Một chiến dịch tấn công mạng lừa đảo tinh vi đã được phát hiện, trong đó các tác nhân đe dọa đang lạm dụng chức năng hợp pháp của Microsoft Teams để phân phối nội dung độc hại. Nội dung này có vẻ như đến từ các dịch vụ đáng tin cậy của Microsoft, gây ra rủi ro nghiêm trọng cho người dùng và tổ chức.
Cơ chế Tấn công và Kỹ thuật Lừa đảo
Lạm dụng Tính năng “Mời Khách” trong Microsoft Teams
Kẻ tấn công khai thác tính năng “Invite a Guest” (Mời Khách) trong Microsoft Teams. Bằng cách này, chúng tạo ra các nhóm Teams với tên được ngụy tạo, nhằm mục đích vượt qua các kiểm soát bảo mật email truyền thống.
Các email mời tham gia nhóm này được gửi trực tiếp đến hộp thư của nạn nhân, mang theo các thông báo thanh toán giả mạo. Điều này làm cho chiến dịch này trở thành một mối đe dọa mạng đáng kể, khác biệt so với các cuộc tấn công lừa đảo qua email thông thường.
Cơ chế tấn công dựa vào việc lợi dụng sự tin cậy của người dùng vào các thông báo tự động từ các nền tảng cộng tác. Thay vì giả mạo địa chỉ email hoặc chèn URL độc hại, kẻ tấn công thực hiện các bước sau:
- Tạo các nhóm mới trong Microsoft Teams.
- Đặt tên nhóm được thiết kế để bắt chước các cảnh báo tài chính khẩn cấp.
- Các tên nhóm này thường đề cập đến việc gia hạn đăng ký hoặc thông báo thanh toán tự động để tạo cảm giác hoảng loạn và thúc đẩy hành động tức thì từ phía nạn nhân.
Vượt qua Cổng An ninh Email Truyền thống
Email mời tham gia nhóm được gửi từ địa chỉ Microsoft hợp pháp (ví dụ: [email protected]). Do đó, chúng dễ dàng vượt qua các kiểm tra bảo mật email như SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) và DMARC (Domain-based Message Authentication, Reporting, and Conformance).
Cơ sở hạ tầng email được sử dụng là chính hãng, làm cho các cổng an ninh email gặp khó khăn trong việc xác định đây là một cuộc tấn công mạng lừa đảo. Nội dung độc hại nằm trong tên nhóm, không phải trong phần thân email theo cách truyền thống, từ đó tránh được các bộ lọc email thông thường.
Để hiểu rõ hơn về tính năng mời khách của Teams, có thể tham khảo tài liệu chính thức của Microsoft: Hướng dẫn mời khách vào nhóm Microsoft Teams
Kỹ thuật Giả mạo Tên Nhóm và Vishing
Phần thân của email hiển thị tên nhóm độc hại với thông báo thanh toán gian lận và một số điện thoại hỗ trợ, được trình bày bằng phông chữ lớn, nổi bật. Thay vì hướng người dùng đến một trang web thu thập thông tin xác thực, chiến dịch này sử dụng kỹ thuật kỹ thuật xã hội qua điện thoại (vishing).
Nạn nhân được hướng dẫn gọi đến một đường dây hỗ trợ giả mạo để giải quyết khoản phí bị cáo buộc. Điều này làm tăng thêm mức độ phức tạp và khó khăn trong việc phát hiện, vì nó chuyển từ môi trường số sang tương tác trực tiếp qua điện thoại.
Một ví dụ cụ thể về tên nhóm được quan sát trong thực tế, minh họa kỹ thuật che giấu và thông điệp khẩn cấp:
Subscription Auto-Pay Notice (Ivoice ID: 2025_614632PPOT_SAG Amount 629. 98 USD). If you did not authorize or complete this m0nthly Payment,plese c0ntact our support team urgently.Để trốn tránh các bộ lọc nội dung tự động, kẻ tấn công sử dụng các kỹ thuật che giấu trong tên nhóm. Điều này bao gồm việc thay thế ký tự (ví dụ: ‘o’ bằng ‘0’), sử dụng ký tự Unicode hỗn hợp và các ký tự có hình dạng tương tự (homoglyph) nhưng khác biệt về mã hóa, làm cho việc phát hiện dựa trên chữ ký trở nên khó khăn hơn đối với các hệ thống phân tích tự động.
Phân tích Kỹ thuật Vượt mặt Bộ lọc và Che giấu
Chi tiết về Khai thác Sự tin cậy trong Tên Nhóm
Điểm mấu chốt của chiến dịch tấn công mạng này là việc tận dụng sự tin cậy vào nguồn gốc email hợp pháp và chuyển tải thông điệp độc hại thông qua một trường dữ liệu (tên nhóm) thường ít được kiểm tra sâu bởi các hệ thống an ninh.
Các hệ thống lọc email truyền thống thường tập trung chủ yếu vào phần thân email, các URL nhúng và tệp đính kèm. Việc chèn thông điệp lừa đảo vào tên nhóm khai thác một lỗ hổng trong giả định rằng tất cả các trường metadata đều vô hại và không chứa nội dung gây rủi ro.
Kỹ thuật Che giấu Ký tự và Mã hóa
Kẻ tấn công sử dụng các kỹ thuật tinh vi như homoglyph attacks hoặc typosquatting ở cấp độ ký tự. Ví dụ, việc thay thế các chữ cái latin bằng các ký tự có hình dạng tương tự từ các bảng mã khác (như Cyrillic) hoặc việc sử dụng ký tự có chiều rộng không gian khác nhau.
Mục đích của các kỹ thuật này là làm cho tên nhóm trông bình thường đối với mắt người dùng, nhưng lại đủ khác biệt để tránh bị các thuật toán phát hiện tự động dựa trên chữ ký hoặc từ khóa đơn giản. Điều này đòi hỏi các giải pháp bảo mật phải có khả năng phân tích ngữ cảnh và nhận diện sự bất thường trong cấu trúc ký tự.
Phạm vi và Ảnh hưởng của Chiến dịch
Quy mô và Đối tượng Mục tiêu
Chiến dịch tấn công mạng này có quy mô đáng kể, với dữ liệu đo từ xa cho thấy một cách tiếp cận rộng rãi, không phân biệt đối tượng, thay vì nhắm mục tiêu vào các tổ chức cụ thể cho mục đích gián điệp.
Các nhà nghiên cứu bảo mật đã ghi nhận tổng cộng 12.866 tin nhắn lừa đảo được phân phối trong thời kỳ cao điểm của chiến dịch, với trung bình 990 tin nhắn mỗi ngày. Các cuộc tấn công này đã tiếp cận khoảng 6.135 khách hàng khác nhau, cho thấy phạm vi lan truyền rộng lớn.
Phân bổ Theo Ngành và Khu vực
Sự phân bổ mục tiêu cho thấy kẻ tấn công muốn khai thác sự phổ biến rộng rãi của Microsoft Teams trên nhiều lĩnh vực. Các ngành chịu ảnh hưởng nặng nề nhất bao gồm:
- Sản xuất, kỹ thuật và xây dựng: 27.4%
- Công nghệ/SaaS/IT: 18.6%
- Giáo dục: 14.9%
Các lĩnh vực khác bị ảnh hưởng bao gồm dịch vụ chuyên nghiệp, chính phủ và tài chính. Mặc dù chiến dịch có phạm vi toàn cầu, nhưng trọng tâm chính vẫn là các mục tiêu ở Bắc Mỹ.
- Các tổ chức ở Hoa Kỳ chiếm 67.9% tổng số nạn nhân.
- Các thực thể Châu Âu chiếm 15.8%.
- Châu Á chiếm 6.4%.
Phân tích khu vực cụ thể của tác động tại Mỹ Latinh (LATAM) cho thấy sự tập trung ở Brazil và Mexico, phản ánh sự mở rộng địa lý của mối đe dọa mạng này sang các khu vực có mật độ sử dụng Teams cao.
Giải pháp và Biện pháp Phòng ngừa để Tăng cường Bảo mật Mạng
Nâng cao Nhận thức Người dùng về An toàn Thông tin
Chiến dịch này làm nổi bật một lỗ hổng nghiêm trọng trong bảo mật mạng cộng tác: sự phụ thuộc vào việc kiểm tra nội dung trong các lời mời được tạo ra bởi các nền tảng đáng tin cậy. Vì cơ chế phân phối email là hợp pháp, các tổ chức không thể chỉ dựa vào các giao thức xác thực email để chặn các mối đe dọa mạng này.
Các nhóm an ninh được khuyến nghị tăng cường đào tạo người dùng về việc xem xét kỹ lưỡng các lời mời Teams không mong muốn. Đặc biệt chú ý đến những lời mời chứa ngôn ngữ tài chính khẩn cấp, số điện thoại hoặc định dạng ký tự bất thường.
Cần nhấn mạnh tầm quan trọng của việc xác minh thông tin qua các kênh chính thức trước khi thực hiện bất kỳ hành động nào theo yêu cầu từ các thông báo đáng ngờ. Đây là tuyến phòng thủ đầu tiên và hiệu quả nhất.
Tăng cường Kiểm soát Bảo mật trong Môi trường Cộng tác
Để đối phó với kiểu tấn công mạng này, các tổ chức cần triển khai các biện pháp kiểm soát chặt chẽ hơn trong môi trường Microsoft Teams của mình. Điều này bao gồm các khuyến nghị kỹ thuật sau:
- Giới hạn quyền tạo nhóm: Hạn chế người dùng có thể tạo nhóm mới hoặc mời khách. Áp dụng nguyên tắc đặc quyền tối thiểu (Least Privilege) cho các vai trò quản trị Teams.
- Giám sát tên nhóm: Triển khai các giải pháp giám sát tên nhóm để phát hiện các mẫu đáng ngờ, sử dụng ký tự lạ hoặc các từ khóa nhạy cảm. Có thể sử dụng API Microsoft Graph để tự động hóa việc kiểm tra tên nhóm.
- Chính sách cảnh báo nội dung: Cấu hình các chính sách cảnh báo hoặc chặn các tin nhắn trong Teams có chứa các từ khóa nhạy cảm (liên quan đến thanh toán, hóa đơn, hỗ trợ khẩn cấp) khi chúng xuất hiện trong tên nhóm hoặc tin nhắn mời, thông qua các công cụ DLP (Data Loss Prevention) hoặc các giải pháp bảo mật bên thứ ba tích hợp với Teams.
- Xác thực đa yếu tố (MFA): Đảm bảo MFA được áp dụng rộng rãi cho tất cả các tài khoản truy cập Microsoft Teams và các dịch vụ liên quan để giảm thiểu rủi ro chiếm đoạt tài khoản nếu thông tin đăng nhập bị lộ qua các phương thức khác.
- Giải pháp Bảo mật Endpoint và Network Detection and Response (NDR): Sử dụng các công cụ này để phát hiện các hoạt động bất thường sau khi người dùng có thể đã gọi điện thoại lừa đảo hoặc truy cập các liên kết độc hại (nếu chiến dịch phát triển).
- Phân tích nhật ký Teams: Thường xuyên kiểm tra nhật ký hoạt động của Teams để phát hiện các mẫu bất thường liên quan đến việc tạo nhóm hoặc mời khách số lượng lớn.
Việc kết hợp nhiều lớp phòng thủ và thường xuyên cập nhật kiến thức về các kỹ thuật lừa đảo mới là điều cần thiết để duy trì bảo mật mạng hiệu quả trước các chiến dịch ngày càng tinh vi và khả năng thích ứng của kẻ tấn công.
