Red Report™ 2025, hiện đã bước sang năm xuất bản thứ năm, cung cấp một phân tích chi tiết về các chiến thuật, kỹ thuật và quy trình (TTP) phổ biến nhất của đối phương được quan sát trong năm trước. Được biên soạn bởi Picus Labs, báo cáo năm nay đã kiểm tra hơn 1 triệu mẫu phần mềm độc hại và lập bản đồ hơn 14 triệu hành động độc hại và 11 triệu trường hợp của kỹ thuật MITRE ATT&CK®, cung cấp cho các tổ chức thông tin tình báo có thể hành động để chống lại các mối đe dọa trên mạng phổ biến và nguy hiểm nhất hiện nay.

Red Report 2025 tập trung vào mười kỹ thuật MITRE ATT&CK® được quan sát thường xuyên nhất, trình bày lộ trình cho các tổ chức sử dụng để hiểu và ưu tiên các biện pháp phòng thủ của họ. Từ process injection và đánh cắp thông tin xác thực đến làm suy yếu khả năng phòng thủ và lọc dữ liệu qua các kênh được mã hóa, các kỹ thuật này thể hiện các chiến lược cốt lõi được sử dụng bởi những kẻ tấn công ngày nay để đạt được mục tiêu của chúng.

Rủi ro chưa bao giờ cao hơn thế. Những kẻ tấn công không còn chỉ khai thác các lỗ hổng mà còn đang tiến hành các hoạt động phức tạp, đa giai đoạn giống như, trong nhiều trường hợp, một vụ trộm cắp được lên kế hoạch chính xác. Những phát hiện của năm nay làm nổi bật một kỷ nguyên mới về sự tinh vi của đối phương trong các cuộc tấn công infostealer, được thể hiện qua phần mềm độc hại như “SneakThief”, thực hiện trong một chuỗi tiêu diệt mà đã được biết đến như “Vụ trộm hoàn hảo.” Mặc dù phần mềm độc hại SneakThief là một tên hư cấu trong kịch bản này, các mẫu tấn công của nó phản ánh các sự cố có thật trên thế giới. Mối đe dọa nâng cao này tận dụng khả năng tàng hình, duy trì và tự động hóa để xâm nhập vào các mạng, vượt qua các biện pháp phòng thủ và lọc dữ liệu quan trọng – tất cả trong khi các đội bảo mật không nhận thức được sự hiện diện của chúng.

Bằng cách phân tích hành vi phần mềm độc hại trong thế giới thực, Red Report cung cấp cho các đội an ninh mạng những thông tin chi tiết mà họ cần để củng cố khả năng phục hồi của mình trước các mối đe dọa cấp bách nhất hiện nay. Những phát hiện của năm nay nhấn mạnh thực tế rằng chỉ các tổ chức chấp nhận một chiến lược chủ động, dựa trên thông tin về mối đe dọa, một chiến lược liên tục xác thực các biện pháp kiểm soát và nhanh chóng thích ứng với các mối đe dọa mới nổi, mới có thể đạt được khả năng phục hồi thực sự trên mạng.

Picus Labs đã xử lý hơn 1 triệu mẫu phần mềm độc hại được thu thập từ tháng 1 đến tháng 12 năm 2024 để tiết lộ một cái nhìn toàn diện về các chiến thuật, kỹ thuật và quy trình mới nhất đang được những kẻ tấn công trên khắp hành tinh sử dụng. Mỗi TTP được phát hiện đã được phân loại thông qua khuôn khổ MITRE ATT&CK®, dẫn đến việc xác định hơn 14 triệu hành động độc hại. Điều này cung cấp cho Picus cái nhìn cực kỳ chi tiết về các kỹ thuật được triển khai phổ biến nhất, làm sáng tỏ thông tin quan trọng liên quan đến các chiến lược tấn công liên tục thay đổi này. Trong số này, điều nổi bật nhất là báo cáo Red Report năm nay tiết lộ rằng phần mềm độc hại, đặc biệt là các chủng nhắm mục tiêu vào các kho lưu trữ thông tin xác thực, đã tăng từ 8% vào năm 2023 lên 25% vào năm 2024, do đó, một sự tăng vọt gấp 3 lần về mức độ phổ biến, một thực tế làm nổi bật sự phổ biến và thành công của mối đe dọa mới nổi này.

Red Report cũng tiết lộ rằng 93% các hành động độc hại năm 2024 được thực hiện bằng mười kỹ thuật MITRE ATT&CK hàng đầu. Những phát hiện này sẽ giúp các đội bảo mật đưa ra các quyết định sáng suốt hơn và tập trung vào việc phòng thủ chống lại các mối đe dọa phổ biến nhất trong môi trường mạng ngày nay.

Về bản chất, Infostealers đã thiết lập tiêu chuẩn cho sự tinh vi vào năm 2024. Loại phần mềm độc hại “Sneak Thief” mới, được sử dụng trong các hoạt động “The Perfect Heist” (Vụ trộm hoàn hảo), có các tính năng xâm nhập đa giai đoạn, process injection, các giao tiếp được mã hóa và boot persistence để xâm nhập vào các mạng và ẩn mình đủ lâu để lọc dữ liệu có giá trị. Những kẻ tấn công khác ngày càng kết hợp các kỹ thuật tàng hình với các chiến thuật ransomware, phát triển thành các chiến dịch kéo dài dựa trên việc đánh cắp dữ liệu, đôi khi đòi tiền chuộc chỉ để ngăn chặn rò rỉ dữ liệu mà không cần sử dụng mã hóa.

Với hơn 200 kỹ thuật được liệt kê trong Khuôn khổ MITRE ATT&CK, chỉ riêng top 10 đã chiếm hơn 90% hoạt động độc hại được quan sát trong suốt cả năm. Trong số các hành động phổ biến nhất là T1055 (Process Injection), T1059 (Command and Scripting Interpreter) và T1555 (Credentials from Password Stores). Các kỹ thuật hàng đầu này nhấn mạnh cách những kẻ tấn công khai thác các công cụ viết kịch bản gốc, hầm chứa thông tin xác thực và các kênh được mã hóa để trốn tránh phát hiện. Trong khi đó, các nhóm ransomware đã tăng gấp đôi các phương pháp này, phát triển thành các chiến dịch tống tiền đa giai đoạn đe dọa cơ sở hạ tầng quan trọng, dữ liệu và danh tiếng với độ chính xác không thể so sánh được.

Việc giải quyết các mối đe dọa này đòi hỏi nhiều hơn một phản ứng chắp vá, phản ứng. Các đội bảo mật cần một cách tiếp cận hoàn toàn khác. Xác thực bảo mật liên tục, phân tích hành vi và săn lùng mối đe dọa thích ứng là những nền tảng mới của phòng thủ mạng hiện đại. Các tổ chức cần căn chỉnh chính xác các biện pháp kiểm soát của họ với các kỹ thuật phổ biến nhất, với sự tập trung đổi mới vào việc làm cứng thông tin xác thực. Các phương pháp dựa trên chữ ký truyền thống, mặc dù vẫn hữu ích, nhưng không còn đủ; các đội bảo mật phải chuyển sang phát hiện và ứng phó với hoạt động đáng ngờ trong thời gian thực. Khi các mối đe dọa dai dẳng và nâng cao tiếp tục gia tăng, việc chống lại chúng thành công sẽ phụ thuộc vào việc phá vỡ khả năng của những kẻ tấn công trước khi chúng trở nên vô hình, thực hiện một trục và tấn công lại. Mục tiêu là rõ ràng: ngăn chặn sự xâm nhập, phát hiện các hoạt động đáng ngờ nhanh hơn và, nếu bị xâm phạm, giảm thiểu khả năng của đối phương trong việc đào sâu hơn vào môi trường của bạn.

Những phát hiện chính

Red Report 2025 cho thấy phần mềm độc hại đánh cắp thông tin hiện đại đang phát triển như thế nào, làm nổi bật những kẻ đe dọa ngày càng tinh vi, những kẻ theo đuổi các hoạt động đa giai đoạn như một phần của việc thu thập và lọc dữ liệu trong các cuộc tấn công có tổ chức cao. Đổi lại, các thông tin đánh cắp thông tin hiện đại cho thấy những kẻ tấn công đã tiếp tục phát triển các phương pháp của chúng để trốn tránh các biện pháp phòng thủ an ninh, duy trì dai dẳng và có thành công tối đa.

Thật vậy, đánh cắp thông tin xác thực, các giao tiếp được mã hóa và process injection vẫn cực kỳ phổ biến, trong khi ransomware và hoạt động gián điệp tiếp tục biến thành các chiến dịch dài hạn và tác động cao hơn.

1. Sự trỗi dậy của những vụ trộm hoàn hảo: Sự tinh vi đáp ứng sự phối hợp

Các mối đe dọa ngày nay là về các cuộc tấn công phức tạp, đa giai đoạn, có cấu trúc phức tạp, như “Vụ trộm hoàn hảo” do phần mềm độc hại Sneak Thief gây ra. Với sự kết hợp giữa tàng hình, tự động hóa và tính dai dẳng, những kẻ tấn công có thể xâm nhập vào các hệ thống mạng, vô hiệu hóa các biện pháp phòng thủ, lọc thông tin nhạy cảm và duy trì ẩn mình trong thời gian dài hơn.

Khả năng điều chỉnh các chiến thuật của chúng cho phù hợp với môi trường xung quanh nói lên một sự chuyển dịch sang các chiến dịch tập trung vào độ chính xác, có tác dụng tạo ra sự phá hủy tối đa với mức độ phơi nhiễm tối thiểu.

2. Sự thống trị của top 10 kỹ thuật: 93% hành động liên quan đến top kỹ thuật

Các mối đe dọa ngày nay là về các cuộc tấn công phức tạp, đa giai đoạn, có cấu trúc phức tạp, như “Vụ trộm hoàn hảo” do phần mềm độc hại Sneak Thief gây ra. Với sự kết hợp giữa tàng hình, tự động hóa và tính dai dẳng, những kẻ tấn công có thể xâm nhập vào các hệ thống mạng, vô hiệu hóa các biện pháp phòng thủ, lọc thông tin nhạy cảm và duy trì ẩn mình trong thời gian dài hơn. Khả năng điều chỉnh các chiến thuật của chúng cho phù hợp với môi trường xung quanh nói lên một sự chuyển dịch sang các chiến dịch tập trung vào độ chính xác, có tác dụng tạo ra sự phá hủy tối đa với mức độ phơi nhiễm tối thiểu.

3. Độ phức tạp đạt đến tầm cao mới: 14 hành động độc hại trên mỗi phần mềm độc hại

Phần mềm độc hại hiện đại điển hình hiện thực hiện trung bình 14 hành động độc hại và 12 kỹ thuật ATT&CK trên mỗi mẫu, trình bày một mức độ tinh vi đang phát triển cùng với sự gia tăng đáng chú ý về khả năng điều phối các kỹ thuật và phương pháp khác nhau của những kẻ tấn công, do đó làm tăng thêm mức độ phức tạp mà các tổ chức cần sử dụng để phát hiện và phòng thủ.

4. Kỹ thuật tàng hình tiếp tục thống trị: Trốn tránh và dai dẳng là cốt lõi

T1055 Process Injection, được thấy trong 31% các mẫu được phân tích, cho thấy sự chuyển dịch hơn nữa sang các phương pháp tàng hình hơn khi mã được tiêm vào một quy trình hợp pháp trốn tránh phát hiện trong nhiều giải pháp bảo mật. Ngoài ra, T1059 Command and Scripting Interpreter nổi bật trong số các kỹ thuật hàng đầu cho phép những kẻ tấn công tiến hành các hoạt động độc hại thông qua các công cụ gốc, chẳng hạn như PowerShell và Bash.

5. Đánh cắp thông tin xác thực thúc đẩy việc di chuyển ngang: Trao chìa khóa cho vương quốc

Đánh cắp thông tin xác thực vẫn là một trong những kỹ thuật đáng tin cậy nhất trong sổ tay của đối phương, với T1555 Credentials from Password Stores xuất hiện trong 25% các mẫu phần mềm độc hại được phân tích.

Một xu hướng ngày càng tăng trong việc đánh cắp thông tin xác thực nhắm mục tiêu vào trình quản lý mật khẩu, thông tin xác thực được lưu trữ trên trình duyệt và dữ liệu đăng nhập được lưu trong bộ nhớ cache để đạt được sự di chuyển ngang và cho phép những kẻ tấn công có các đặc quyền nâng cao đối với các hệ thống nhạy cảm. Những thông tin xác thực bị đánh cắp đó sau đó được sử dụng để di chuyển ngang và leo thang đặc quyền, cho phép những kẻ tấn công mở rộng phạm vi tiếp cận của chúng trong môi trường mà chúng đã xâm nhập.

6. Giao tiếp được mã hóa trở thành tiêu chuẩn: Các kênh thì thầm

Đối phương nói chung đã nâng tầm trò chơi của họ bằng cách dựa vào các phương pháp giao tiếp được mã hóa như HTTPS và DNS over HTTPS (DOH) trong khi lọc dữ liệu hoặc giao tiếp với các máy chủ C2. Bằng cách này, những “kênh thì thầm” này cho phép những kẻ tấn công che giấu lưu lượng truy cập độc hại trong các mẫu lưu lượng truy cập mạng hợp pháp vượt qua các công cụ giám sát truyền thống.

Và đây là nơi mà ransomware hiện đã thay đổi thành một hoạt động đa giai đoạn liên quan đến việc lọc dữ liệu qua các kênh được mã hóa.

7. Ransomware phát triển thành một hoạt động đa giai đoạn: Mã hóa dữ liệu

T1486 Data Encrypted for Impact vẫn ở gần đầu danh sách năm nay khi các nhà điều hành ransomware tiếp tục đổi mới các chiến thuật của họ. Các tác nhân đe dọa ngày càng kết hợp mã hóa với việc lọc dữ liệu nâng cao bằng cách sử dụng T1071 Application Layer Protocol để tống tiền gấp đôi hiệu quả hơn. Nhiều cuộc tấn công ransomware nổi tiếng có tính tàn phá cao nhất năm 2024 và 2025 là các chiến dịch có thể chuyển sang cơ sở hạ tầng quan trọng tại các tổ chức có giá trị cao với tần suất ngày càng tăng.

8. Kỹ thuật dai dẳng đảm bảo truy cập dài hạn: Boot or Logon Autostart Execution đang gia tăng

T1547 Boot or Logon Autostart Execution ngày càng trở thành một trong những phương pháp hàng đầu mà phần mềm độc hại sống sót sau khi khởi động lại hệ thống và các nỗ lực xóa bỏ. Với thực tế là SneakThief đã tận dụng điều này, xu hướng của những hacker tập trung vào sự dai dẳng đạt được các thành lũy trong các mạng bị hack trong thời gian dài hơn sẽ không có khả năng biến mất bất cứ lúc nào.

9. Đánh cắp dữ liệu thời gian thực tăng tốc: Input Capture và System Discovery

Những kẻ tấn công đã tận dụng T1056 Input Capture và T1082 System Information Discovery để tăng tốc hành vi đánh cắp dữ liệu theo thời gian thực từ các tổ chức được nhắm mục tiêu của họ.

Dọc theo các dòng này, Infostealers đã sử dụng keyloggers, tiện ích chụp màn hình và bộ đánh chặn âm thanh để giám sát các hoạt động tại FinexaCore trong khi theo kịp hoặc vượt xa các nỗ lực phòng thủ của tổ chức.

10. Các chiến dịch gián điệp do nhà nước tài trợ tăng cường: Các mối đe dọa dai dẳng nâng cao đang gia tăng

T1082 System Information Discovery tiếp tục phổ biến và xu hướng ngày càng tăng của T1071 Application Layer Protocol vạch ra sự trỗi dậy liên tục của các chiến dịch gián điệp trên mạng. Năm 2024, các nhóm tác nhân đe dọa như APT29 từ Nga, Volt Typhoon từ Trung Quốc và Lazarus Group từ Bắc Triều Tiên đã nhắm mục tiêu vào cơ sở hạ tầng quan trọng, các cơ quan chính phủ và các doanh nghiệp tư nhân với quyết tâm mới. Các chiến dịch như vậy nhấn mạnh việc truy cập dài hạn và đánh cắp dữ liệu để thúc đẩy các mục tiêu địa chính trị của họ.

11. Hype AI so với thực tế: Các công cụ năng suất, Không phải vũ khí ngày tận thế

Bất chấp những suy đoán lan rộng về việc Al biến đổi bối cảnh phần mềm độc hại, nghiên cứu của chúng tôi cho thấy không có sự gia tăng đáng chú ý nào trong việc sử dụng các kỹ thuật phần mềm độc hại do Al điều khiển. Trong khi đối phương sử dụng Al để tăng hiệu quả (nghiên cứu, gỡ lỗi mã, tạo nội dung lừa đảo), thì chưa có khả năng tấn công mới do Al điều khiển nào xuất hiện. Al nâng cao năng suất nhưng chưa xác định lại phần mềm độc hại.

Top 10 chiến thuật ATT&CK: Những kẻ áp dụng trong các nhóm đe dọa & Phần mềm độc hại

ATT&CK Technique	Nhóm APT	Phần mềm độc hại
T1055 Process Injection	GhostWriter (aka UAC-0057) [1], RomCom APT [2]	RedLine Stealer Malware [3], Agent Tesla Stealer Malware [4], Smash Jacker [5], SystemBS [6], Lumma Stealer ([7], [8]), IDAT Loader [8], Zloader [9], PythonRatLoader [10], Strela Stealer [11], REMCOS RAT [12], GhostPulse [13], CherryLoader [14]
T1059 Command and Scripting Interpreter	BlackBasta Ransomware Group [15], Earth Estries (a.k.a Salt Typhoon) [16], Bianlian Ransomware Group [17], Rhysida Ransomware Group [18], Iranian Cyber Actors [19], Everest Ransomware Group [20], Lazarus Group [21], Akira Ransomware Group ([22], [23]), CoralRaider Campaign [24], UAT-5647 [25], APT40, Volt Typhoon [26], Void Banshee Campaign [27], Water Hydra Campaign [28]	Cthulhu Stealer [29], CarnavalHeist Banking Trojan [30], Beaver Tail Backdoor [21], PowerRAT [31], Silver & PoshC2 Frameworks, Empire [32], PowerSploit [33], Nishang [34], Posh-SecMod [35], HeavyLift [36], MacStealer [37], PXA Infostealer [38], Interlock Ransoware [39], RustClaw, DustyHammock và ShadyHammock [25], Brightmetricagent, DarkMe RAT [28], Androxghost [40], WarmCookie (a.k.a BadSpace) [41], Water Makara Campaign (downloading Astaroth InfoStealer) [42], DarkGate [43]
T1555 Credentials from Password Stores	Volt Typhoon [26], Slow Tempest APT [44]	RedLine Stealer, Cuckoo InfoStealer [45], DarkGate [46], ACR Stealer [47], SCARLETELL [48]
T1071 Application Layer Protocol		WezRat [49], Glutton [50], RevC2 Backdoor [51], DarkGate [52], LemonDuck [53], Snake Keylogger [54], Trojan.Win32.Injuke.mlrx [55], MadMxShell Backdoor [56], GammaLoad [57], IOCONTROL [58], WailingCrab [59]
T1562 Impair Defenses	BlackCat Ransomware Group [60], SeleniumGreed Campaign [61], XMRig Cryptominer [62], Fox Kitten [63]	INC Ransomware [64], WhisperGate Destructive Malware [65], amsi_patch.ps1 [66], RansomHub Ransomware [67], EDRKillShifter Tool [68], Mallox Ransomware [69], Phobos Ransomware [70], BPFDoor [71], Ebury Rootkit [72], RA World Ransomware [73], SkidMap [74]
T1486 Data Encrypted for Impact	RansomHub Ransomware Group [75], Black Basta Ransomware Group [76], Akira Ransomware Group [77], ALPHV Ransomware Group [78], Rhysida Ransomware Group [79]	Phobos Ransomware [80], RansomHub Ransomware [75], Black Basta Ransomware [76], Akira Ransomware [77], ALPHV Ransomware [78], Rhysida Ransomware [79], AcidRain [81], BiBi Wiper [82], ESET Israel Wiper [83], Handala’s Wiper [84], Kaden [85], Zeppelin Ransomware [86]
T1082 System Information Discovery	UAT-5647 [25], Moonstone Sleet [87]	Interlock Ransomware [39], SingleCamper [25], Cuckoo Malware [88], A Rust-based macOS Backdoor [89], Linux Malware [90]
T1056 Input Capture	TaxOff [91], DeceptionAds [92]	DarkVision RAT [93], TaxOffer featuring BgJobKeylogger class [91], MacStealer [37]
T1547 Boot or Logon Autostart Execution	Ferocious APT [94], Earth Lusca APT (a.k.a Salt Typhoon) [95], Winti Hacking Group [96], Transparent Tribe (a.k.a APT36) [97]	Phobos Ransomware [70], Medusalocker Ransomware [98], Snake Keylogger [99], KamiKakaBot [100], Mandela.exe [101], Snapekit Rootkit [102], PipeMon [96], DISGOMOJI [103], StubPath [104]
T1005 Data from Local System	Bianlian Ransomware Group [17], Mustang Panda [105], Twelve Hacktivist Group [106], CRON#TRAP Campaign [107], APT36 [97], Shedding Zmiy [108]	Voldemort Backdoor [109], GLOBSHELL [97]

Đề xuất cho các đội bảo mật

Để xây dựng khả năng phục hồi trước các kỹ thuật trong Red Report Top Ten và các kỹ thuật tấn công phổ biến khác, Picus Labs đề xuất các đội bảo mật thực hiện tập hợp các hành động sau:

1. Tập trung vào các kỹ thuật MITRE ATT&CK hàng đầu

Vì 93% tất cả các hoạt động độc hại trong năm 2024 được gán cho 10 kỹ thuật MITRE ATT&CK hàng đầu, các đội bảo mật nên đảm bảo họ có các công cụ sẵn sàng để chống lại các mối đe dọa này.

a) Cơ chế bảo vệ bộ nhớ: Triển khai một giải pháp có khả năng phát hiện hoặc ngăn chặn thao tác bộ nhớ trái phép để phát hiện process hollowing và DLL injection.

b) Sử dụng Application Control: Đối với PowerShell, Bash và các công cụ viết kịch bản khác, hãy thực thi kiểm soát ứng dụng nghiêm ngặt bằng cách cho phép danh sách trắng các ứng dụng hoặc bằng cách từ chối thực thi kịch bản (T1059).

c) Giám sát chuyên sâu về PowerShell và Bash: Cho phép ghi nhật ký chi tiết về hoạt động PowerShell và Bash bằng cách sử dụng PowerShell Script Block Logging và Sysmon.

d) Sử dụng phát hiện dựa trên hành vi: Áp dụng các giải pháp bảo mật cung cấp phát hiện dựa trên hành vi để tránh xa các giải pháp dựa trên chữ ký thuần túy.

2. Thiết lập các quy trình ứng phó tấn công đa giai đoạn

Với các cuộc tấn công kiểu “Vụ trộm hoàn hảo” ngày càng phổ biến, các đội bảo mật nên sử dụng các biện pháp phòng thủ và phương pháp ứng phó nhiều lớp để xác định và phá vỡ các mối đe dọa ở nhiều giai đoạn.

a) Tạo các kế hoạch ứng phó sự cố đa giai đoạn và đào tạo người của bạn về chúng: Liên tục phát triển và thực hành quy trình ứng phó để chống lại nhiều vectơ đe dọa phối hợp.

b) Tạo sổ tay hướng dẫn dựa trên kịch bản: Lập tài liệu về các bước cụ thể cần thực hiện khi đối mặt với các TTP được quan sát kỹ và các mẫu tấn công đa giai đoạn phổ biến để hợp lý hóa việc xử lý sự cố.

c) Tự động hóa việc ứng phó trên các chỉ số giai đoạn đầu: Phấn đấu để có thời gian tạm dừng tối thiểu và triển khai các khả năng để nhanh chóng xác định và vô hiệu hóa các cuộc tấn công mới manh nha.

d) Thiết lập các kênh liên lạc để ứng phó sự cố mở rộng: Lập kế hoạch cho các vai trò và trách nhiệm trong tương lai để các đội có thể dễ dàng làm việc cùng nhau hơn trong các cuộc tấn công kéo dài hoặc phức tạp bất thường.

3. Nâng cao bảo vệ và quản lý thông tin xác thực

Đánh cắp thông tin xác thực tiếp tục là một phần cốt lõi trong sổ tay của hầu hết các đối phương, vì vậy việc bảo vệ thông tin xác thực tốt vẫn rất quan trọng.

a) Bảo vệ các kho thông tin xác thực: Bảo vệ trình quản lý mật khẩu, thông tin xác thực được lưu trữ trên trình duyệt và dữ liệu đăng nhập được lưu trong bộ nhớ cache (T1555) bằng các biện pháp bảo mật mạnh mẽ. Giám sát và kiểm tra tất cả quyền truy cập vào trình quản lý mật khẩu và thông tin xác thực được lưu trữ trên trình duyệt.

b) Triển khai MFA: Triển khai xác thực đa yếu tố (MFA) trên tất cả các hệ thống và ứng dụng, nhưng với sự nhấn mạnh hơn nữa vào các hệ thống lưu trữ dữ liệu nhạy cảm. Lưu trữ thông tin xác thực trong các kho được mã hóa hỗ trợ MFA.

c) Kiểm tra và luân phiên thông tin xác thực định kỳ: Kiểm tra định kỳ người dùng và các cấp độ quyền. Điều này cũng bao gồm việc xóa bỏ các đặc quyền đã lỗi thời hoặc không sử dụng, cũng như những đặc quyền trong các tài khoản không hoạt động. Áp đặt việc luân phiên thông tin xác thực định kỳ với các biện pháp kiểm soát truy cập đúng lúc thích hợp.

d) Triển khai PAM: Triển khai các giải pháp quản lý truy cập đặc quyền (PAM) tinh vi để giám sát và quản lý an toàn các tài khoản và quyền truy cập đặc quyền.

4. Bảo mật các giao tiếp được mã hóa

Khi giao tiếp ngày càng trở nên được mã hóa hoàn toàn, bao gồm cả giao tiếp của những kẻ tấn công, các đội bảo mật sẽ muốn chuyển sang các kỹ thuật phát hiện và phòng ngừa phức tạp hơn.

a) Triển khai SSL/TLS Inspection: Tập trung vào các giải pháp kiểm tra lưu lượng được mã hóa để tìm phần mềm độc hại mà không xâm phạm quyền riêng tư của người dùng.

b) Giám sát lưu lượng DNS: Đầu tư vào các giải pháp giám sát và lọc DNS để xác định và ngăn chặn việc sử dụng DNS cho hành vi lọc dữ liệu và command and control và cung cấp khả năng hiển thị và phân tích DNS trên các mẫu lưu lượng HTTPS (DoH).

c) Đầu tư vào NGFW: Triển khai Tường lửa thế hệ tiếp theo (NGFW) có uy tín có khả năng cung cấp khả năng bảo vệ nâng cao, giám sát lưu lượng được mã hóa cho cả các mối đe dọa đã biết và chưa biết.

d) Áp dụng Zero Trust Network Access: Dựa vào một mô hình truy cập mạng Zero-trust đã được chứng minh, trong đó mọi quyền truy cập vào các tài nguyên mạng đều được xác thực, ủy quyền và mã hóa khi bật mọi ID người dùng, vị trí và tư thế thiết bị.

5. Tăng cường khả năng chống Ransomware

Với ransomware phát triển thành một hoạt động đa giai đoạn, các doanh nghiệp cần ưu tiên cả các chiến lược phòng ngừa và phục hồi toàn diện.

a) Triển khai giải pháp sao lưu và phục hồi dữ liệu: Đầu tiên, giữ các bản sao lưu sạch của dữ liệu quan trọng ở chế độ ngoại tuyến an toàn khỏi các mạng sản xuất; xác thực định kỳ các quy trình khôi phục bản sao lưu của bạn.

b) Phát hiện và ứng phó cụ thể với Ransomware: Đảm bảo bạn có các công cụ tại chỗ có thể phát hiện các hành động và/hoặc hành vi được quy cho Ransomware; ví dụ: nhiều tệp đang được mã hóa nhanh chóng cùng một lúc.

c) Đánh giá lỗ hổng thường xuyên: Thực hiện quét liên tục và tự động thực hiện thử nghiệm nhanh chóng nhất có thể.

d) Tạo và kiểm tra Kế hoạch ứng phó sự cố của bạn: Tạo và kiểm tra thường xuyên chiến lược ứng phó sự cố chi tiết và chuyên dụng của bạn cụ thể cho tất cả các dạng ransomware đã biết và các sự kiện zero-day.

6. Giải quyết các mối đe dọa dai dẳng và truy cập dài hạn

Với các kỹ thuật như Boot or Logon Autostart Execution đang gia tăng, hãy tập trung vào việc ngăn chặn và phát hiện các mối đe dọa dai dẳng.

a) Triển khai Endpoint Detect & Response (EDR): Đảm bảo triển khai giải pháp EDR sẽ cho phép bạn xác định và chặn các sửa đổi trái phép đối với giao thức khởi động của bạn.

b) Kiểm tra hệ thống thường xuyên: Kiểm tra định kỳ các cấu hình hệ thống, các mục khởi động và các tác vụ đã lên lịch để tìm các cơ chế dai dẳng có thể có. Tạo các tác vụ săn tìm với trọng tâm là các mục nhập thực thi tự động trái phép.

c) Áp dụng kiểm soát ứng dụng: Sử dụng danh sách trắng ứng dụng để từ chối thực thi các tệp thực thi trái phép từ việc chạy khi khởi động hệ thống.

d) Triển khai các giải pháp FIM: Sử dụng các giải pháp Giám sát tính toàn vẹn tệp (FIM) để theo dõi những thay đổi trái phép đối với các tệp và cấu hình hệ thống quan trọng.

7. Tăng cường bảo vệ dữ liệu thời gian thực

Để chống lại các kỹ thuật đánh cắp dữ liệu theo thời gian thực như Input Capture và System Information Discovery, bạn sẽ cần áp dụng các biện pháp bảo vệ dữ liệu phù hợp.

a) Triển khai giải pháp DLP: Sử dụng các giải pháp Ngăn chặn mất dữ liệu (DLP) có thể giám sát và chặn việc lọc dữ liệu theo thời gian thực. Tạo cảnh báo cho các mẫu truy cập dữ liệu bất thường hoặc di chuyển dữ liệu hàng loạt.

b) Nâng cao UBA: Triển khai các giải pháp Phân tích hành vi người dùng (UBA) để giúp phát hiện các hoạt động bất thường của người dùng có thể biểu thị các tài khoản bị xâm phạm hoặc các mối đe dọa từ nội bộ.

c) Mã hóa dữ liệu: Đảm bảo rằng tất cả dữ liệu nhạy cảm được mã hóa cả khi nghỉ ngơi và khi truyền tải.

d) Nâng cao các biện pháp kiểm soát điểm cuối: Tăng cường các biện pháp kiểm soát điểm cuối để phát hiện và chặn việc chụp đầu vào trái phép.

8. Chống lại các chiến dịch gián điệp do nhà nước tài trợ

Để giải quyết tốc độ và độ phức tạp gia tăng của các chiến dịch gián điệp do nhà nước tài trợ, hãy triển khai các chiến lược phát hiện và giảm thiểu mối đe dọa nâng cao.

a) Nền tảng thông tin tình báo về mối đe dọa: Sử dụng các nền tảng và nguồn cấp dữ liệu thông tin tình báo về mối đe dọa để cập nhật các TTP hiện tại được sử dụng bởi các tác nhân đe dọa do nhà nước tài trợ.

b) Phân đoạn mạng: Thực hiện phân đoạn vi mô mạng và giảm thiểu bề mặt tấn công cho Các mối đe dọa dai dẳng nâng cao (APT).

c) Các công nghệ lừa đảo: Các công nghệ Honeypot là một trong các phương pháp triển khai được sử dụng để phát hiện và phân tích các hoạt động APT trên mạng của bạn.

d) Săn lùng mối đe dọa: Tạo các chương trình săn lùng mối đe dọa chủ động để phát hiện và giảm thiểu các mối đe dọa nâng cao có thể đã bỏ qua quá trình phát hiện.

Khuôn khổ MITRE ATT&CK

Khuôn khổ MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge – Các chiến thuật, kỹ thuật và kiến thức chung của đối phương) là một cơ sở kiến thức có thể truy cập trên toàn cầu về các chiến thuật và kỹ thuật của đối phương bắt nguồn từ các quan sát trong thế giới thực. Tài nguyên này giúp các tổ chức trong việc hiểu và giảm thiểu các chiến thuật, kỹ thuật và quy trình (TTP) được sử dụng trong các cuộc tấn công mạng.

Trong khuôn khổ MITRE ATT&CK, một “chiến thuật” đề cập đến một mục tiêu cấp cao mà đối phương đang cố gắng đạt được, chẳng hạn như “Di chuyển ngang” trên một mạng. Một “kỹ thuật” là một phương pháp cụ thể được sử dụng bởi một đối phương để đạt được một chiến thuật, chẳng hạn như kỹ thuật “Remote Services” cho Di chuyển ngang. “Các kỹ thuật phụ”, như T1021.001 cho Remote Desktop Protocol, là các triển khai chính xác của một kỹ thuật. Ma trận MITRE ATT&CK cho Enterprise v16.1 bao gồm 14 chiến thuật, 203 kỹ thuật và 453 kỹ thuật phụ [110].

Khuôn khổ này cũng ghi lại các “nhóm” đe dọa liên quan đến các xâm nhập và “phần mềm” mà chúng triển khai, bao gồm phần mềm độc hại và các công cụ khác nhau. Hiện tại, ATT&CK chứa 163 nhóm và 826 phần mềm.

Với 44 “biện pháp giảm thiểu”, ATT&CK khuyên về các giải pháp để ngăn chặn việc thực hiện kỹ thuật. Việc phát hiện được hỗ trợ bởi 41 “nguồn dữ liệu” với “thành phần dữ liệu”, xác định chính xác các nguồn dữ liệu quan trọng để xác định các kỹ thuật.

Cấu trúc “chiến dịch” của ATT&CK lập danh mục hoạt động xâm nhập theo thời gian với các mục tiêu chung, hiện có 36 chiến dịch.

Phương pháp luận

Từ tháng 1 năm 2024 đến tháng 12 năm 2024, Picus Labs đã tiến hành một phân tích sâu rộng về 1.094.744 tệp duy nhất, trong đó 1.027.511 (93,86%) được phân loại là độc hại. Các tệp này được thu thập từ một loạt các nguồn đáng tin cậy, bao gồm các dịch vụ thông tin tình báo về mối đe dọa thương mại và nguồn mở, các nhà cung cấp bảo mật, các nhà nghiên cứu độc lập, các hộp cát phần mềm độc hại, các cơ sở dữ liệu phần mềm độc hại và các diễn đàn trực tuyến. Cách tiếp cận toàn diện này đảm bảo một bộ dữ liệu mạnh mẽ và đại diện cho các mối đe dọa trong thế giới thực.

Từ các tệp độc hại đã xác định, 14.010.853 hành động độc hại đã được phát hiện, trung bình khoảng 14 hành động trên mỗi mẫu phần mềm độc hại. Các hành động độc hại này đã được ánh xạ một cách có hệ thống vào khuôn khổ MITRE ATT&CK, dẫn đến tổng cộng 11.984.156 kỹ thuật ATT&CK được xác định. Trung bình, mỗi mẫu phần mềm độc hại thể hiện 12 kỹ thuật riêng biệt, với nhiều hành động độc hại tương ứng với một kỹ thuật duy nhất. Quá trình ánh xạ này cung cấp một cái nhìn chi tiết về cách đối phương tận dụng các kỹ thuật cụ thể để đạt được mục tiêu của họ.

Để biên soạn Red Report 2025 Top Ten, các nhà nghiên cứu của Picus Labs tập trung vào việc xác định các kỹ thuật phổ biến nhất được sử dụng bởi đối phương. Đối với mỗi kỹ thuật, số lượng tệp độc hại sử dụng nó được tính toán và biểu thị dưới dạng phần trăm của tổng số tệp độc hại được phân tích. Ví dụ: kỹ thuật T1055: Process Injection được quan sát thấy trong 314.088 mẫu phần mềm độc hại, chiếm 31% trong số 1.027.511 tệp độc hại trong bộ dữ liệu. Phương pháp này cho phép các nhà nghiên cứu xếp hạng các kỹ thuật dựa trên mức độ phổ biến của chúng, đảm bảo rằng báo cáo làm nổi bật các kỹ thuật được sử dụng rộng rãi nhất bởi những kẻ tấn công trong các kịch bản thế giới thực.

Bằng cách tận dụng phương pháp tiếp cận dựa trên dữ liệu này, Red Report cung cấp thông tin chi tiết có thể hành động về các hành vi của đối phương thường xuyên được quan sát nhất, cho phép các tổ chức ưu tiên tốt hơn các biện pháp phòng thủ của họ chống lại các kỹ thuật có nhiều khả năng nhắm mục tiêu vào họ nhất.

Các bạn hãy tham khảo toàn bộ nội dung trong file PDF