-
09/04/2020
-
115
-
1.161 bài viết
Cảnh báo: Microsoft Teams bị tội phạm mạng khai thác trong các cuộc tấn công tinh vi
Microsoft vừa cảnh báo rằng các nhóm tội phạm mạng và những tác nhân có hậu thuẫn nhà nước đang lợi dụng các tính năng của Microsoft Teams trong các chuỗi tấn công. Với mức độ phổ biến toàn cầu, Teams trở thành mục tiêu giá trị cao, khi các tính năng chính như chat, gọi video hay chia sẻ màn hình bị biến thành công cụ tấn công. Việc khai thác các tính năng quan trọng này đặt ra thách thức lớn cho các tổ chức trong việc giám sát, phát hiện và phản ứng chủ động.
Theo Microsoft, các kẻ tấn công khai thác toàn bộ vòng đời tấn công trong hệ sinh thái Teams, từ giai đoạn trinh sát ban đầu đến giai đoạn đạt mục tiêu cuối cùng. Quá trình này thường diễn ra theo nhiều bước, khi danh tiếng tin cậy của nền tảng bị lợi dụng để xâm nhập mạng, đánh cắp dữ liệu và triển khai phần mềm độc hại. Giai đoạn tấn công thường bắt đầu bằng trinh sát, sử dụng các công cụ mã nguồn mở như TeamsEnum và TeamFiltration để liệt kê người dùng, nhóm và tenant. Các tác nhân xấu lập sơ đồ tổ chức và xác định những điểm yếu về bảo mật, như cài đặt giao tiếp với bên ngoài quá lỏng lẻo.
Tiếp theo là giai đoạn phát triển nguồn lực, nơi kẻ tấn công có thể chiếm quyền kiểm soát tenant hợp pháp hoặc tạo mới, với thương hiệu giả mạo nhằm mạo danh các thực thể đáng tin cậy như bộ phận IT. Khi đã xây dựng được hình ảnh uy tín, họ tiến tới bước xâm nhập ban đầu. Giai đoạn này thường sử dụng các chiến thuật kỹ thuật xã hội, chẳng hạn các chiêu lừa đảo hỗ trợ kỹ thuật. Nhóm tấn công Storm-1811 đã giả mạo bộ phận IT để giải quyết các vấn đề email giả định, dùng lý do này để triển khai ransomware. Tương tự, các affiliate của ransomware 3AM đã gửi hàng loạt email rác tới nhân viên và sau đó dùng cuộc gọi Teams để thuyết phục họ cấp quyền truy cập từ xa. Liên kết độc hại và payload cũng được phân phát trực tiếp qua chat Teams, với các công cụ như AADInternals và TeamsPhisher để triển khai malware như DarkGate.
Sau khi chiếm được vị trí trong hệ thống, các tác nhân tập trung vào duy trì quyền truy cập lâu dài và leo thang đặc quyền. Họ có thể thêm các tài khoản khách, khai thác luồng xác thực thiết bị để đánh cắp token truy cập, hoặc sử dụng các chiêu lừa đảo để triển khai malware nhằm đảm bảo quyền truy cập lâu dài. Nhóm tội phạm có động cơ tài chính Octo Tempest từng bị phát hiện dùng kỹ thuật xã hội quyết liệt trên Teams để xâm phạm Multi-Factor Authentication của các tài khoản đặc quyền. Khi quyền hạn được nâng cao, các kẻ tấn công tiến hành giai đoạn khám phá và di chuyển ngang. Họ sử dụng công cụ như AzureHound để lập bản đồ cấu hình Microsoft Entra ID của tổ chức bị xâm nhập, tìm kiếm dữ liệu giá trị. Nhóm có sự hậu thuẫn của nhà nước Peach Sandstorm đã từng dùng Teams để phân phối các tập tin ZIP độc hại và sau đó tiến hành khai thác cơ sở dữ liệu Active Directory nội bộ. Nếu chiếm được quyền quản trị, kẻ tấn công có thể thay đổi cài đặt giao tiếp với bên ngoài để thiết lập mối quan hệ tin cậy với các tổ chức khác, từ đó di chuyển ngang giữa các tenant.
Giai đoạn cuối cùng của chuỗi tấn công bao gồm thu thập dữ liệu, điều khiển từ xa, đánh cắp thông tin và tạo tác động. Kẻ tấn công sử dụng các công cụ như GraphRunner để tìm kiếm và xuất các cuộc trò chuyện, tập tin nhạy cảm từ Teams, OneDrive và SharePoint. Một số malware, chẳng hạn phiên bản bẻ khóa của Brute Ratel C4, được thiết kế để thiết lập kênh điều khiển sử dụng chính giao thức Teams để gửi và nhận lệnh. Dữ liệu bị đánh cắp có thể được chuyển qua tin nhắn Teams hoặc các liên kết dẫn tới bộ nhớ đám mây do kẻ tấn công kiểm soát. Mục tiêu cuối cùng thường là trộm tài chính thông qua tống tiền hoặc ransomware. Nhóm Octo Tempest từng gửi các tin nhắn đe dọa qua Teams để ép các tổ chức trả tiền sau khi chiếm quyền kiểm soát hệ thống, cho thấy Teams không chỉ bị lạm dụng làm điểm xâm nhập, mà còn trở thành công cụ trực tiếp cho việc cưỡng ép tài chính.
Để đối phó, các chuyên gia khuyến nghị áp dụng chiến lược phòng thủ đa lớp, tập trung vào củng cố kiểm soát danh tính và quyền truy cập, giám sát các hoạt động bất thường trong Teams và đào tạo nhận thức bảo mật liên tục cho người dùng. Việc kết hợp các biện pháp kỹ thuật với nâng cao ý thức người dùng sẽ là yếu tố quyết định giúp giảm thiểu rủi ro từ nền tảng cộng tác được sử dụng rộng rãi này.
Theo Microsoft, các kẻ tấn công khai thác toàn bộ vòng đời tấn công trong hệ sinh thái Teams, từ giai đoạn trinh sát ban đầu đến giai đoạn đạt mục tiêu cuối cùng. Quá trình này thường diễn ra theo nhiều bước, khi danh tiếng tin cậy của nền tảng bị lợi dụng để xâm nhập mạng, đánh cắp dữ liệu và triển khai phần mềm độc hại. Giai đoạn tấn công thường bắt đầu bằng trinh sát, sử dụng các công cụ mã nguồn mở như TeamsEnum và TeamFiltration để liệt kê người dùng, nhóm và tenant. Các tác nhân xấu lập sơ đồ tổ chức và xác định những điểm yếu về bảo mật, như cài đặt giao tiếp với bên ngoài quá lỏng lẻo.
Tiếp theo là giai đoạn phát triển nguồn lực, nơi kẻ tấn công có thể chiếm quyền kiểm soát tenant hợp pháp hoặc tạo mới, với thương hiệu giả mạo nhằm mạo danh các thực thể đáng tin cậy như bộ phận IT. Khi đã xây dựng được hình ảnh uy tín, họ tiến tới bước xâm nhập ban đầu. Giai đoạn này thường sử dụng các chiến thuật kỹ thuật xã hội, chẳng hạn các chiêu lừa đảo hỗ trợ kỹ thuật. Nhóm tấn công Storm-1811 đã giả mạo bộ phận IT để giải quyết các vấn đề email giả định, dùng lý do này để triển khai ransomware. Tương tự, các affiliate của ransomware 3AM đã gửi hàng loạt email rác tới nhân viên và sau đó dùng cuộc gọi Teams để thuyết phục họ cấp quyền truy cập từ xa. Liên kết độc hại và payload cũng được phân phát trực tiếp qua chat Teams, với các công cụ như AADInternals và TeamsPhisher để triển khai malware như DarkGate.
Sau khi chiếm được vị trí trong hệ thống, các tác nhân tập trung vào duy trì quyền truy cập lâu dài và leo thang đặc quyền. Họ có thể thêm các tài khoản khách, khai thác luồng xác thực thiết bị để đánh cắp token truy cập, hoặc sử dụng các chiêu lừa đảo để triển khai malware nhằm đảm bảo quyền truy cập lâu dài. Nhóm tội phạm có động cơ tài chính Octo Tempest từng bị phát hiện dùng kỹ thuật xã hội quyết liệt trên Teams để xâm phạm Multi-Factor Authentication của các tài khoản đặc quyền. Khi quyền hạn được nâng cao, các kẻ tấn công tiến hành giai đoạn khám phá và di chuyển ngang. Họ sử dụng công cụ như AzureHound để lập bản đồ cấu hình Microsoft Entra ID của tổ chức bị xâm nhập, tìm kiếm dữ liệu giá trị. Nhóm có sự hậu thuẫn của nhà nước Peach Sandstorm đã từng dùng Teams để phân phối các tập tin ZIP độc hại và sau đó tiến hành khai thác cơ sở dữ liệu Active Directory nội bộ. Nếu chiếm được quyền quản trị, kẻ tấn công có thể thay đổi cài đặt giao tiếp với bên ngoài để thiết lập mối quan hệ tin cậy với các tổ chức khác, từ đó di chuyển ngang giữa các tenant.
Giai đoạn cuối cùng của chuỗi tấn công bao gồm thu thập dữ liệu, điều khiển từ xa, đánh cắp thông tin và tạo tác động. Kẻ tấn công sử dụng các công cụ như GraphRunner để tìm kiếm và xuất các cuộc trò chuyện, tập tin nhạy cảm từ Teams, OneDrive và SharePoint. Một số malware, chẳng hạn phiên bản bẻ khóa của Brute Ratel C4, được thiết kế để thiết lập kênh điều khiển sử dụng chính giao thức Teams để gửi và nhận lệnh. Dữ liệu bị đánh cắp có thể được chuyển qua tin nhắn Teams hoặc các liên kết dẫn tới bộ nhớ đám mây do kẻ tấn công kiểm soát. Mục tiêu cuối cùng thường là trộm tài chính thông qua tống tiền hoặc ransomware. Nhóm Octo Tempest từng gửi các tin nhắn đe dọa qua Teams để ép các tổ chức trả tiền sau khi chiếm quyền kiểm soát hệ thống, cho thấy Teams không chỉ bị lạm dụng làm điểm xâm nhập, mà còn trở thành công cụ trực tiếp cho việc cưỡng ép tài chính.
Để đối phó, các chuyên gia khuyến nghị áp dụng chiến lược phòng thủ đa lớp, tập trung vào củng cố kiểm soát danh tính và quyền truy cập, giám sát các hoạt động bất thường trong Teams và đào tạo nhận thức bảo mật liên tục cho người dùng. Việc kết hợp các biện pháp kỹ thuật với nâng cao ý thức người dùng sẽ là yếu tố quyết định giúp giảm thiểu rủi ro từ nền tảng cộng tác được sử dụng rộng rãi này.
Theo Cyber Security News