Kratos Phishing-as-a-Service: Nguy Hiểm Chiếm Đoạt Microsoft 365

Kratos Phishing-as-a-Service: Nguy Hiểm Chiếm Đoạt Microsoft 365

Kratos là một hoạt động phishing-as-a-service (PhaaS) được thiết kế chuyên biệt để đánh cắp thông tin đăng nhập Microsoft 365. Kratos đang nhắm mục tiêu vào các tổ chức trên toàn cầu, bao gồm các khu vực như Hoa Kỳ và Châu Âu. Phương thức lừa đảo của chúng thường sử dụng các mồi nhử tinh vi, trông rất đáng tin cậy như tài liệu, hóa đơn hoặc chia sẻ tệp, dẫn dụ nạn nhân đến các trang đăng nhập giả mạo.

Chiến dịch này đặt ra một mối đe dọa mạng đáng kể cho nhiều loại hình tổ chức khác nhau. Các mục tiêu bao gồm từ các doanh nghiệp nhỏ, công ty luật, trường học, đến các công ty công nghiệp và tổ chức công.

Tổng Quan Về Hoạt Động Kratos PhaaS

Mục Tiêu và Phương Pháp Lừa Đảo

Kratos hoạt động bằng cách gửi email lừa đảo, thường bắt đầu bằng thông báo về việc chia sẻ tài liệu, yêu cầu xem xét hóa đơn, hoặc một hành động DocuSign đang chờ xử lý. Các email này được thiết kế để trông rất hợp pháp, khiến nạn nhân khó lòng nghi ngờ.

Trong quá trình quan sát, đã có 114 phiên lừa đảo được ghi nhận mà các email độc hại này đã vượt qua được các bộ lọc email nội bộ hoặc cổng bảo mật. Điều này nhấn mạnh nguy cơ nghiêm trọng mà các tin nhắn lừa đảo Microsoft 365 quen thuộc vẫn tiềm ẩn.

Nạn nhân thường bị chuyển hướng qua các dịch vụ đáng tin cậy trước khi thực sự đến trang đánh cắp dữ liệu thông tin đăng nhập. Điều này tạo ra một chuỗi tấn công phức tạp, khó bị phát hiện ngay lập tức.

SharePointOneDrive là các kênh phân phối chính được Kratos sử dụng. Ngoài ra, những kẻ tấn công còn lợi dụng các nền tảng như Microsoft Forms, Canva, Tilda, systeme.io và các dịch vụ chia sẻ tệp hợp pháp khác. Việc sử dụng các dịch vụ này giúp chuỗi lừa đảo trở nên ít đáng ngờ hơn, làm tăng khả năng thành công của cuộc tấn công mạng.

Các Thế Hệ Kratos và Sự Phát Triển

Các nhà phân tích tại ANY.RUN đã xác định được ba thế hệ của Kratos, liên kết hoạt động này với hơn 1.600 phiên sandbox trên các phiên bản mới hơn của nó. Theo báo cáo của ANY.RUN, bộ công cụ này đã xuất hiện từ tháng 1 năm 2026, trong khi bảng điều khiển của nhà điều hành dường như đã hoạt động từ tháng 9 năm 2025. Bạn có thể tham khảo thêm chi tiết tại báo cáo của ANY.RUN.

Dịch vụ Kratos phishing-as-a-service này được thiết kế để đơn giản hóa việc triển khai các chiến dịch lừa đảo cho các đối tác. Bảng điều khiển của nó cho phép các nhà điều hành dễ dàng thiết lập các tên miền lừa đảo, cấu hình phương thức nhận dữ liệu bị đánh cắp, hạn chế các chiến dịch theo khu vực địa lý, và lựa chọn các cơ chế kiểm tra chống bot.

Các cơ chế kiểm tra chống bot này làm cho việc kiểm tra tự động trở nên khó khăn hơn. Chúng giúp Kratos né tránh sự phát hiện từ các công cụ phân tích tự động, nâng cao hiệu quả của phishing-as-a-service.

Kratos đã phát triển từ phiên bản V0 ban đầu với mồi nhử “Secure File Access” thành các trang V1 và V2. Các phiên bản này mô phỏng màn hình đăng nhập Microsoft một cách chân thực hơn. Mặc dù các phiên bản mới hơn sử dụng các tài nguyên trang và quy trình thu thập khác nhau, nhưng các tên miền chia sẻ và các tệp tin giống hệt nhau đã kết nối chúng với cùng một hoạt động rộng lớn hơn.

Kỹ Thuật Né Tránh Phát Hiện

Trước khi hiển thị trang đăng nhập giả mạo, Kratos thường trình bày một màn hình xác minh Cloudflare Turnstile. Bước này giúp những kẻ tấn công lọc ra các trình quét và công cụ phân tích tự động. Đây là chiến thuật tương tự như các hoạt động anti-bot phishing khác.

Trang lừa đảo sau đó mô phỏng cửa sổ đăng nhập Microsoft, thường hiển thị một phong bì hoạt hình trên một tài liệu hoặc hóa đơn bị làm mờ. Tab trình duyệt thường có tiêu đề “Authentication”, và trang sẽ hiển thị thông báo “Loading in progress” trước khi yêu cầu nạn nhân nhập thông tin đăng nhập.

Khi được gửi, thông tin đăng nhập sẽ được chuyển đến một tập lệnh thu thập phía máy chủ. Một số phiên cũng tạo kết nối WebSocket, điều này có thể chỉ ra việc chuyển tiếp thông tin đăng nhập trực tiếp hoặc nỗ lực tấn công kiểu Adversary-in-the-Middle (AiTM).

Tuy nhiên, các nhà nghiên cứu nhấn mạnh rằng bản thân kết nối WebSocket không phải là bằng chứng cho thấy một phiên đã bị chiếm quyền điều khiển.

Tác Động của Cuộc Tấn Công Kratos

Rủi Ro Đối Với Tổ Chức

Một tài khoản Microsoft 365 bị xâm phạm có thể dẫn đến rò rỉ dữ liệu nghiêm trọng. Điều này bao gồm việc lộ các email, tệp trên SharePoint, dữ liệu OneDrive, các cuộc trò chuyện thanh toán và danh bạ.

Những thông tin này có thể bị kẻ tấn công khai thác để thực hiện các hành vi gian lận. Khả năng đánh cắp dữ liệu nhạy cảm từ các tài khoản bị xâm nhập là một rủi ro bảo mật lớn đối với bất kỳ tổ chức nào sử dụng dịch vụ này.

Hậu Quả Khi Tài Khoản Microsoft 365 Bị Chiếm Đoạt

Việc chiếm quyền điều khiển tài khoản Microsoft 365 có thể mở ra cánh cửa cho kẻ tấn công truy cập vào toàn bộ hệ sinh thái của nạn nhân. Điều này không chỉ giới hạn ở việc đọc email mà còn có thể bao gồm chỉnh sửa tài liệu quan trọng, truy cập vào dữ liệu khách hàng hoặc thông tin tài chính.

Hậu quả có thể là tổn thất tài chính, thiệt hại về danh tiếng, và vi phạm các quy định về an toàn thông tin. Các tổ chức phải đặc biệt cảnh giác với loại tấn công mạng này để bảo vệ an toàn dữ liệu của mình.

Chỉ Số Nhận Dạng (IOCs) và Phát Hiện Kratos

Các Dấu Hiệu Đặc Trưng của Kratos

Một trong những dấu hiệu nhận biết mạnh mẽ nhất của Kratos V1 là sự kết hợp của các tệp barr.svglg.svg. Các tệp này xuất hiện cùng nhau trong 1.397 phiên và đạt độ chính xác 90% với tỷ lệ sai sót gần như bằng không trong các thử nghiệm của các nhà nghiên cứu.

Điều này làm cho sự kết hợp này trở thành một chỉ số hữu ích cho việc săn lùng mối đe dọa (threat hunts) và phát hiện xâm nhập bằng hệ thống SIEM (Security Information and Event Management).

Phát Hiện Bằng SIEM và Threat Hunts

Các nhóm an ninh mạng nên tương quan các yêu cầu tài sản, hành vi của trang lừa đảo, các điểm cuối thu thập thông tin đăng nhập và các đường dẫn phân phối. Việc này quan trọng hơn là chỉ dựa vào một tín hiệu yếu, chẳng hạn như tên miền.

Kẻ tấn công thường xuyên thay đổi tên miền, trong khi các thành phần bộ công cụ dễ nhận biết vẫn có thể ổn định qua nhiều chiến dịch. Cách tiếp cận này giúp cải thiện khả năng phát hiện tấn công và bảo vệ bảo mật thông tin.

Lưu ý về IOCs: Các địa chỉ IP và tên miền nếu có sẽ được làm mờ (ví dụ: [.]) để ngăn chặn việc giải quyết hoặc liên kết ngoài ý muốn. Việc khôi phục thông tin này chỉ nên được thực hiện trong các nền tảng threat intelligence được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn. Nội dung được cung cấp không bao gồm các IOC cụ thể ngoài các dấu vân tay đã nêu.

Biện Pháp Phòng Ngừa và Ứng Phó

Chiến Lược Phòng Ngừa Chủ Động

Để tăng cường an ninh mạng, các tổ chức nên chủ động chặn các tên miền do kẻ tấn công kiểm soát. Tuy nhiên, cần xem xét kỹ lưỡng các tên miền cha được chia sẻ trước khi chặn toàn bộ, vì nội dung hợp pháp cũng có thể được lưu trữ trên đó.

Các trang web bị xâm phạm nên được báo cáo để gỡ xuống. Các mạng đám mây rộng lớn và cơ sở hạ tầng Cloudflare nên được giám sát chặt chẽ thay vì chặn hoàn toàn, nhằm tránh ảnh hưởng đến các dịch vụ hợp pháp. Thực hiện các chiến lược phòng ngừa này là một phần quan trọng trong việc duy trì bảo mật thông tin.

Hướng Dẫn Ứng Phó Khi Bị Xâm Nhập

Đối với việc thu thập thông tin đăng nhập cơ bản, các nhóm ứng phó cần đặt lại mật khẩu và xác minh cài đặt xác thực đa yếu tố (MFA). MFA là một lớp bảo mật thông tin thiết yếu, giúp ngăn chặn việc chiếm quyền điều khiển ngay cả khi mật khẩu bị lộ.

Đối với nghi ngờ đánh cắp dữ liệu phiên làm việc hoặc tấn công phishing AiTM, các nhóm nên thu hồi các phiên hoạt động và làm mới token. Ngoài ra, cần kiểm tra các quy tắc hộp thư và điều tra các lần đăng nhập không quen thuộc. Điều này là cần thiết vì việc chỉ đặt lại mật khẩu có thể không loại bỏ hoàn toàn kẻ tấn công đã chiếm quyền điều khiển phiên làm việc.

Việc theo dõi và phân tích liên tục các hoạt động đáng ngờ là rất quan trọng để phát hiện xâm nhập kịp thời. Điều này giúp bảo vệ hệ thống khỏi các mối đe dọa phức tạp như Kratos phishing-as-a-service.