Tin tức bảo mật về các chiến dịch vishing (voice phishing) đang cho thấy Microsoft Teams bị lạm dụng để giả mạo nhân viên hỗ trợ IT và điều tra viên, trong đó Microsoft 365 Unified Audit Log (UAL) trở thành nguồn dữ liệu pháp chứng quan trọng để dựng lại dòng thời gian tấn công.
Chuỗi tấn công qua Microsoft Teams
Chuỗi tấn công bắt đầu khi tác nhân đe dọa sử dụng tài khoản Teams bên ngoài hoặc cross-tenant để thực hiện cuộc gọi hoặc nhắn tin không được yêu cầu tới nhân viên mục tiêu, sau đó giả làm bộ phận IT nội bộ.
Bằng kỹ thuật social engineering, kẻ tấn công thuyết phục nạn nhân chạy lệnh do chúng cung cấp, chấp thuận phiên truy cập từ xa hoặc cài đặt công cụ Remote Monitoring and Management (RMM) như Quick Assist.
Do tương tác diễn ra trong một nền tảng cộng tác có vẻ đáng tin cậy thay vì email, các cơ chế phòng vệ phishing truyền thống thường không chặn được tấn công mạng này.
Vai trò của Microsoft 365 Unified Audit Log trong điều tra
Trong bối cảnh mối đe dọa này, Microsoft’s Detection and Response Team (DART) đã ghi nhận chiến dịch dựa trên voice phishing qua Teams từ tháng 11/2025. Hoạt động này cho thấy các doanh nghiệp cần xem UAL như một nguồn bằng chứng cốt lõi khi điều tra xâm nhập trái phép.
Một số tác nhân cũng được ghi nhận khai thác kỹ thuật này ở quy mô lớn trong năm 2024, kết hợp giả mạo Teams với đánh cắp thông tin xác thực thông qua các công cụ trung gian và cơ chế tồn tại lâu dài trên hệ thống.
Để tham chiếu thêm về cách Microsoft mô tả và ghi nhận các dữ liệu kiểm toán, có thể xem tài liệu chính thức tại Microsoft Purview Audit Log Search.
Artifact quan trọng trong UAL
Nhà nghiên cứu Maurice Fielenbach cho biết thao tác CallParticipantDetail trong workload MicrosoftTeams là một artifact then chốt. Bản ghi này có thể chứa:
- Danh tính người tham gia.
- Thời điểm tham gia và rời cuộc gọi.
- Metadata kết nối.
- Tenant nguồn gốc.
- Cờ federated hoặc external.
Tuy nhiên, cấu trúc trường dữ liệu có thể thay đổi theo tenant và đường ingestion. Vì vậy, đội phân tích phải xác minh trước field availability trước khi triển khai phát hiện xâm nhập tự động.
Hạn chế của các bản ghi Teams
Fielenbach lưu ý rằng ChatCreated không phải là tín hiệu đáng tin cậy để khẳng định sự kiện chat trên Teams client. Việc không thấy bản ghi này không đồng nghĩa với việc cuộc trò chuyện không xảy ra.
Các audit record thường xuất hiện sau khoảng 60 đến 90 phút và không có SLA bảo đảm. Thời gian lưu mặc định là 180 ngày, do đó cửa sổ điều tra cần được tính toán phù hợp để tránh mất dấu dữ liệu.
Trong nhiều trường hợp, đây là điểm nghẽn khi xây dựng quy trình phát hiện tấn công dựa trên log, đặc biệt nếu đội SOC cần phản ứng gần thời gian thực.
Correlate UAL với telemetry khác để dựng timeline
Để tái tạo toàn bộ chuỗi sự kiện, điều tra viên phải đối chiếu CallParticipantDetail với các sự kiện liên quan và telemetry từ endpoint. Các nguồn cần ghép nối gồm:
- MessageSent.
- MessageCreatedHasLink.
- Endpoint telemetry.
Việc tương quan này giúp xác định thời điểm liên hệ ban đầu, nội dung tương tác, và hành động tiếp theo trên máy trạm. Trong bối cảnh an ninh mạng, đây là bước bắt buộc nếu muốn dựng lại timeline chính xác hơn chỉ dựa vào một nguồn log.
Khi cần nội dung tin nhắn
Với các cuộc điều tra yêu cầu nội dung message body, truy vấn UAL tiêu chuẩn là chưa đủ. Khi đó cần sử dụng quy trình Microsoft eDiscovery và Content Search để truy xuất nội dung phục vụ điều tra.
Điều này đặc biệt quan trọng trong các vụ xâm nhập trái phép qua collaboration platform, nơi chuỗi liên lạc thường không đi qua email và có thể bị bỏ sót nếu chỉ dựa trên cơ chế lọc truyền thống.
Giá trị pháp chứng của CallParticipantDetail
CallParticipantDetail đang trở thành một nguồn bằng chứng nền tảng trong incident response. Khi được phân tích đúng, bản ghi này có thể giúp xác nhận hành vi giả mạo danh tính, thời gian liên lạc, và mối liên hệ giữa tài khoản external với tenant nội bộ.
Đối với các đội threat intelligence và SOC, giá trị của UAL không nằm ở một trường dữ liệu đơn lẻ mà ở khả năng kết hợp nhiều artifact để tái dựng mạch tấn công. Đây là yêu cầu cốt lõi trong các bài toán phát hiện xâm nhập hiện đại.
Trong môi trường hybrid work, khi Teams đã trở thành kênh liên lạc chính, việc bỏ qua log kiểm toán có thể làm giảm đáng kể hiệu quả điều tra tấn công mạng.
Các điểm cần chú ý khi operationalize detection
Để vận hành hiệu quả, đội bảo mật cần kiểm tra trước tính đầy đủ của schema theo từng tenant và đường thu thập dữ liệu. Nếu không xác minh sớm, các pipeline phát hiện có thể sai lệch hoặc bỏ sót sự kiện quan trọng.
Vì audit record không xuất hiện tức thời, hệ thống giám sát phải chấp nhận độ trễ 60–90 phút và thiết kế logic tương quan phù hợp với thời gian lưu 180 ngày. Đây là điều kiện thực tế khi xây dựng rủi ro bảo mật và quy trình điều tra trên Teams.
Trong các chiến dịch tin bảo mật mới nhất liên quan đến voice phishing, sự kết hợp giữa UAL, endpoint telemetry và quy trình eDiscovery là lớp dữ liệu cần thiết để xử lý sự cố một cách nhất quán.
Trường dữ liệu và artifact cần theo dõi
- CallParticipantDetail: nguồn dữ liệu chính trong MicrosoftTeams workload.
- MessageSent: tương quan hành vi gửi tin nhắn.
- MessageCreatedHasLink: phát hiện nội dung có chứa liên kết.
- ChatCreated: chỉ là tín hiệu phụ, không dùng làm chứng cứ duy nhất.
- Endpoint telemetry: xác minh hành động sau tương tác Teams.
Yếu tố kỹ thuật quyết định hiệu quả điều tra
Trong các vụ tấn công mạng lợi dụng Microsoft Teams, quyết định quan trọng nhất là không xem nền tảng cộng tác như một kênh tin cậy mặc định. Dữ liệu kiểm toán từ UAL, đặc biệt là CallParticipantDetail, phải được khai thác cùng các nguồn bổ trợ để tránh thiếu ngữ cảnh.
Việc hiểu đúng hạn chế của schema, độ trễ ghi log và yêu cầu eDiscovery sẽ giúp đội an toàn thông tin xây dựng quy trình điều tra chính xác hơn, đặc biệt khi kẻ tấn công tận dụng lòng tin nội bộ thay vì khai thác email truyền thống.
