Tin tặc lợi dụng Microsoft Teams để phát tán mã độc Matanbuchus 3.0 tới doanh nghiệp

Chiến dịch tấn công qua Microsoft Teams giả mạo nhân viên IT nhằm dụ người dùng cài đặt malware nguy hiểm Matanbuchus 3.0 vào hệ thống.

Các nhà nghiên cứu vừa phát hiện một chiến dịch tấn công mới sử dụng Microsoft Teams làm phương tiện phát tán mã độc Matanbuchus 3.0 nhắm đến các doanh nghiệp. Tin tặc giả mạo nhân viên hỗ trợ kỹ thuật hoặc IT, liên lạc trực tiếp với nhân viên doanh nghiệp qua Teams và thuyết phục họ cấp quyền truy cập từ xa.

Sau khi chiếm được lòng tin, kẻ tấn công yêu cầu nạn nhân sử dụng các công cụ như Quick Assist để kết nối vào hệ thống và thực hiện một đoạn script PowerShell độc hại. Script này có chức năng tải về và cài đặt mã độc Matanbuchus 3.0.

Cơ chế hoạt động của Matanbuchus 3.0

Matanbuchus là một loại loader nguy hiểm, có thể thực hiện:

• Tải và cài đặt các payload nguy hiểm khác, ví dụ như ransomware hoặc công cụ gián điệp Cobalt Strike.

• Duy trì quyền kiểm soát lâu dài trên hệ thống bằng cách tạo các nhiệm vụ theo lịch trình (Scheduled Tasks).

• Thực thi các lệnh từ xa (CMD hoặc PowerShell reverse shell).

• Sử dụng các dịch vụ lưu trữ phổ biến như Google Drive, OneDrive để liên lạc và nhận lệnh từ máy chủ điều khiển.

Giải pháp bảo vệ doanh nghiệp

1. Cẩn trọng với cuộc gọi từ người lạ trên Teams
   Xác minh danh tính người gọi trước khi thực hiện các hành động theo yêu cầu, đặc biệt là truy cập hoặc chạy các script.

2. Hạn chế quyền chạy script trên thiết bị doanh nghiệp
   Thiết lập các chính sách bảo mật nghiêm ngặt, chỉ cho phép chạy script có chữ ký đã xác minh và chặn các script từ nguồn lạ.

3. Giám sát và phát hiện hành vi bất thường
   Sử dụng giải pháp bảo mật đầu cuối (EDR) để phát hiện và ngăn chặn các hành động tải xuống, cài đặt và thực thi mã độc trái phép.

4. Thiết lập xác thực đa yếu tố (MFA)
   Sử dụng các phương thức xác thực mạnh, chống giả mạo như khóa bảo mật vật lý hoặc ứng dụng xác thực mạnh (Authenticator) thay cho mã OTP thông thường.

5. Đào tạo người dùng nhận diện kỹ thuật lừa đảo
   Nhân viên cần được đào tạo để nhận diện các phương pháp giả mạo, đặc biệt là các yêu cầu hỗ trợ kỹ thuật từ nguồn chưa xác thực rõ ràng.

Sự việc này là lời nhắc nhở quan trọng rằng ngay cả các nền tảng giao tiếp phổ biến như Microsoft Teams cũng có thể trở thành công cụ tấn công nếu không được kiểm soát chặt chẽ. Doanh nghiệp và người dùng cá nhân cần tăng cường cảnh giác, áp dụng các biện pháp phòng ngừa hiệu quả để ngăn chặn các cuộc tấn công tương tự trong tương lai.

Hương - Theo TheHackerNews