Một làn sóng tấn công lừa đảo có chủ đích đang ngày càng gia tăng, gây ra rủi ro nghiêm trọng cho người dùng Microsoft. Công cụ đứng sau các cuộc tấn công này tinh vi hơn nhiều so với nhận định ban đầu.
Evilginx: Khung Tấn Công Adversary-in-the-Middle
Các nhà nghiên cứu bảo mật đã ghi nhận cách Evilginx, một khung tấn công adversary-in-the-middle (AiTM), được sử dụng để bí mật chặn các phiên đăng nhập Microsoft. Kỹ thuật này cho phép kẻ tấn công đánh cắp đồng thời tên người dùng, mật khẩu, mã xác thực đa yếu tố (MFA) và cookie phiên đã được xác thực.
Mối Đe Dọa Vượt Ra Ngoài MFA Truyền Thống
Điều đáng báo động là ngay cả những người dùng tuân thủ các phương pháp hay nhất và bật xác thực đa yếu tố cũng không được bảo vệ hoàn toàn khỏi mối đe dọa này. Nhiều người lầm tưởng rằng chỉ cần bật MFA là đủ để bảo vệ tài khoản của họ, nhưng giả định này đang bị thử thách một cách nghiêm trọng.
Evilginx hoạt động bằng cách đặt mình vào giữa người dùng và trang đăng nhập Microsoft thực tế, đóng vai trò như một bộ chuyển tiếp trong suốt mà nạn nhân không hề nghi ngờ. Mọi dữ liệu trao đổi trong quá trình đăng nhập, bao gồm cả phê duyệt MFA, đều đi qua máy chủ của kẻ tấn công trước khi đến đích.
Trường Hợp Thực Tế: Tấn Công Vào Lãnh Đạo Doanh Nghiệp
Các nhà phân tích tại NetSPI đã ghi nhận một vụ việc thực tế, nơi kỹ thuật này được triển khai nhắm vào một nhóm lãnh đạo doanh nghiệp. NetSPI báo cáo rằng các nhà nghiên cứu đã đăng ký một tên miền giả mạo và trỏ một máy chủ Evilginx trực tiếp vào luồng đăng nhập Microsoft đang hoạt động của khách hàng.
Cuộc tấn công được lồng ghép cẩn thận vào một kịch bản kỹ thuật xã hội, khiến việc phát hiện bất thường càng trở nên khó khăn hơn đối với các mục tiêu. Kết quả là một minh chứng rõ ràng về mức độ nguy hiểm của sự kết hợp này.
Cơ Chế Hoạt Động Của Evilginx
Evilginx được xây dựng dựa trên máy chủ web nginx, một phần mềm phổ biến. Nó được thiết kế để chuyển tiếp lưu lượng truy cập web qua các trang giả mạo do kẻ tấn công kiểm soát trong thời gian thực.
Khi nạn nhân truy cập một URL lừa đảo, họ sẽ thấy một bản sao chính xác của trang đăng nhập Microsoft thực tế, bởi vì đó thực sự là trang thật đang được phản chiếu trực tiếp. Người dùng nhập thông tin đăng nhập và phê duyệt yêu cầu MFA, hoàn toàn không biết rằng mọi trao đổi đều đang bị ghi lại trên máy chủ của kẻ tấn công.
Kẻ tấn công nhận được tên người dùng, mật khẩu và cookie phiên trực tiếp ngay khi quá trình xác thực hoàn tất. Cookie phiên này là mục tiêu chính, vì nó thông báo cho máy chủ Microsoft rằng một lượt đăng nhập hợp lệ đã diễn ra.
Chiếm Quyền Điều Khiển Với Cookie Phiên
Với cookie phiên trong tay, kẻ tấn công có thể phát lại phiên đó từ bất kỳ thiết bị nào, ở bất kỳ đâu trên thế giới, mà không cần mật khẩu hoặc mã MFA của nạn nhân nữa. Điều này khiến các cuộc tấn công AiTM khác biệt căn bản so với các nỗ lực lừa đảo truyền thống.
Mã khai thác (exploit) trong trường hợp này không phải là một đoạn mã phức tạp, mà là việc lợi dụng cơ chế hoạt động của cookie phiên và sự thiếu cảnh giác của người dùng đối với các kỹ thuật lừa đảo tinh vi.
Rủi Ro Lan Rộng Từ Một Hành Động Vô Tình
Trong trường hợp của NetSPI, một lãnh đạo doanh nghiệp, tin rằng mình đang xử lý một cuộc khủng hoảng tiềm ẩn của công ty, đã chuyển tiếp liên kết lừa đảo cho hai công ty hợp đồng bên ngoài. Chỉ trong một hành động vô tình, một cuộc tấn công nhắm mục tiêu vào một tổ chức đã có nguy cơ trở thành một vụ xâm nhập mạng trên nhiều công ty.
Phiên đăng nhập đã bị chấm dứt ngay lập tức để ngăn chặn việc thu thập thông tin đăng nhập ngoài phạm vi, nhưng bài học rút ra là không thể bỏ qua. Sự cố này nhấn mạnh tầm quan trọng của việc đào tạo nhận thức về an ninh mạng cho tất cả nhân viên, đặc biệt là những người ở vị trí nhạy cảm.
Các Chỉ Số Xâm Nhập (IOCs) Tiềm Năng
Mặc dù bài viết gốc không liệt kê các chỉ số xâm nhập (IOCs) cụ thể như địa chỉ IP độc hại hay tên miền, các dấu hiệu có thể bao gồm:
- Tên miền giả mạo, gần giống với tên miền chính thức của Microsoft.
- Lưu lượng truy cập bất thường đến và đi từ các máy chủ proxy được kiểm soát bởi kẻ tấn công.
- Các cảnh báo từ hệ thống phát hiện xâm nhập (IDS/IPS) về các kết nối đáng ngờ tới các trang đăng nhập.
- Các báo cáo về việc người dùng gặp sự cố đăng nhập hoặc nhận được thông báo đăng nhập từ các địa điểm bất thường.
Biện Pháp Bảo Vệ Nâng Cao
Việc phòng chống các cuộc tấn công kiểu Evilginx đòi hỏi một cách tiếp cận đa lớp, vượt xa các phương pháp MFA tiêu chuẩn. NetSPI và các nhà nghiên cứu khác khuyến nghị triển khai các phương thức xác thực chống lừa đảo như khóa phần cứng FIDO2 hoặc passkeys. Các phương thức này sử dụng cơ chế ràng buộc tên miền (domain binding) để ngăn chặn hoàn toàn việc đánh chặn dựa trên proxy.
Đây hiện là các loại MFA duy nhất có thể ngăn chặn cuộc tấn công AiTM ngay tại giai đoạn xác thực. Ngoài ra, các tổ chức nên kích hoạt Token Protection trong Microsoft Entra ID Conditional Access. Tính năng này ràng buộc cookie phiên vào thiết bị cụ thể được cấp ban đầu, khiến các cookie bị đánh cắp trở nên vô dụng khi phát lại từ một máy khác.
Các nhóm bảo mật được khuyến khích giám sát nhật ký đăng nhập để phát hiện các token được sử dụng từ địa chỉ IP hoặc vị trí mới, khác với nơi chúng được cấp lần đầu. Việc thiết lập các chính sách rõ ràng về cách nhân viên xử lý các giao tiếp bên ngoài không mong muốn, đặc biệt là những liên kết hướng họ đến các trang đăng nhập nội bộ, cũng là một bước quan trọng để giảm thiểu rủi ro.
Để biết thêm chi tiết về các mối đe dọa và phương pháp bảo mật mới nhất, vui lòng tham khảo các nguồn tin cậy như NVD (National Vulnerability Database) hoặc các bản tin từ các hãng bảo mật uy tín. Một ví dụ về phân tích các cuộc tấn công tương tự có thể được tìm thấy tại Sophos Blog.
