Trong bối cảnh các mối đe dọa an toàn thông tin không ngừng gia tăng, sự quay trở lại của các dòng mã độc điều khiển từ xa đang đặt ra nhiều thách thức mới đối với hệ thống phòng thủ của các tổ chức, doanh nghiệp. Đáng chú ý, theo ghi nhận từ phân tích của các chuyên gia đến từ công ty HPT trong một báo cáo gần đây, mã độc Remcos - một công cụ vốn không mới đang được tin tặc tái sử dụng với phương thức tấn công tinh vi, khó phát hiện và có khả năng gây hậu quả nghiêm trọng hơn so với trước đây.
Remcos (Remote Control and Surveillance) ban đầu được phát triển như một phần mềm hỗ trợ quản trị hệ thống từ xa. Tuy nhiên, giống như nhiều công cụ hợp pháp khác, nó nhanh chóng bị lợi dụng để phục vụ các mục đích xấu, đặc biệt là trong các chiến dịch gián điệp mạng và đánh cắp dữ liệu. Điểm đáng lo ngại ở giai đoạn hiện nay không nằm ở bản chất của công cụ, mà ở cách thức triển khai mới: Remcos không còn xuất hiện một cách “lộ diện” mà được giấu trong các chuỗi tấn công nhiều lớp, có tính toán kỹ lưỡng và tận dụng tối đa các điểm yếu của người dùng cũng như hệ thống.
Các phân tích từ thực tiễn cho thấy, Remcos hiện thường được phát tán thông qua các chiến dịch phishing có chủ đích. Tin tặc gửi email với nội dung được thiết kế tinh vi, bám sát bối cảnh công việc của nạn nhân, khiến người nhận dễ mất cảnh giác. Tệp đính kèm có thể là tệp văn bản, tệp nén hoặc thậm chí là các tệp định dạng tưởng chừng vô hại như .txt, nhưng bên trong lại chứa các đoạn mã hoặc script có khả năng kích hoạt quá trình tải và thực thi mã độc.
Điểm đáng chú ý là quá trình thực thi Remcos ngày càng mang tính “ẩn mình”. Thay vì ghi trực tiếp xuống ổ đĩa, mã độc có thể được nạp vào bộ nhớ thông qua các kỹ thuật fileless, hoặc lợi dụng các công cụ hợp pháp sẵn có trong hệ điều hành như PowerShell để tải về và chạy payload. Điều này khiến nhiều giải pháp bảo mật truyền thống, vốn dựa vào việc quét tệp và so khớp chữ ký, gặp khó khăn trong việc phát hiện. Trong quá trình tái hiện tấn công, các chuyên gia đến từ HPT ghi nhận một số dấu hiệu đáng chú ý như sự xuất hiện của tiến trình Caspol[.]exe và các kết nối bất thường tới hạ tầng điều khiển từ xa. Tuy nhiên, với kỹ thuật fileless và obfuscation nhiều lớp, phần lớn hoạt động của mã độc diễn ra âm thầm, khiến người dùng khó nhận biết bằng các dấu hiệu thông thường.
Tiến trình Caspol.exe và truy vấn DNS
Sau khi xâm nhập thành công, Remcos nhanh chóng thiết lập kết nối với máy chủ điều khiển và ra lệnh (C2), cho phép kẻ tấn công kiểm soát hệ thống nạn nhân gần như toàn diện. Các chức năng của Remcos bao gồm ghi lại thao tác bàn phím, chụp màn hình, theo dõi hoạt động người dùng, truy cập và sao chép dữ liệu, thậm chí kích hoạt webcam hoặc microphone mà người dùng không hề hay biết. Trong một số trường hợp, Remcos còn được sử dụng như backdoor để mở đường cho các giai đoạn tấn công tiếp theo, chẳng hạn như cài đặt thêm mã độc khác hoặc thực hiện di chuyển ngang trong mạng nội bộ.
Một xu hướng đáng lo ngại khác là việc Remcos ngày càng được tích hợp vào các chuỗi tấn công nhiều giai đoạn. Thay vì chỉ sử dụng một payload duy nhất, tin tặc chia nhỏ quá trình tấn công thành nhiều bước, mỗi bước sử dụng một công cụ hoặc kỹ thuật khác nhau. Khi tách riêng, từng thành phần có thể không bị coi là nguy hiểm, nhưng khi kết hợp lại, chúng tạo thành một chuỗi tấn công hoàn chỉnh, có khả năng vượt qua nhiều lớp phòng thủ.
Trong quá trình theo dõi và phân tích các chiến dịch này, các chuyên gia bảo mật của HPT đã chỉ ra rằng Remcos thường được đóng gói bằng các kỹ thuật che giấu như packer hoặc crypter, nhằm làm thay đổi cấu trúc mã nguồn và tránh bị nhận diện. Đồng thời, mã độc có thể sử dụng kỹ thuật tiêm mã vào các tiến trình hợp pháp của hệ điều hành để “ngụy trang” hoạt động của mình. Đây là lý do khiến việc phát hiện Remcos trở nên khó khăn hơn, đặc biệt trong các môi trường chưa triển khai các giải pháp giám sát hành vi.
Từ các nghiên cứu và phân tích thực tế, có thể nhận diện một số dấu hiệu cho thấy hệ thống có khả năng đã bị nhiễm Remcos. Trước hết là các biểu hiện bất thường trong hiệu năng hệ thống, như máy tính hoạt động chậm hơn, xuất hiện các tiến trình lạ hoặc tiêu tốn tài nguyên CPU, RAM một cách bất thường. Bên cạnh đó, người dùng có thể nhận thấy các kết nối mạng không rõ nguồn gốc, đặc biệt là các kết nối ra bên ngoài tới những địa chỉ IP hoặc tên miền không quen thuộc.
Một dấu hiệu khác là sự xuất hiện của các tác vụ tự động trong hệ thống, chẳng hạn như các scheduled tasks hoặc các khóa registry được tạo mới mà người dùng không hề thực hiện. Đây thường là cơ chế mà Remcos sử dụng để duy trì sự tồn tại (persistence) sau khi hệ thống khởi động lại. Ngoài ra, các hoạt động bất thường như con trỏ chuột tự di chuyển, cửa sổ bật lên không rõ nguyên nhân, hoặc webcam tự kích hoạt cũng có thể là dấu hiệu cho thấy hệ thống đang bị kiểm soát từ xa.
Trong một số trường hợp, người dùng có thể nhận thấy tài khoản của mình bị truy cập trái phép hoặc xuất hiện các hành vi không do mình thực hiện, như gửi email lạ, thay đổi mật khẩu hoặc truy cập vào các dịch vụ trực tuyến bất thường. Đây là hậu quả trực tiếp của việc thông tin đăng nhập bị đánh cắp thông qua các chức năng keylogging của Remcos.
Các phân tích chuyên sâu từ các đơn vị nghiên cứu trong nước, trong đó có nhóm chuyên gia của HPT, đã góp phần làm rõ hơn bức tranh toàn cảnh về cách thức hoạt động của Remcos trong các chiến dịch tấn công hiện nay. Thông qua việc bóc tách từng giai đoạn trong chuỗi tấn công, các chuyên gia đã chỉ ra rằng tin tặc đang chuyển từ mô hình tấn công ồ ạt sang tấn công có chọn lọc, nhắm vào các mục tiêu cụ thể và duy trì sự hiện diện trong hệ thống trong thời gian dài mà không bị phát hiện.
Những phân tích này không chỉ có giá trị về mặt kỹ thuật mà còn mang ý nghĩa thực tiễn trong việc xây dựng các biện pháp phòng thủ. Thay vì chỉ tập trung vào việc ngăn chặn mã độc ở “cửa vào”, các tổ chức cần chú trọng hơn đến việc phát hiện sớm các dấu hiệu bất thường trong quá trình vận hành hệ thống. Điều này đòi hỏi sự kết hợp giữa công nghệ, quy trình và yếu tố con người.
Ở góc độ phòng ngừa, nâng cao nhận thức của người dùng vẫn là một trong những biện pháp hiệu quả nhất. Phần lớn các cuộc tấn công sử dụng Remcos đều bắt đầu từ việc người dùng mở tệp đính kèm hoặc nhấp vào liên kết độc hại. Do đó, việc đào tạo kỹ năng nhận diện email phishing, kiểm tra nguồn gốc tệp tin và tuân thủ các quy tắc an toàn cơ bản có thể giúp giảm đáng kể nguy cơ bị tấn công.
Bên cạnh đó, các tổ chức cần triển khai các giải pháp giám sát an ninh mạng theo thời gian thực, có khả năng phân tích hành vi và phát hiện các hoạt động bất thường thay vì chỉ dựa vào chữ ký mã độc. Việc cập nhật hệ thống, vá các lỗ hổng bảo mật và kiểm soát chặt chẽ quyền truy cập cũng là những yếu tố quan trọng giúp giảm thiểu rủi ro.
Sự quay trở lại của Remcos cho thấy một thực tế đáng lưu ý: Trong thế giới an ninh mạng, các mối đe dọa không biến mất mà chỉ thay đổi hình thức. Một công cụ cũ, nếu được triển khai bằng các kỹ thuật mới, hoàn toàn có thể trở thành một mối nguy hiểm lớn. Điều này đòi hỏi các tổ chức không chỉ theo dõi các xu hướng tấn công mới, mà còn phải liên tục đánh giá lại các mối đe dọa đã tồn tại từ trước.
Trong bối cảnh đó, các báo cáo phân tích từ thực tiễn, đặc biệt là từ các đơn vị trực tiếp tham gia xử lý sự cố và nghiên cứu mã độc, đóng vai trò quan trọng trong việc cung cấp thông tin kịp thời và chính xác. Đây là cơ sở để các tổ chức xây dựng chiến lược bảo vệ phù hợp, chủ động hơn trước các nguy cơ ngày càng phức tạp của môi trường số.