Forg365: Nguy hiểm ‘Phishing-as-a-Service’ nhắm Microsoft

Forg365: Nguy hiểm 'Phishing-as-a-Service' nhắm Microsoft

Nền tảng Forg365 là một dịch vụ phishing-as-a-service (PhaaS) được thiết kế chuyên biệt để nhắm mục tiêu vào các tài khoản Microsoft. Nền tảng này tích hợp các kỹ thuật tấn công tiên tiến bao gồm phishing được hỗ trợ bởi trí tuệ nhân tạo (AI), đánh cắp phiên (session theft) và truy cập hộp thư sau khi xâm nhập, tất cả đều được quản lý tập trung trong một bảng điều khiển duy nhất. Sự phát triển của Forg365 phản ánh xu hướng chuyên nghiệp hóa trong các hoạt động tấn công mạng, cung cấp cho tội phạm một giải pháp toàn diện thay vì phải tự xây dựng cơ sở hạ tầng từ đầu.

Phân phối và Mô hình Hoạt động của Forg365

Theo báo cáo, Forg365 được phân phối chủ yếu qua nền tảng nhắn tin Telegram. Tại đây, tội phạm mạng có thể tiếp cận bản dùng thử 30 ngày miễn phí, hoặc lựa chọn các gói đăng ký trả phí hàng tháng với chi phí khoảng 300 USD, hoặc các gói năm với mức giá ưu đãi hơn. Mô hình đăng ký này cho thấy sự gia tăng tính chuyên nghiệp của các hoạt động phishing, nơi người dùng có thể truy cập các mẫu lừa đảo có sẵn, công cụ gửi email, kho lưu trữ token và khả năng tạo email phishing bằng AI.

Các Phương thức Tấn công Chính

Phishing Mã Thiết bị (Device-Code Phishing)

Forg365 hỗ trợ hai phương thức tấn công chính. Phương thức đầu tiên là tấn công mã thiết bị. Trong kịch bản này, nạn nhân được hiển thị một trang xác minh giả mạo giống hệt giao diện của Microsoft và yêu cầu nhập một mã xác thực. Mã này sau đó được sử dụng để kẻ tấn công thiết lập một phiên truy cập hợp lệ vào tài khoản của nạn nhân. Kỹ thuật này có khả năng vượt qua các biện pháp kiểm soát bảo mật truyền thống tập trung vào mật khẩu, vì kẻ tấn công không nhất thiết phải đánh cắp trực tiếp mật khẩu người dùng.

Tấn công Adversary-in-the-Middle (AiTM)

Phương thức thứ hai là tấn công Adversary-in-the-Middle (AiTM). Trong phương thức này, Forg365 đặt một trang lữ đoán (phishing page) nằm giữa nạn nhân và dịch vụ xác thực thực của Microsoft. Sau khi nạn nhân đăng nhập thành công, nền tảng có khả năng thu thập thông tin phiên, các token xác thực và cookie trình duyệt. Các token này có thể được sử dụng để truy cập trái phép vào tài khoản của nạn nhân, bỏ qua các bước xác thực đa yếu tố (MFA) nếu token còn hiệu lực.

Các Tính năng Chống Phát hiện và Tăng cường Khả năng Xâm nhập

Kỹ thuật Chống Bot và Cloaking

Để tránh bị các công cụ quét bảo mật phát hiện, Forg365 tích hợp các tính năng chống bot và kỹ thuật cloaking. Các nhà nghiên cứu đã quan sát thấy nền tảng này chuyển hướng lưu lượng truy cập từ các mạng VPN đến các trang web giả mạo vô hại thay vì hiển thị nội dung phishing. Điều này làm giảm khả năng các giải pháp an ninh mạng nhận diện và chặn các chiến dịch tấn công.

AI Hỗ trợ Tạo Nội dung Lừa đảo

Trí tuệ nhân tạo là một thành phần cốt lõi của Forg365. Nền tảng cung cấp một công cụ tích hợp sẵn cho phép kẻ tấn công tạo ra các email lừa đảo và nội dung dụ dỗ hấp dẫn. Người dùng có thể tạo ra các tài liệu kinh doanh, hóa đơn, tin nhắn thoại hoặc thông báo đặt lại mật khẩu trông chân thực mà không cần sử dụng các công cụ AI bên ngoài. Điều này giúp giảm thiểu thời gian và công sức cần thiết để chuẩn bị cho các chiến dịch tấn công, đồng thời tăng hiệu quả lừa đảo.

Các Công cụ Hỗ trợ Chiến dịch và Duy trì Quyền Kiểm soát

Quản lý Chiến dịch và Lộ trình Tấn công

Bảng điều khiển của Forg365 cung cấp các tính năng như quay vòng SMTP (SMTP rotation), lên lịch chiến dịch, tạo liên kết chuyển hướng, sử dụng tệp SVG được mã hóa và cung cấp các mẫu giả mạo các dịch vụ phổ biến như SharePoint, OneDrive, DocuSign và Adobe Acrobat Sign. Những công cụ này cho phép kẻ tấn công tùy chỉnh và điều phối các chiến dịch tấn công một cách hiệu quả, nhắm mục tiêu đến các tổ chức và người dùng cụ thể.

Duy trì Quyền truy cập và Thu thập Thông tin Hộp thư

Nền tảng vượt xa giai đoạn phishing ban đầu. Tính năng Token Vault cho phép lưu trữ các token xác thực đã bị đánh cắp. Song song đó, các tính năng như Account Intel, chức năng tìm kiếm trong hộp thư, giám sát từ khóa và liên kết xem giúp kẻ tấn công phân tích và khai thác thông tin từ các hộp thư đã bị xâm nhập. Điều này cho phép tội phạm mạng thu thập thông tin nhạy cảm hoặc sử dụng quyền truy cập để thực hiện các hành vi gian lận khác.

Tiện ích Mở rộng Trình duyệt ForgCookie

Một tiện ích mở rộng trình duyệt có tên ForgCookie được cho là có khả năng tự động làm mới các cookie xác thực một lần đăng nhập (single sign-on – SSO) của Microsoft. Điều này giúp kẻ tấn công duy trì quyền truy cập dựa trên trình duyệt ngay cả sau khi nạn nhân đã xác thực lại. Khả năng này làm tăng tính bền bỉ của cuộc tấn công và khả năng truy cập trái phép kéo dài.

Dấu hiệu Phát hiện và Tín hiệu An ninh

Liên kết với Microsoft Entra và Sự kiện Lạ

Các nhà nghiên cứu đã liên kết hoạt động của Forg365 với các sự kiện mã thiết bị của Microsoft Entra, các hoạt động truy cập Microsoft Graph và các đăng ký thiết bị đáng ngờ. Một số thiết bị mới đăng ký được phát hiện sử dụng tên bắt đầu bằng “Forg365”, cung cấp một manh mối hữu ích cho việc phát hiện. Việc giám sát các sự kiện này trong nhật ký Microsoft Entra là rất quan trọng để nhận diện các mối đe dọa tiềm tàng.

Cơ sở hạ tầng và Lưu lượng truy cập Đáng ngờ

Các nhà điều tra cũng xác định được cơ sở hạ tầng liên quan đến chiến dịch được lưu trữ tại Kyiv, Ukraine, cũng như lưu lượng truy cập từ một địa chỉ IP của Comcast/Xfinity trong quá trình hoạt động mã thiết bị. Việc phân tích nhật ký mạng và các sự kiện xác thực có thể giúp phát hiện các dấu hiệu bất thường này.

Các Biện pháp Phòng ngừa và Giám sát

Kiểm tra và Giới hạn Xác thực Mã Thiết bị

Các tổ chức nên xem xét kỹ lưỡng và giới hạn việc sử dụng xác thực mã thiết bị của Microsoft Entra trừ khi thực sự cần thiết. Nếu việc sử dụng là bắt buộc, cần có các quy trình xác minh chặt chẽ hơn để đảm bảo tính hợp pháp của các yêu cầu xác thực.

Giám sát Nhật ký Microsoft Entra và Hoạt động Tài khoản

Các nhóm bảo mật nên thường xuyên điều tra nhật ký Microsoft Entra để tìm kiếm các dấu hiệu đăng nhập bằng mã thiết bị, hoạt động của Microsoft Authentication Broker, các truy cập Microsoft Graph bất thường, đăng ký thiết bị mới và các phiên không tương tác đáng ngờ. Việc phân tích các bản ghi này có thể giúp phát hiện sớm các nỗ lực xâm nhập.

Thu hồi Phiên và Token

Sau khi nghi ngờ có sự cố xâm nhập, các tổ chức cần thu hồi ngay lập tức các phiên hoạt động và làm mới các token xác thực. Việc chỉ thay đổi mật khẩu có thể không đủ để loại bỏ hoàn toàn quyền truy cập của kẻ tấn công, đặc biệt là khi chúng đã thu thập được các token hợp lệ.

Tham khảo thêm thông tin chi tiết về các cuộc tấn công AiTM tại NVD.