quick Assist (AppxPackage: MicrosoftCorporationII.QuickAssist) trên toàn bộ endpoint nếu không có nhu cầu sử dụng hợp lệ.	KHẨN CẤP
Hạn chế Teams external	Cấu hình Microsoft Teams: chặn hoặc yêu cầu phê duyệt trước khi nhận tin nhắn từ tài khoản bên ngoài tổ chức.	KHẨN CẤP
Đào tạo nhân viên	Phổ biến: IT support KHÔNG BAO GIỜ chủ động liên hệ qua Teams xin quyền từ xa. Mọi yêu cầu kiểu này: từ chối và báo cáo ngay.	KHẨN CẤP
Giám sát DLL signing	Tạo rule EDR/SIEM: cảnh báo khi tiến trình Microsoft hợp lệ load DLL không được ký bởi Microsoft từ cùng thư mục.	CAO
Giám sát MSI bất thường	Alert khi MSI được cài từ thư mục người dùng (%AppData%, %Temp%) hoặc từ my.microsoftpersonalcontent.com.	CAO
Giám sát DNS anomaly	Cảnh báo subdomain có entropy cao (>3.5), độ dài bất thường (>50 ký tự), đặc biệt MX record từ endpoint.	CAO
Kiểm tra cert revocation	Chặn file được ký bởi chứng chỉ đã thu hồi. Không chỉ dựa vào timestamp hợp lệ để đánh giá an toàn.	CAO
Phân đoạn mạng	Endpoint thông thường không được kết nối trực tiếp đến hệ thống nhạy cảm mà không qua jump host có xác thực.	TRUNG BÌNH
MFA tài khoản đặc quyền	Bật MFA bắt buộc cho toàn bộ tài khoản admin và tài khoản có quyền cài đặt phần mềm.	TRUNG BÌNH