Các nhóm tấn công đang khai thác các công cụ nội bộ của Microsoft, đặc biệt là Microsoft Graph API, để nhắm mục tiêu vào các nhân viên phòng Nhân sự (HR) và Bộ phận Lương (Payroll) trong các mạng lưới doanh nghiệp. Mục tiêu chính là chiếm quyền kiểm soát và chuyển hướng các khoản thanh toán lương của nhân viên vào các tài khoản do kẻ tấn công kiểm soát. Các chiến dịch này đang lan rộng qua nhiều ngành và biên giới, đòi hỏi các đội ngũ an ninh mạng phải có phản ứng nhanh chóng.
Phương thức Tấn công Không Sử dụng Mã độc
Phương thức tấn công được sử dụng trong chiến dịch này là một kỹ thuật tinh vi, không dựa vào việc triển khai mã độc truyền thống hay khai thác các lỗ hổng phần mềm. Thay vào đó, kẻ tấn công tiến hành đánh cắp các phiên đăng nhập hợp lệ thông qua các trang lữ đoàn Adversary-in-the-Middle (AiTM).
Kỹ thuật Adversary-in-the-Middle (AiTM)
Các trang AiTM được đặt giữa nạn nhân và cổng đăng nhập Microsoft 365 giả mạo. Khi nạn nhân nhập thông tin đăng nhập, kẻ tấn công sẽ thu thập được token phiên đăng nhập (session token) hợp lệ. Với token này, kẻ tấn công có thể tái sử dụng để vượt qua cơ chế xác thực đa yếu tố (MFA) mà không cần biết mật khẩu của người dùng.
Vượt qua Xác thực Đa Yếu tố (MFA)
Việc chiếm được token phiên đăng nhập là yếu tố then chốt. Kẻ tấn công có thể phát lại token này để giả mạo người dùng hợp lệ, qua mặt hoàn toàn lớp bảo vệ của MFA. Điều này cho phép chúng truy cập vào tài khoản mà không cần tương tác thêm hoặc cung cấp bất kỳ thông tin xác thực bổ sung nào.
Khai thác Microsoft Graph API để Thu thập Thông tin
Sau khi chiếm được quyền truy cập vào một tài khoản Microsoft 365 bị xâm nhập, kẻ tấn công sẽ chuyển sang sử dụng Microsoft Graph API. Đây là một công cụ dành cho nhà phát triển, cho phép truy vấn và tương tác với dữ liệu trong hệ sinh thái Microsoft 365.
Truy vấn Dữ liệu Người dùng
Kẻ tấn công thực hiện các truy vấn hàng loạt (bulk queries) nhắm vào việc tìm kiếm người dùng có chức danh công việc (job titles) hoặc tên hiển thị (display names) chứa các từ khóa liên quan đến bộ phận lương và nhân sự như “payroll”, “hr”, “human”, “resources”, “finance”, “admin”.
Toàn bộ quá trình quét thư mục này có thể hoàn thành chỉ trong vài phút, cung cấp cho kẻ tấn công một danh sách chi tiết các nhân viên mục tiêu. Kỹ thuật này hiệu quả cao trong việc xác định nhanh chóng các cá nhân có quyền truy cập hoặc liên quan đến các quy trình tài chính.
Cấu trúc Truy vấn Graph
Các truy vấn Graph được quan sát bao gồm một lệnh lấy tất cả người dùng bằng điểm cuối /v1.0/users?$top=999. Sau đó, chúng sử dụng các bộ lọc tìm kiếm chuỗi trên các trường như displayName, jobTitle, mail, và userPrincipalName. Việc sử dụng $skiptoken cho phép thu thập kết quả theo từng trang (pagination) để đảm bảo lấy được toàn bộ dữ liệu.
GET /v1.0/users?$top=999
GET /v1.0/users?$filter=...&$skiptoken=NEXT_PAGE_TOKEN
Quyền Delegated Permissions
Các token được sử dụng trong quá trình thu thập thông tin này thường mang các quyền ủy quyền (delegated permissions) rộng, bao gồm Directory.Read.All, Files.ReadWrite.All, Group.ReadWrite.All, Chat.ReadWrite, và User.ReadWrite. Điều này cho phép kẻ tấn công có quyền truy cập sâu hơn nhiều so với việc chỉ đọc thông tin thư mục, làm tăng nguy cơ tồn tại dai dẳng thông qua các ứng dụng được cấp quyền OAuth.
Phân tích Lưu lượng và Dấu vết
Lưu lượng xác thực trong các cuộc tấn công này thường xuất phát từ các dải IP của nhà mạng di động tại Hoa Kỳ. Ngược lại, lưu lượng truy vấn Graph lại có thể truy ngược về các Nhà cung cấp Dịch vụ Internet (ISP) dân cư tại Canada. Sự phân tách này phù hợp với việc sử dụng hạ tầng proxy dân cư để che giấu nguồn gốc hoạt động.
Duy trì Truy cập Dai dẳng
Các tài khoản bị xâm nhập mà chưa được khắc phục vẫn tạo ra các yêu cầu đăng nhập không tương tác (non-interactive sign-ins) vào Office 365 Exchange Online khoảng ba giờ một lần. Chúng sử dụng user-agent Firefox 131.0 và xoay vòng các định danh token với mỗi phiên. Điều này cho thấy kẻ tấn công đã duy trì quyền truy cập dai dẳng ngay cả sau khi sự cố ban đầu đã diễn ra một thời gian.
User-Agent: Firefox/131.0
Khả năng Phát hiện và Giám sát
Việc phát hiện chiến dịch tấn công này chủ yếu dựa vào dữ liệu nhật ký đăng nhập của Microsoft Entra và nhật ký hoạt động của Microsoft Graph, do không có mã độc hoặc dấu vết nào trên điểm cuối (endpoint) để lại.
Nhật ký Hoạt động Microsoft Graph
Kích hoạt và chuyển tiếp nhật ký hoạt động của Microsoft Graph đến một hệ thống SIEM hoặc data lake bảo mật được xem là biện pháp quan trọng nhất mà các tổ chức có thể thực hiện ngay lúc này để tăng cường khả năng phát hiện.
Biện pháp Phòng chống và Khắc phục
Để đối phó hiệu quả với các mối đe dọa này, các tổ chức cần triển khai nhiều lớp bảo mật và quy trình ứng phó.
Xác thực Đa Yếu tố (MFA) Kháng Phishing
Việc triển khai MFA kháng phishing, sử dụng các phương thức như khóa bảo mật FIDO2, Windows Hello for Business, hoặc xác thực dựa trên chứng chỉ là cực kỳ quan trọng. Các phương thức như xác nhận push qua ứng dụng hoặc mã SMS không cung cấp đủ sự bảo vệ trước việc đánh cắp token.
Chính sách Conditional Access
Chính sách Conditional Access nên được cấu hình để yêu cầu các thiết bị tuân thủ hoặc kết hợp (hybrid-joined) và kích hoạt tính năng đánh giá truy cập liên tục (continuous access evaluation). Điều này giúp ngăn chặn các token bị phát lại gần như theo thời gian thực.
Quy trình Khắc phục
Đối với các tài khoản đã bị xâm nhập, quy trình khắc phục phải được thực hiện một cách triệt để. Các bước cần thiết bao gồm thu hồi các phiên và token làm mới (refresh tokens) thông qua Entra Admin Center, đặt lại thông tin đăng nhập, đăng ký lại các phương thức MFA, và kiểm tra tất cả các quyền cấp cho ứng dụng doanh nghiệp.
Bất kỳ thay đổi nào về chuyển khoản trực tiếp hoặc quy trình lương được thực hiện trong khoảng thời gian bị xâm nhập đều phải được xem xét và đảo ngược. Các nhóm HR nên xem xét mọi yêu cầu thay đổi lương là đáng ngờ cho đến khi được xác minh qua một kênh độc lập.
Cảnh báo CVE và IOC
Mặc dù nội dung gốc không cung cấp chi tiết về các mã định danh CVE cụ thể hoặc chỉ số xâm nhập (IOC) chi tiết, các cuộc tấn công tương tự nhắm vào Microsoft 365 và các dịch vụ đám mây khác thường liên quan đến các lỗ hổng có thể được theo dõi trên NVD (National Vulnerability Database). Việc giám sát các lỗ hổng CVE mới được công bố và các báo cáo threat intelligence là cần thiết.
Chỉ số Xâm nhập (Indicators of Compromise – IOC)
Các chỉ số xâm nhập (IOC) cho chiến dịch này có thể bao gồm:
- Dải IP xuất phát từ các nhà mạng di động Hoa Kỳ cho lưu lượng xác thực.
- Lưu lượng truy vấn Graph API có nguồn gốc từ các ISP dân cư tại Canada.
- Sử dụng user-agent
Firefox/131.0cho các phiên đăng nhập không tương tác. - Các token truy cập với quyền ủy quyền mở rộng như
Directory.Read.All,User.ReadWrite. - Các truy vấn Microsoft Graph nhắm vào các từ khóa liên quan đến payroll, HR, finance, admin trong
displayNamehoặcjobTitle.
Các địa chỉ IP và tên miền cụ thể cần được điều tra và xác minh thông qua các nền tảng threat intelligence đáng tin cậy trước khi thực hiện các hành động phòng ngừa hoặc phát hiện.
Để có thêm thông tin chi tiết về các mối đe dọa và cách phòng chống, độc giả có thể tham khảo các báo cáo bảo mật từ các tổ chức uy tín. Một nguồn tham khảo hữu ích là các phân tích về tấn công AiTM và các kỹ thuật khai thác API đám mây. Xem thêm chi tiết tại CISA Cybersecurity Advisories.
