-
09/04/2020
-
124
-
1.532 bài viết
Tin tặc khai thác SharePoint để thực hiện tấn công AiTM trên diện rộng
Một chiến dịch lừa đảo AiTM tinh vi vừa được Microsoft Defender hé lộ cho thấy cách tin tặc đang khai thác chính những dịch vụ quen thuộc nhất của doanh nghiệp để qua mặt người dùng và hệ thống phòng thủ. Mục tiêu lần này là các tổ chức trong lĩnh vực năng lượng, với điểm khởi đầu không phải từ một email khả nghi, mà từ tài khoản của một đối tác đáng tin cậy đã bị chiếm quyền kiểm soát từ trước.
Về bản chất, đây là một chiến dịch sử dụng kỹ thuật tấn công đứng giữa (Adversary in the Middle – AiTM), trong đó tin tặc không chỉ dựng trang đăng nhập giả để đánh cắp mật khẩu, mà còn đứng xen giữa nạn nhân và dịch vụ hợp pháp trong suốt quá trình xác thực. Khi người dùng nhập thông tin đăng nhập và hoàn tất xác thực đa yếu tố, phiên làm việc hợp lệ cùng cookie xác thực sẽ bị thu giữ theo thời gian thực. Điều này cho phép kẻ tấn công đăng nhập vào hệ thống như chính nạn nhân, vượt qua cả MFA mà không cần biết mật khẩu về sau.
Cuộc tấn công bắt đầu khi nạn nhân nhận được email chia sẻ tài liệu qua Microsoft SharePoint, gửi từ địa chỉ email của một nhà cung cấp quen thuộc. Các đường dẫn SharePoint yêu cầu đăng nhập được thiết kế giống hệt quy trình chia sẻ tài liệu hợp pháp, tận dụng sự tin tưởng sẵn có vào hệ sinh thái Microsoft và khả năng né tránh các bộ lọc bảo mật email truyền thống. Khi người dùng nhấp vào liên kết và nhập thông tin đăng nhập trên trang giả mạo, tin tặc không chỉ đánh cắp mật khẩu mà còn chiếm luôn phiên làm việc thông qua kỹ thuật AiTM.
Cuộc tấn công lừa đảo AiTM (nguồn: Microsoft)
Ngay sau khi xâm nhập thành công, nhóm tấn công lập tức tạo các quy tắc hộp thư nhằm xóa email đến và tự động đánh dấu thư là đã đọc. Điều này giúp chúng âm thầm theo dõi hoạt động của nạn nhân mà không để lại dấu hiệu bất thường, đồng thời chặn các cảnh báo bảo mật hoặc email nghi ngờ trước khi người dùng kịp nhận ra.
Từ một tài khoản bị xâm nhập, chiến dịch nhanh chóng mở rộng. Tin tặc phát tán hơn 600 email lừa đảo tới các liên hệ bên trong và bên ngoài tổ chức, ưu tiên những người từng xuất hiện trong các chuỗi email gần đây của nạn nhân. Bằng cách này, chúng tận dụng ngữ cảnh giao tiếp có sẵn để tăng độ tin cậy và mở rộng bề mặt tấn công. Các hộp thư bị chiếm quyền còn bị giám sát liên tục, với các thông báo thư không gửi được hoặc trả lời vắng mặt bị xóa ngay lập tức để tránh gây chú ý.
Khi có người nhận tỏ ra nghi ngờ và phản hồi email, tin tặc trực tiếp trả lời từ chính tài khoản đã bị xâm nhập để xác nhận giả mạo tính hợp pháp của nội dung, sau đó xóa toàn bộ luồng hội thoại. Cách làm này giúp chúng duy trì quyền truy cập lâu dài và khiến cả nạn nhân lẫn người liên quan không nhận ra mình đang nằm trong một chiến dịch tấn công đang diễn ra.
Từ một tài khoản bị xâm nhập, chiến dịch nhanh chóng mở rộng. Tin tặc phát tán hơn 600 email lừa đảo tới các liên hệ bên trong và bên ngoài tổ chức, ưu tiên những người từng xuất hiện trong các chuỗi email gần đây của nạn nhân. Bằng cách này, chúng tận dụng ngữ cảnh giao tiếp có sẵn để tăng độ tin cậy và mở rộng bề mặt tấn công. Các hộp thư bị chiếm quyền còn bị giám sát liên tục, với các thông báo thư không gửi được hoặc trả lời vắng mặt bị xóa ngay lập tức để tránh gây chú ý.
Khi có người nhận tỏ ra nghi ngờ và phản hồi email, tin tặc trực tiếp trả lời từ chính tài khoản đã bị xâm nhập để xác nhận giả mạo tính hợp pháp của nội dung, sau đó xóa toàn bộ luồng hội thoại. Cách làm này giúp chúng duy trì quyền truy cập lâu dài và khiến cả nạn nhân lẫn người liên quan không nhận ra mình đang nằm trong một chiến dịch tấn công đang diễn ra.
Cuộc tấn công AiTM (nguồn: Microsoft)
Theo Microsoft Defender Experts, việc phân tích địa chỉ IP truy cập và các mẫu đăng nhập đã cho thấy phạm vi ảnh hưởng của chiến dịch trải rộng trên nhiều tổ chức trong ngành năng lượng, với nhiều người dùng bị xâm nhập hơn so với những gì ban đầu quan sát được. Điều đáng lo ngại là việc đổi mật khẩu đơn thuần không đủ để xử lý các cuộc tấn công AiTM, bởi tin tặc có thể tiếp tục truy cập thông qua cookie phiên đã đánh cắp, thậm chí đăng ký thêm các phương thức xác thực đa yếu tố bằng số điện thoại do chúng kiểm soát.
Microsoft khuyến cáo các tổ chức cần thu hồi toàn bộ phiên đăng nhập đang hoạt động, rà soát và xóa các quy tắc hộp thư do kẻ tấn công tạo ra, đồng thời đặt lại các cấu hình MFA có dấu hiệu bị thay đổi. Việc triển khai chính sách truy cập có điều kiện dựa trên các tín hiệu định danh như vị trí IP, trạng thái thiết bị và nhóm người dùng, kết hợp với đánh giá truy cập liên tục và các thiết lập bảo mật mặc định trong Azure Active Directory, sẽ giúp giảm đáng kể rủi ro.
Bên cạnh đó, các giải pháp phát hiện và phản ứng mở rộng như Microsoft Defender XDR đóng vai trò quan trọng trong việc phát hiện sớm những hành vi bất thường, từ các nỗ lực đăng nhập hàng loạt cho đến việc tạo quy tắc hộp thư độc hại. Microsoft cũng cung cấp các chỉ dấu tấn công liên quan đến chiến dịch này, bao gồm hai địa chỉ IP 178.130.46.8 và 193.36.221.10, khuyến nghị các tổ chức trong ngành năng lượng khẩn trương rà soát nhật ký xác thực để phát hiện và điều tra mọi hoạt động đăng nhập liên quan.
Theo Cyber Security News