Các tác nhân đe dọa đang lạm dụng tính năng Direct Send của Microsoft 365 để triển khai các chiến dịch tấn công mạng lừa đảo tinh vi. Những email này giả mạo thông tin liên lạc nội bộ, phá vỡ lòng tin và tăng tỷ lệ thành công của các khai thác kỹ thuật xã hội.
Hiểu Về Tính Năng Direct Send và Cách Thức Lạm Dụng
Direct Send được thiết kế để chuyển tiếp tin nhắn không cần xác thực từ các thiết bị như máy in đa chức năng và ứng dụng kế thừa đến người nhận nội bộ. Tuy nhiên, tính năng này cho phép kẻ tấn công bên ngoài giả mạo địa chỉ người gửi mà không yêu cầu thông tin đăng nhập hợp lệ.
Khai Thác Điểm Yếu Của Direct Send
Các nhà nghiên cứu của Proofpoint đã ghi nhận một hoạt động đang diễn ra. Trong đó, kẻ tấn công đưa email lừa đảo thông qua các thiết bị bảo mật email của bên thứ ba không được bảo mật. Những thiết bị này hoạt động như các relay SMTP, thường được lưu trữ trên các máy chủ riêng ảo (VPS).
Những tin nhắn này thường xuyên vượt qua các biện pháp phòng thủ gốc. Chúng xuất hiện trong thư mục rác của người dùng ngay cả khi được gắn cờ lỗi xác thực tổng hợp. Ví dụ bao gồm lỗi khớp SPF, DKIM hoặc DMARC.
Các Chiêu Trò Phishing Phổ Biến
Các chiêu trò lừa đảo được điều chỉnh theo ngữ cảnh kinh doanh cụ thể. Chúng sử dụng các lý do như nhắc nhở công việc, ủy quyền chuyển khoản hoặc thông báo thư thoại. Mục đích là để khuyến khích người dùng tương tác với email, mở đường cho các cuộc tấn công mạng tiếp theo.
Bằng cách khai thác Direct Send, kẻ tấn công tạo ra một lớp vỏ bọc hợp pháp. Các email dường như có nguồn gốc từ bên trong miền của tổ chức mục tiêu. Điều này làm suy yếu tính toàn vẹn của giao tiếp nội bộ và tạo điều kiện phân phối payload bất chấp các kiểm tra bảo mật, một đặc điểm của tấn công mạng tinh vi.
Cơ Chế Tấn Công Mạng Quan Sát
Trong cơ chế phân phối được quan sát, kẻ tấn công thiết lập kết nối RDP trên cổng 3389. Các kết nối này đến các máy chủ ảo chạy Windows Server 2022. Từ đó, chúng khởi tạo các phiên SMTP đến các thiết bị bên thứ ba bị lộ.
Những thiết bị này trình bày các chứng chỉ SSL DigiCert hợp lệ và hỗ trợ AUTH PLAIN LOGIN với STARTTLS. Chúng chuyển tiếp tin nhắn đến các tenant Microsoft 365 bằng cách sử dụng các địa chỉ “From” nội bộ bị giả mạo.
Các Cổng Bị Lộ và Lỗ Hổng
Các cổng bị lộ như 8008, 8010 và 8015 trên các relay này thường có chứng chỉ đã hết hạn hoặc tự ký. Điều này tạo ra các lỗ hổng bảo mật mà kẻ tấn công khai thác để tiêm nhiễm.
Chiến thuật này phù hợp với một mô hình rộng hơn về việc lạm dụng các dịch vụ đám mây hợp pháp để né tránh phát hiện. Kẻ tấn công định tuyến thông qua cơ sở hạ tầng đáng tin cậy để che giấu ý định độc hại trong các hoạt động tấn công mạng.
Phân tích của Proofpoint tiết lộ rằng ngay cả khi Microsoft xác định được việc giả mạo qua xác thực không thành công (được đánh dấu trong tiêu đề với “compauth=fail”), tin nhắn vẫn đến được người dùng cuối. Điều này làm tăng rủi ro đối với năng suất và khả năng phục hồi của tổ chức. Bạn có thể tìm hiểu thêm về phân tích này tại Proofpoint Blog.
Chiến Lược Giảm Thiểu và Bảo Vệ
Để chống lại mối đe dọa này, các tổ chức phải đánh giá lại cấu hình relay email và giao thức xác thực của họ. Đây là một bước quan trọng để tăng cường an ninh mạng chống lại các hình thức tấn công mạng đa dạng.
Kiểm Tra và Vô Hiệu Hóa Direct Send
Một bước quan trọng là kiểm tra xem Direct Send có đang được sử dụng hay không. Nếu không cần thiết, hãy tắt nó qua PowerShell. Lệnh sau có thể được sử dụng:
Set-OrganizationConfig -RejectDirectSend $trueThiết Lập Chính Sách Xác Thực Email Mạnh Mẽ
Ngoài ra, việc thực thi chính sách SPF hard fail nghiêm ngặt, ký DKIM và chính sách DMARC reject có thể ngăn chặn việc phân phối email giả mạo. Tuy nhiên, việc triển khai đòi hỏi sự điều chỉnh cẩn thận để tránh làm gián đoạn lưu lượng truy cập hợp pháp.
Giám Sát Lưu Lượng Mail và Tăng Cường Bảo Mật
Giám sát các quy tắc luồng thư cho các IP relay không xác thực và kiểm tra tiêu đề để tìm các chỉ báo giả mạo là rất cần thiết. Điều này cần được bổ sung bởi các giải pháp bảo mật email nâng cao. Các giải pháp này tăng cường các biện pháp bảo vệ tích hợp của Microsoft chống lại các cuộc né tránh trong các chiến dịch tấn công mạng.
Chiến dịch này nhấn mạnh một lỗ hổng chiến lược trong các hệ sinh thái đám mây. Các tính năng hợp pháp như Direct Send trở thành vector cho các cuộc tấn công mạng có độ tin cậy cao, có khả năng dẫn đến vi phạm dữ liệu hoặc gian lận tài chính.
Khi việc áp dụng Microsoft 365 ngày càng tăng, các CISO nên ưu tiên các thực hành relay an toàn. Hãy coi các lượt gửi không xác thực là rủi ro cố hữu và tích hợp các biện pháp phòng thủ mạnh mẽ để bảo vệ niềm tin nội bộ, từ đó giảm thiểu nguy cơ bị tấn công mạng.
