Một nhóm tội phạm mạng có động cơ tài chính, được gọi là Storm-2755, đã phát động một chiến dịch tấn công mạng nhằm mục đích âm thầm chuyển hướng các khoản thanh toán lương của nhân viên sang các tài khoản ngân hàng do kẻ tấn công kiểm soát. Chiến dịch này nhắm vào các nhân viên Canada, sử dụng kỹ thuật Adversary-in-the-Middle (AiTM) để chiếm quyền điều khiển các phiên xác thực và vượt qua xác thực đa yếu tố (MFA), được các nhà nghiên cứu gọi là các cuộc tấn công “Payroll Pirate”.
Tổng Quan về Chiến Dịch “Payroll Pirate” của Storm-2755
Mục Tiêu và Phương Pháp Khai Thác
Nhóm Storm-2755 có động cơ tài chính rõ ràng, tập trung vào việc chiếm đoạt các khoản thanh toán lương. Mục tiêu chính là các nhân viên tại Canada, không phân biệt ngành nghề.
Phương pháp tiếp cận rộng rãi này làm cho việc phát hiện chiến dịch trở nên khó khăn hơn thông qua chỉ các giải pháp tình báo về mối đe dọa chuyên biệt theo ngành.
Kỹ Thuật Xâm Nhập Ban Đầu: SEO Poisoning và Giả Mạo Microsoft 365
Chiến Thuật Malvertising và Tên Miền Độc Hại
Chiến dịch bắt đầu bằng kỹ thuật SEO poisoning và malvertising. Storm-2755 đẩy một tên miền giả mạo, bluegraintours[.]com, lên top kết quả tìm kiếm cho các truy vấn như “Office 365” hoặc lỗi chính tả phổ biến “Office 265”.
Việc này đảm bảo rằng các nạn nhân tiềm năng sẽ dễ dàng tìm thấy và truy cập vào các trang web độc hại của chúng.
Thu Thập Thông Tin Đăng Nhập và Mã Phiên Trực Tiếp
Các nhân viên nhấp vào các liên kết này sẽ được chuyển hướng đến một trang đăng nhập Microsoft 365 giả mạo rất tinh vi. Ngay khi họ nhập thông tin đăng nhập, kẻ tấn công sẽ thu giữ cả mật khẩu và mã phiên trực tiếp (live session token) trong thời gian thực.
Kỹ thuật này cho phép kẻ tấn công giành được toàn quyền truy cập tài khoản mà không cần kích hoạt bất kỳ yêu cầu MFA nào từ phía nạn nhân.
Phân Tích Kỹ Thuật AiTM: Chiếm Quyền Điều Khiển Phiên Xác Thực
Cơ Chế Hoạt Động của Adversary-in-the-Middle (AiTM)
Điều làm nên sự khác biệt giữa Storm-2755 và các nhóm lừa đảo (phishing) cũ là chiều sâu kỹ thuật của phương pháp AiTM. Thay vì chỉ đơn thuần đánh cắp mật khẩu, các cuộc tấn công AiTM hoạt động như một máy chủ proxy.
Chúng chuyển tiếp toàn bộ luồng xác thực giữa nạn nhân và dịch vụ đăng nhập thực của Microsoft.
Tái Sử Dụng Mã Phiên và Token OAuth
Khi nạn nhân đăng nhập, kẻ tấn công chặn cả cookie phiên (session cookie) và token truy cập OAuth. Vì những yếu tố này đại diện cho một phiên đã được xác thực hoàn toàn, chúng có thể được tái sử dụng để truy cập các dịch vụ của Microsoft mà không cần kiểm tra thông tin đăng nhập hoặc thách thức MFA nào thêm.
Điều này cho phép kẻ tấn công duy trì quyền truy cập liên tục vào tài khoản của nạn nhân.
Sử Dụng Axios HTTP Client và Lỗ Hổng CVE-2025-27152
Storm-2755 sử dụng phiên bản 1.7.9 của thư viện Axios HTTP client để chuyển tiếp các token đã bị chiếm đoạt đến cơ sở hạ tầng của chúng. Nhật ký đăng nhập cho thấy Axios thực hiện các lần đăng nhập không tương tác vào OfficeHome cứ khoảng 30 phút một lần, giữ cho các phiên luôn hoạt động mà không gây ra sự phát hiện rõ ràng.
Một lỗ hổng CVE đã biết trong thư viện này, mang mã định danh CVE-2025-27152, có thể dẫn đến rủi ro giả mạo yêu cầu phía máy chủ (server-side request forgery). Nhóm Storm-2755 dường như đã khai thác lỗ hổng này trong quá trình chuyển tiếp token.
Hoạt Động Sau Xâm Nhập: Chiếm Đoạt Thanh Toán Lương
Tìm Kiếm và Thao Túng Dữ Liệu Thanh Toán trong Hộp Thư
Sau khi xâm nhập thành công tài khoản, Storm-2755 âm thầm tìm kiếm trong hộp thư các từ khóa liên quan đến bảng lương và nhân sự (HR). Nhóm này sau đó gửi email từ chính hộp thư của nạn nhân đến nhân viên HR, hỏi về việc thay đổi thông tin chuyển khoản trực tiếp.
Đây là một động thái social engineering tinh vi, xuất hiện hoàn toàn bình thường đối với người nhận.
Cập Nhật Trực Tiếp Thông Tin Ngân Hàng trên Nền Tảng HR
Trong trường hợp thao túng email không đủ, kẻ tấn công sẽ đăng nhập thủ công vào các nền tảng HR như Workday bằng phiên đã đánh cắp và cập nhật trực tiếp thông tin ngân hàng. Hành động này khiến các khoản thanh toán lương chuyển vào tài khoản do kẻ tấn công kiểm soát.
Cơ Chế Che Dấu Dấu Vết và Duy Trì Quyền Truy Cập
Làm Mới Phiên Truy Cập và Quy Tắc Hộp Thư Độc Hại
Điều khiến chiến dịch này đặc biệt nguy hiểm là cách nhóm này che đậy dấu vết cẩn thận. Storm-2755 làm mới các phiên bị đánh cắp vào khoảng 5:00 sáng theo múi giờ địa phương của nạn nhân để tránh kích hoạt các sự kiện xác thực lại.
Các quy tắc hộp thư cũng được tạo ra để ngay lập tức chôn vùi bất kỳ phản hồi nào từ HR về yêu cầu thay đổi ngân hàng giả mạo. Do đó, nạn nhân thường không hề hay biết có bất kỳ thay đổi nào cho đến khi lương của họ không đến.
Duy Trì Quyền Truy Cập Lâu Dài
Sau khoảng 30 ngày không hoạt động, các token bị đánh cắp sẽ tự động hết hạn. Tuy nhiên, trong một số trường hợp, kẻ tấn công đã đặt lại mật khẩu tài khoản và cài đặt MFA để duy trì quyền truy cập rất lâu sau khi xâm nhập ban đầu.
Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến chiến dịch này bao gồm:
- Tên miền độc hại (Rogue Domain):
bluegraintours[.]com
Biện Pháp Phòng Ngừa và Phản Ứng Đối Với Các Cuộc Tấn Công Mạng
Phản Ứng Khẩn Cấp
Các tổ chức được khuyến nghị mạnh mẽ nên thu hồi ngay lập tức các token đã bị xâm phạm, loại bỏ các quy tắc hộp thư độc hại, và đặt lại thông tin đăng nhập cùng các phương thức MFA cho bất kỳ tài khoản nào bị ảnh hưởng.
Tăng Cường Xác Thực và Chính Sách Truy Cập
MFA có khả năng chống lừa đảo, chẳng hạn như khóa bảo mật FIDO2, nên được thực thi bất cứ khi nào có thể. Các phương pháp này được thiết kế đặc biệt để chặn hành vi trộm cắp token theo kiểu AiTM.
Các chính sách Truy cập có Điều kiện (Conditional Access policies) nên được cấu hình để giới hạn thời gian tồn tại của phiên và yêu cầu xác thực lại khi các tín hiệu rủi ro thay đổi. Đánh giá Truy cập Liên tục (Continuous Access Evaluation – CAE) cần được bật để các token bị đánh cắp mất giá trị nhanh chóng sau khi một điều kiện rủi ro được phát hiện.
Giám Sát Chủ Động và Kiểm Toán Hệ Thống HR
Các nhóm bảo mật cũng nên thiết lập cảnh báo cho việc tạo các quy tắc hộp thư đáng ngờ và thường xuyên kiểm toán các nền tảng HR SaaS như Workday để phát hiện bất kỳ thay đổi trái phép nào đối với thông tin ngân hàng hoặc thanh toán.
