Tin tức bảo mật về các chiến dịch xâm nhập SaaS cho thấy threat actors đang chuyển nhanh sang mô hình tấn công tốc độ cao, tập trung vào các dịch vụ cloud và bỏ qua lớp bảo vệ endpoint truyền thống. Từ tháng 10/2025, các nhà nghiên cứu đã theo dõi hai nhóm đối thủ riêng biệt là CORDIAL SPIDER và SNARKY SPIDER, liên quan đến các chiến dịch đánh cắp dữ liệu quy mô lớn.
Tấn công mạng nhắm vào SaaS và SSO
Hai nhóm này hoạt động gần như hoàn toàn trong các môi trường SaaS tin cậy như SharePoint, HubSpot và Google Workspace, nhằm rút ngắn thời gian từ xâm nhập đến khai thác dữ liệu. Bằng cách tận dụng tích hợp single sign-on (SSO), chúng giảm dấu vết hoạt động và làm suy giảm khả năng quan sát của đội phòng thủ.
Tham khảo thêm tài liệu liên quan về CISA để đối chiếu các khuyến nghị về an ninh mạng và bảo vệ danh tính số.
Vector xâm nhập ban đầu
Chuỗi xâm nhập thường bắt đầu bằng các chiến dịch vishing có chủ đích. Kẻ tấn công giả danh đội hỗ trợ CNTT nội bộ để tạo cảm giác khẩn cấp liên quan đến cập nhật bảo mật hoặc sự cố tài khoản.
Kỹ thuật kỹ thuật xã hội này dẫn người dùng đến các trang adversary-in-the-middle (AiTM) giả mạo cổng đăng nhập doanh nghiệp, với tên miền đánh lừa như company-sso[.]com.
AiTM và chiếm đoạt phiên đăng nhập
Khi nạn nhân nhập thông tin xác thực, kẻ tấn công thu thập dữ liệu xác thực và session token theo thời gian thực. Vì proxy chuyển tiếp xác thực trực tiếp đến dịch vụ hợp lệ, người dùng vẫn thấy phiên đăng nhập diễn ra bình thường và thường không nhận ra việc bị xâm nhập.
Thông tin bị đánh cắp cấp quyền truy cập vào identity provider (IdP), tạo ra một điểm vào duy nhất để đi tới nhiều ứng dụng SaaS khác nhau. Từ đây, đối thủ lạm dụng mối quan hệ tin cậy giữa IdP và các dịch vụ liên kết để di chuyển ngang trong toàn bộ hệ sinh thái cloud của mục tiêu.
Cảnh báo CVE và rủi ro bảo mật từ cấu hình yếu
Hoạt động này không dựa trên một lỗ hổng CVE cụ thể trong nền tảng SaaS, mà chủ yếu khai thác các sai sót cấu hình và kiểm soát danh tính yếu, đặc biệt là thiếu phishing-resistant MFA. Vì vậy, cảnh báo CVE trong bối cảnh này cần được hiểu là rủi ro bảo mật ở lớp cấu hình và xác thực, thay vì lỗi mã nguồn của nhà cung cấp dịch vụ.
Sau khi có quyền truy cập ban đầu, kẻ tấn công nhanh chóng thiết lập tính bền vững bằng cách thao túng thiết lập multifactor authentication (MFA). Thông thường, chúng gỡ các thiết bị MFA hiện có và đăng ký thiết bị phần cứng của riêng mình vào tài khoản bị chiếm, đồng thời tạo cảm giác như đang xác thực từ một thiết bị mới được tin cậy.
Đánh cắp dữ liệu trong môi trường SaaS
Với quyền truy cập ổn định và khó phát hiện, các tác nhân đe dọa thực hiện truy vấn có chủ đích trên các nền tảng SaaS liên kết để tìm dữ liệu giá trị cao. Các thuật ngữ thường được dùng gồm confidential, SSN, contracts và VPN, nhằm ưu tiên tài liệu kinh doanh quan trọng và thông tin đăng nhập hạ tầng.
Sau giai đoạn trinh sát, chúng nhanh chóng tổng hợp và tải xuống khối lượng dữ liệu lớn. Trong nhiều sự cố đã ghi nhận, SNARKY SPIDER bắt đầu data exfiltration với lưu lượng cao chỉ trong vòng một giờ sau khi chiếm được tài khoản ban đầu.
IOC và dấu hiệu hoạt động
- Tên miền giả mạo: company-sso[.]com
- Chiến thuật xâm nhập: vishing, AiTM phishing
- Môi trường mục tiêu: SharePoint, HubSpot, Google Workspace
- Hành vi sau xâm nhập: thay đổi MFA, thu thập session token, truy vấn dữ liệu nhạy cảm, exfiltration tốc độ cao
- Hạ tầng ẩn danh: commercial VPNs, residential proxy networks
Ẩn danh lưu lượng và né phát hiện xâm nhập
Để che giấu vị trí địa lý và né các cơ chế phát hiện dựa trên IP, cả hai nhóm đều chuyển hướng lưu lượng qua commercial VPNs và mạng residential proxy. Các nhà cung cấp như Mullvad, Oxylabs và NetNut gán địa chỉ IP giống người dùng gia đình thật cho kẻ tấn công, khiến hoạt động độc hại trông như lưu lượng dân cư hợp lệ.
Điều này làm suy yếu các cơ chế IDS dựa trên danh tiếng IP và buộc hệ thống phòng thủ phải dựa nhiều hơn vào phát hiện bất thường hành vi đăng nhập, luồng xác thực và truy cập dữ liệu.
Biện pháp phát hiện tấn công trong SaaS
Để đối phó với tấn công mạng kiểu này, cần mở rộng giám sát từ endpoint sang toàn bộ bề mặt SaaS. Trọng tâm là phát hiện bất thường trong luồng xác thực, hành vi cấp quyền, thay đổi MFA và tải xuống dữ liệu lớn trong thời gian ngắn.
Các nền tảng như CrowdStrike Falcon Shield được mô tả là giải quyết khoảng trống quan sát này bằng phân tích sâu các luồng xác thực và hành vi người dùng trong SaaS.
Điểm kiểm soát cần ưu tiên
- Bắt buộc phishing-resistant MFA cho tài khoản quản trị và người dùng đặc quyền.
- Giám sát thay đổi thiết bị MFA, đăng ký thiết bị mới và reset phương thức xác thực.
- Phát hiện đăng nhập từ residential proxy và VPN thương mại.
- Gắn cảnh báo khi có truy vấn hàng loạt các từ khóa nhạy cảm như confidential, SSN, contracts, VPN.
- Đối chiếu đồng thời tín hiệu IdP, SaaS và hành vi phiên để giảm nguy cơ bảo mật.
Quan sát rủi ro an toàn thông tin trong môi trường cloud
Mô hình tấn công này cho thấy rủi ro an toàn thông tin lớn nhất không nằm ở lỗi phần mềm mà ở chuỗi danh tính, phiên đăng nhập và cấu hình SaaS. Khi IdP là điểm vào duy nhất cho nhiều dịch vụ, một tài khoản bị chiếm quyền có thể mở ra phạm vi ảnh hưởng rộng trên toàn bộ môi trường cloud.
Việc kết hợp mô hình thống kê nhận biết thực thể với threat intelligence về dịch vụ ẩn danh có thể hỗ trợ phân cụm hạ tầng đối thủ và giảm thời gian phát hiện xâm nhập trong các cuộc tấn công mạng tốc độ cao.
