Duy Linh
Writer
Các nhóm tấn công mạng đang chuyển mạnh sang việc khai thác những công cụ hợp pháp vốn có sẵn trong hệ điều hành hoặc được sử dụng rộng rãi trong doanh nghiệp để triển khai phần mềm độc hại. Chiến thuật này giúp chúng hoạt động kín đáo hơn, tăng tốc độ xâm nhập và giảm khả năng bị các giải pháp bảo mật truyền thống phát hiện.
Những tiện ích như PowerShell, Windows Management Instrumentation (WMI), certutil, mshta hay môi trường thực thi JavaScript đều được thiết kế để phục vụ các tác vụ quản trị hợp pháp. Tuy nhiên, khi rơi vào tay tin tặc, chúng có thể bị biến thành công cụ tải mã độc, thực thi payload giai đoạn hai, chạy mã trong bộ nhớ mà không cần tạo tệp và ngụy trang dưới các hoạt động quản trị thông thường.
Theo các số liệu được dẫn trong báo cáo, kẻ tấn công hiện chỉ cần trung bình khoảng 21 giây để thiết lập cơ chế duy trì quyền truy cập và khoảng 16 giây để triển khai các kỹ thuật "Living off the Land". Điều này đồng nghĩa với việc đội ngũ phòng thủ chỉ có một khoảng thời gian rất ngắn để phát hiện và ngăn chặn cuộc xâm nhập trước khi đối phương tạo được chỗ đứng trong hệ thống.
Cụ thể, số lượng cuộc tấn công sử dụng trình tải (loader) gần như tăng gấp đôi. Các chiến dịch đánh cắp thông tin đăng nhập tăng 14,7%, trong khi những kỹ thuật LOLBAS/LOTL tận dụng các thành phần hợp pháp của hệ thống tăng tới 58,4%.
Báo cáo rủi ro mạng quý 2 năm 2026 (Nguồn: ANY.RUN).
Xu hướng này được thể hiện rõ qua các chiến dịch sử dụng loader. Thay vì triển khai ngay ransomware hoặc các mã độc phức tạp, kẻ tấn công thường dùng các trình tải nhỏ gọn để xâm nhập ban đầu. Sau khi thu thập được thông tin đăng nhập hoặc có được quyền truy cập đặc quyền, chúng mới tiếp tục triển khai ransomware, phần mềm điều khiển từ xa (RAT) hoặc các công cụ đánh cắp dữ liệu.
Dữ liệu đo từ xa của ANY.RUN cho thấy hoạt động liên quan đến loader trong quý 1 năm 2026 đã tăng gần gấp đôi. Sự gia tăng này kéo theo nhiều vụ đánh cắp thông tin đăng nhập hơn, đồng thời tạo điều kiện cho các hoạt động di chuyển ngang bên trong hệ thống mạng.
Thông tin đăng nhập vẫn là mục tiêu hấp dẫn đối với tin tặc bởi các tài khoản hợp lệ giúp chúng leo thang quyền truy cập một cách âm thầm và che giấu dấu vết hiệu quả hơn.
Khi thông tin đăng nhập bị đánh cắp được kết hợp với việc lạm dụng các công cụ hợp pháp, việc phát hiện hành vi độc hại trở nên khó khăn hơn đáng kể. Những phương pháp bảo mật dựa trên chữ ký truyền thống thường không nhận diện được việc sử dụng sai mục đích các tệp nhị phân hợp pháp, khiến các cơ chế giám sát hành vi và phát hiện bất thường trở nên đặc biệt quan trọng.
Kết quả (Nguồn: ANY.RUN).
Các dấu hiệu đó có thể bao gồm tham số dòng lệnh không phổ biến, mối quan hệ tiến trình cha - con bất thường, các kết nối tới hạ tầng mạng đáng ngờ phục vụ loader tạm thời hoặc việc người dùng không có quyền quản trị đột ngột sử dụng các trình thông dịch tập lệnh.
ANY.RUN khuyến nghị doanh nghiệp kết hợp dữ liệu hành vi cơ sở với các thử nghiệm xác minh nhanh và nguồn tình báo mối đe dọa nhằm đánh giá chính xác liệu hoạt động quan sát được có phải là dấu hiệu của một cuộc tấn công hay không.
Theo báo cáo Rủi ro mạng quý 1 năm 2026, khả năng phân tích phần mềm độc hại ở quy mô doanh nghiệp cùng với quy trình xác thực mối đe dọa nhanh có thể rút ngắn đáng kể thời gian điều tra và hạn chế tác động tới hoạt động kinh doanh. Các tổ chức sử dụng sandbox và Threat Intelligence (TI) có thể phát hiện nhanh hơn các nguy cơ như đánh cắp thông tin đăng nhập, lưu lượng điều khiển C2 hoặc các hình thức thực thi mã không cần tệp.
Bên cạnh đó, báo cáo cũng đề xuất một số biện pháp thực tế như áp dụng kiểm soát ứng dụng để hạn chế việc sử dụng các công cụ có nguy cơ cao, thực hiện nguyên tắc đặc quyền tối thiểu, tăng cường bảo vệ điểm cuối trước các hoạt động thực thi tập lệnh, triển khai cơ chế xác thực giả hoặc xác thực thử nghiệm để phát hiện hành vi truy cập trái phép, đồng thời đưa các hoạt động đáng ngờ vào các nền tảng phân tích tự động.
ANY.RUN cho biết báo cáo của họ đã xác định bảy xu hướng an ninh mạng quan trọng cùng các khuyến nghị dành cho quý 2 năm 2026. Các nhà quản lý an ninh được khuyến khích rà soát đầy đủ những phát hiện này để điều chỉnh chiến lược SOC phù hợp với các kỹ thuật ngày càng tinh vi của đối tượng tấn công.
Trong bối cảnh các công cụ hợp pháp liên tục bị biến thành vũ khí, yếu tố quyết định không còn đơn thuần là khả năng phát hiện, mà còn là tốc độ phản ứng và mức độ hiểu rõ bối cảnh của sự kiện an ninh. Các tổ chức cần chuyển trọng tâm từ mô hình phòng thủ dựa trên chữ ký sang các quy trình phát hiện, phản ứng và thu thập thông tin tình báo có khả năng nhận diện những dấu hiệu xâm phạm nhỏ nhất để hành động kịp thời.
Những tiện ích như PowerShell, Windows Management Instrumentation (WMI), certutil, mshta hay môi trường thực thi JavaScript đều được thiết kế để phục vụ các tác vụ quản trị hợp pháp. Tuy nhiên, khi rơi vào tay tin tặc, chúng có thể bị biến thành công cụ tải mã độc, thực thi payload giai đoạn hai, chạy mã trong bộ nhớ mà không cần tạo tệp và ngụy trang dưới các hoạt động quản trị thông thường.
Theo các số liệu được dẫn trong báo cáo, kẻ tấn công hiện chỉ cần trung bình khoảng 21 giây để thiết lập cơ chế duy trì quyền truy cập và khoảng 16 giây để triển khai các kỹ thuật "Living off the Land". Điều này đồng nghĩa với việc đội ngũ phòng thủ chỉ có một khoảng thời gian rất ngắn để phát hiện và ngăn chặn cuộc xâm nhập trước khi đối phương tạo được chỗ đứng trong hệ thống.
Loader và các cuộc tấn công đánh cắp thông tin đăng nhập tăng mạnh
Trong báo cáo Rủi ro mạng quý 1 năm 2026 được chia sẻ với GBhackers, ANY.RUN cho biết đã thực hiện điều tra 2.101.483 vụ việc liên quan đến phần mềm độc hại và lừa đảo trực tuyến. Dữ liệu cho thấy bức tranh đe dọa đang thay đổi rõ rệt.Cụ thể, số lượng cuộc tấn công sử dụng trình tải (loader) gần như tăng gấp đôi. Các chiến dịch đánh cắp thông tin đăng nhập tăng 14,7%, trong khi những kỹ thuật LOLBAS/LOTL tận dụng các thành phần hợp pháp của hệ thống tăng tới 58,4%.
Báo cáo rủi ro mạng quý 2 năm 2026 (Nguồn: ANY.RUN).
Xu hướng này được thể hiện rõ qua các chiến dịch sử dụng loader. Thay vì triển khai ngay ransomware hoặc các mã độc phức tạp, kẻ tấn công thường dùng các trình tải nhỏ gọn để xâm nhập ban đầu. Sau khi thu thập được thông tin đăng nhập hoặc có được quyền truy cập đặc quyền, chúng mới tiếp tục triển khai ransomware, phần mềm điều khiển từ xa (RAT) hoặc các công cụ đánh cắp dữ liệu.
Dữ liệu đo từ xa của ANY.RUN cho thấy hoạt động liên quan đến loader trong quý 1 năm 2026 đã tăng gần gấp đôi. Sự gia tăng này kéo theo nhiều vụ đánh cắp thông tin đăng nhập hơn, đồng thời tạo điều kiện cho các hoạt động di chuyển ngang bên trong hệ thống mạng.
Thông tin đăng nhập vẫn là mục tiêu hấp dẫn đối với tin tặc bởi các tài khoản hợp lệ giúp chúng leo thang quyền truy cập một cách âm thầm và che giấu dấu vết hiệu quả hơn.
Khi thông tin đăng nhập bị đánh cắp được kết hợp với việc lạm dụng các công cụ hợp pháp, việc phát hiện hành vi độc hại trở nên khó khăn hơn đáng kể. Những phương pháp bảo mật dựa trên chữ ký truyền thống thường không nhận diện được việc sử dụng sai mục đích các tệp nhị phân hợp pháp, khiến các cơ chế giám sát hành vi và phát hiện bất thường trở nên đặc biệt quan trọng.
Kết quả (Nguồn: ANY.RUN).
Doanh nghiệp cần tăng cường phát hiện dựa trên hành vi
Một trong những thách thức lớn hiện nay là các công cụ đáng tin cậy thường tạo ra dữ liệu đo từ xa trông hoàn toàn bình thường. Vì vậy, các nhóm bảo mật cần tập trung vào việc phát hiện những dấu hiệu bất thường dù rất nhỏ.Các dấu hiệu đó có thể bao gồm tham số dòng lệnh không phổ biến, mối quan hệ tiến trình cha - con bất thường, các kết nối tới hạ tầng mạng đáng ngờ phục vụ loader tạm thời hoặc việc người dùng không có quyền quản trị đột ngột sử dụng các trình thông dịch tập lệnh.
ANY.RUN khuyến nghị doanh nghiệp kết hợp dữ liệu hành vi cơ sở với các thử nghiệm xác minh nhanh và nguồn tình báo mối đe dọa nhằm đánh giá chính xác liệu hoạt động quan sát được có phải là dấu hiệu của một cuộc tấn công hay không.
Theo báo cáo Rủi ro mạng quý 1 năm 2026, khả năng phân tích phần mềm độc hại ở quy mô doanh nghiệp cùng với quy trình xác thực mối đe dọa nhanh có thể rút ngắn đáng kể thời gian điều tra và hạn chế tác động tới hoạt động kinh doanh. Các tổ chức sử dụng sandbox và Threat Intelligence (TI) có thể phát hiện nhanh hơn các nguy cơ như đánh cắp thông tin đăng nhập, lưu lượng điều khiển C2 hoặc các hình thức thực thi mã không cần tệp.
Bên cạnh đó, báo cáo cũng đề xuất một số biện pháp thực tế như áp dụng kiểm soát ứng dụng để hạn chế việc sử dụng các công cụ có nguy cơ cao, thực hiện nguyên tắc đặc quyền tối thiểu, tăng cường bảo vệ điểm cuối trước các hoạt động thực thi tập lệnh, triển khai cơ chế xác thực giả hoặc xác thực thử nghiệm để phát hiện hành vi truy cập trái phép, đồng thời đưa các hoạt động đáng ngờ vào các nền tảng phân tích tự động.
ANY.RUN cho biết báo cáo của họ đã xác định bảy xu hướng an ninh mạng quan trọng cùng các khuyến nghị dành cho quý 2 năm 2026. Các nhà quản lý an ninh được khuyến khích rà soát đầy đủ những phát hiện này để điều chỉnh chiến lược SOC phù hợp với các kỹ thuật ngày càng tinh vi của đối tượng tấn công.
Trong bối cảnh các công cụ hợp pháp liên tục bị biến thành vũ khí, yếu tố quyết định không còn đơn thuần là khả năng phát hiện, mà còn là tốc độ phản ứng và mức độ hiểu rõ bối cảnh của sự kiện an ninh. Các tổ chức cần chuyển trọng tâm từ mô hình phòng thủ dựa trên chữ ký sang các quy trình phát hiện, phản ứng và thu thập thông tin tình báo có khả năng nhận diện những dấu hiệu xâm phạm nhỏ nhất để hành động kịp thời.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
