Nền tảng Phishing-as-a-Service (PhaaS) tinh vi mang tên Bluekit đã được ghi nhận hoạt động ở quy mô lớn. Công ty an ninh mạng Netcraft đã phát hiện khoảng 70 tên miền hoạt động chỉ trong một tuần. Ban đầu được Varonis Threat Labs ghi nhận là một công cụ đang trong giai đoạn phát triển, Bluekit nay đã trở thành một mối đe dọa hoàn chỉnh, có khả năng vượt qua xác thực đa yếu tố (MFA) và đánh cắp thông tin đăng nhập Microsoft trong thời gian thực. Đây là một mối đe dọa mạng nghiêm trọng mà các tổ chức cần lưu tâm.
Kỹ thuật Browser-in-the-Middle (BitM)
Khác với các công cụ adversary-in-the-middle (AitM) truyền thống như Evilginx, vốn chặn luồng truy cập web giữa nạn nhân và trang web hợp pháp, Bluekit áp dụng kỹ thuật Browser-in-the-Middle (BitM). Nền tảng này tải trang đăng nhập Microsoft hợp pháp vào một trình duyệt do kẻ tấn công kiểm soát và truyền trực tiếp những gì nạn nhân nhìn thấy lên màn hình của họ bằng rrweb.
rrweb là một thư viện JavaScript mã nguồn mở ban đầu được thiết kế cho việc phát lại phiên làm việc và phân tích sản phẩm. Kết quả kỹ thuật là nạn nhân không tương tác với một trang đăng nhập bị sao chép hoặc ủy quyền. Họ đang tương tác với chính trang đăng nhập thực tế, được hiển thị trong trình duyệt của kẻ tấn công.
Khi hoàn tất xác thực, nạn nhân đã đăng nhập vào phiên làm việc của kẻ tấn công chứ không phải của chính họ. Kiến trúc này cũng vô hiệu hóa Device Bound Session Credentials (DBSC), một biện pháp bảo vệ có khả năng chống lại các cuộc tấn công AitM truyền thống.
Quy trình hoạt động của Bluekit
Giai đoạn 1: Phân loại Nạn nhân (Victim Qualification)
Trước khi hiển thị bất kỳ nội dung lừa đảo nào, Bluekit thực hiện các kiểm tra chống phân tích đa lớp đối với mọi khách truy cập. Các kiểm tra này bao gồm:
- Thao tác bộ lọc CSS ngẫu nhiên để chống lại việc phát hiện ảnh chụp màn hình bằng phương pháp pixel-hash.
- CAPTCHA tùy chỉnh giả mạo các thương hiệu như Cloudflare.
- Các gói JavaScript bị làm rối, có dung lượng vượt quá 1MB và được luân chuyển định kỳ.
- Dấu vân tay trình duyệt (RAM, số lượng CPU, độ phân giải màn hình, chỉ báo trình duyệt headless).
- Phát hiện không khớp IP dựa trên WebRTC để xác định các nhà phân tích bảo mật và máy quét tự động.
Giai đoạn 2: Phân phối BitM (BitM Delivery)
Những khách truy cập vượt qua các kiểm tra phân loại sẽ nhận được luồng DOM trực tiếp từ trình duyệt của kẻ tấn công qua kết nối WebSocket. Luồng này hiển thị một trang đăng nhập Microsoft có độ chính xác cao, hoàn toàn tương tác. Các thao tác gõ phím và di chuyển chuột của nạn nhân được chuyển tiếp về trình duyệt của kẻ tấn công, nơi chúng được thực thi trên trang web Microsoft thực tế, hoàn tất xác thực trên máy của kẻ tấn công.
Ưu điểm vượt trội so với các công cụ AitM truyền thống
Bảng điều khiển quản trị của Bluekit cung cấp cho người vận hành chế độ xem trực tiếp các phiên làm việc của nạn nhân, được cung cấp bởi cơ sở hạ tầng rrweb tương tự như khi phân phối. Các bản demo của kẻ tấn công chia sẻ trên Telegram cho thấy khả năng hiển thị theo thời gian thực các luồng đăng nhập của nạn nhân khi chúng xảy ra, bao gồm cả hoạt động sau khi xác thực.
Một lợi thế cấu trúc quan trọng so với các công cụ như Evilginx là tính nhất quán của phiên làm việc. Trong các cuộc tấn công AitM sử dụng proxy ngược, cookie phiên bị đánh cắp sau đó được nhập vào một môi trường trình duyệt khác, tạo ra sự không khớp về dấu vân tay mà các hệ thống phát hiện có thể gắn cờ. Với Bluekit, phiên làm việc được tạo và sử dụng trong cùng một trình duyệt xuyên suốt, loại bỏ hoàn toàn tín hiệu phát hiện đó.
Khả năng vượt qua MFA
MFA truyền thống, bao gồm mã SMS, ứng dụng xác thực và phê duyệt đẩy, hoàn toàn không cung cấp khả năng bảo vệ chống lại kiến trúc của Bluekit. Vì nạn nhân hoàn tất toàn bộ luồng đăng nhập, bao gồm cả xác minh MFA, bên trong trình duyệt của kẻ tấn công, kẻ tấn công sẽ kế thừa một phiên làm việc đã được xác thực đầy đủ ngay từ đầu.
Đây là một lợi thế cấu trúc quan trọng so với các công cụ như Evilginx, nơi Evilginx đánh cắp và sau đó phát lại một cookie phiên trong một trình duyệt khác (tạo ra sự không khớp dấu vân tay có thể bị phát hiện). Với Bluekit, phiên làm việc vừa được tạo vừa được sử dụng trong cùng một môi trường trình duyệt, loại bỏ tín hiệu phát hiện đó.
Các chỉ báo xâm nhập và biện pháp phòng ngừa
Các nhóm bảo mật nên theo dõi các tín hiệu sau đây trong môi trường web:
- Lưu lượng truy cập WebSocket bất thường đến các tên miền đáng ngờ.
- Việc sử dụng rrweb trong các trang web không rõ mục đích phát lại phiên.
- Các yêu cầu JavaScript làm rối phức tạp, có kích thước lớn và thay đổi thường xuyên.
- Hoạt động đăng nhập bất thường hoặc nhiều lần đăng nhập không thành công từ cùng một nguồn.
Các nhà phân tích bảo mật chạy đánh giá bộ công cụ lừa đảo tự động cũng nên đảm bảo rằng môi trường trình duyệt của họ định tuyến cả TCP và UDP qua proxy để tránh rò rỉ IP không chủ ý thông qua các truy vấn máy chủ STUN của WebRTC.
Việc Bluekit vũ khí hóa rrweb, một dự án mã nguồn mở hợp pháp và được sử dụng rộng rãi, tuân theo một khuôn mẫu đã được thiết lập của các tác nhân đe dọa trong việc lạm dụng cơ sở hạ tầng nhà phát triển đáng tin cậy để giành được sự hợp pháp và bỏ qua các biện pháp kiểm soát dựa trên danh tiếng. Sự hiện diện của rrweb đơn thuần không phải là một chỉ báo xâm nhập; ngữ cảnh và các tín hiệu xung quanh là cần thiết để quy kết chính xác.
Các tổ chức chỉ dựa vào MFA làm biện pháp đối phó với việc đánh cắp thông tin xác thực nên coi Bluekit là bằng chứng cho thấy các biện pháp bảo vệ cấp độ phiên và phát hiện hành vi hiện là những thành phần thiết yếu của một chiến lược phòng thủ lừa đảo toàn diện. Nâng cao khả năng phòng thủ chủ động của bạn chống lại các cuộc tấn công. Truy cập 5 chiến thuật săn mối đe dọa đã được chứng minh mà bạn có thể triển khai trong SOC của mình. Các tin tức bảo mật mới nhất cho thấy sự cần thiết phải liên tục cập nhật các biện pháp an ninh mạng.
