Một chiến dịch tinh vi đã xuất hiện, sử dụng năm tiện ích mở rộng độc hại Chrome phối hợp để nhắm mục tiêu vào các nền tảng quản lý nhân sự và tài chính được hàng nghìn tổ chức trên toàn thế giới sử dụng. Các tiện ích này hoạt động đồng bộ để đánh cắp token xác thực, vô hiệu hóa các biện pháp kiểm soát bảo mật và thực hiện chiếm quyền điều khiển tài khoản hoàn toàn thông qua session hijacking.
Tiện Ích Mở Rộng Độc Hại Chrome: Mối Đe Dọa Doanh Nghiệp
Chiến dịch này gây ảnh hưởng đến các hệ thống quan trọng như Workday, NetSuite và SuccessFactors. Đây là những nền tảng nơi các phòng ban nhân sự và đội ngũ tài chính quản lý dữ liệu nhạy cảm của nhân viên và công ty.
Cơ Chế Phát Tán và Phân Phối
Các tác nhân đe dọa đã phát hành bốn tiện ích dưới tên databycloud1104. Một tiện ích thứ năm hoạt động dưới thương hiệu softwareaccess nhưng chia sẻ các mẫu cơ sở hạ tầng và cơ chế tấn công giống hệt nhau.
Tổng cộng, các tiện ích mở rộng độc hại này đã tiếp cận hơn 2.300 người dùng trong môi trường doanh nghiệp. Việc triển khai phối hợp cho thấy kế hoạch tỉ mỉ, với mỗi tiện ích đóng một vai trò cụ thể trong chiến lược tấn công toàn diện.
Chiến lược này được thiết kế để vượt qua các biện pháp phòng thủ bảo mật tiêu chuẩn. Các nhà phân tích của Socket.dev đã xác định các tiện ích mở rộng này thông qua phân tích mã.
Phân tích đã tiết lộ chức năng độc hại ẩn mặc dù có các tuyên bố tiếp thị sai lệch. Nhóm nghiên cứu phát hiện ra rằng các tiện ích này tự quảng cáo là công cụ năng suất hợp pháp. Thực tế, chúng đánh cắp thông tin xác thực và ngăn cản đội ngũ bảo mật ứng phó với các cuộc tấn công.
Kỹ Thuật Chiếm Quyền Tài Khoản Nâng Cao
Năng lực nguy hiểm nhất của những tiện ích mở rộng độc hại Chrome này liên quan đến kỹ thuật tiêm cookie hai chiều (bidirectional cookie injection). Kỹ thuật này được triển khai bởi tiện ích Software Access.
Tiêm Cookie Hai Chiều (Bidirectional Cookie Injection)
Tiêm cookie hai chiều cho phép các tác nhân đe dọa trực tiếp tiêm cookie xác thực bị đánh cắp vào trình duyệt của chúng. Điều này cấp quyền truy cập ngay lập tức vào tài khoản nạn nhân mà không yêu cầu mật khẩu hoặc bỏ qua các lớp bảo vệ xác thực đa yếu tố (MFA).
Trích Xuất Token Phiên Liên Tục
Các tiện ích mở rộng khác liên tục trích xuất token phiên cứ sau 60 giây. Điều này đảm bảo những kẻ tấn công duy trì thông tin xác thực hiện tại, ngay cả khi người dùng đăng xuất và đăng nhập lại trong các hoạt động kinh doanh bình thường. Cơ chế lây nhiễm này kết hợp việc đánh cắp thông tin xác thực với việc chặn giao diện quản trị có mục tiêu để ngăn chặn ứng phó sự cố, gây ra một mối đe dọa mạng đáng kể.
Vô Hiệu Hóa Khả Năng Ứng Phó Sự Cố
Cuộc tấn công hoạt động thông qua thao tác DOM (Document Object Model). Các tiện ích mở rộng độc hại Chrome này liên tục theo dõi nội dung trang web và ngay lập tức xóa các trang quản trị bảo mật khi người dùng cố gắng truy cập chúng.
Thao Tác DOM để Chặn Giao Diện Quản Trị
Cụ thể, tiện ích Tools Access 11 chặn 44 trang quản trị trong Workday. Trong khi đó, Data By Cloud 2 mở rộng lên 56 trang, bao gồm các chức năng quan trọng như thay đổi mật khẩu, hủy kích hoạt tài khoản, quản lý thiết bị MFA và nhật ký kiểm tra bảo mật.
Cơ chế chặn hoạt động thông qua việc theo dõi liên tục bằng các hàm MutationObserver. Các hàm này kiểm tra trang cứ sau 50 mili giây. Khi quản trị viên cố gắng đặt lại mật khẩu hoặc vô hiệu hóa các tài khoản bị xâm nhập, các tiện ích sẽ thay thế toàn bộ nội dung trang bằng một khoảng trắng và chuyển hướng người dùng đến các URL bị lỗi.
Kịch Bản Thất Bại Trong Khắc Phục
Điều này tạo ra một kịch bản thất bại trong việc kiểm soát, nơi các đội ngũ bảo mật có thể phát hiện truy cập trái phép nhưng không thể thực hiện các quy trình khắc phục tiêu chuẩn. Tình trạng này buộc các tổ chức phải cho phép truy cập trái phép kéo dài hoặc di chuyển người dùng bị ảnh hưởng sang các tài khoản hoàn toàn mới. Đây là một ví dụ điển hình về nguy cơ chiếm quyền tài khoản.
Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp liên quan đến chiến dịch này bao gồm các tên tiện ích mở rộng độc hại Chrome và các mẫu cơ sở hạ tầng chung:
- Tên tiện ích mở rộng:
- databycloud1104 (bốn biến thể)
- softwareaccess (một biến thể)
- Mẫu cơ sở hạ tầng:
- Chia sẻ cơ sở hạ tầng và cơ chế tấn công giống hệt nhau giữa các tiện ích
