Các tác nhân đe dọa đang triển khai các chiến dịch tấn công phishing tinh vi, sử dụng các ứng dụng Microsoft OAuth giả mạo để mạo danh các doanh nghiệp hợp pháp. Mục tiêu chính của chúng là đánh cắp thông tin xác thực và vượt qua các cơ chế xác thực đa yếu tố (MFA), dẫn đến chiếm quyền điều khiển tài khoản người dùng.
Các nhà nghiên cứu tại Proofpoint đã theo dõi hoạt động này từ đầu năm 2025, phát hiện hơn 50 ứng dụng mạo danh. Trong số đó, có nhiều ứng dụng nhái theo các dịch vụ phổ biến như RingCentral, SharePoint, Adobe và DocuSign.
Kỹ thuật Tấn công Microsoft OAuth và AiTM Phishing
Lạm dụng Ứng dụng OAuth Độc hại
Các ứng dụng OAuth độc hại này đóng vai trò là mồi nhử ban đầu. Chúng chuyển hướng người dùng đến các bộ công cụ phishing trung gian (AiTM – Attacker-in-the-Middle) như Tycoon và ODx.
Các bộ công cụ này có khả năng thu thập thông tin xác thực và cookie phiên làm việc theo thời gian thực. Điều này giúp kẻ tấn công duy trì quyền truy cập ngay cả khi MFA đã được bật.
Khai thác Luồng Đồng ý OAuth
Các chiến dịch tấn công phishing này khai thác triệt để quy trình đồng ý của OAuth. Chúng thường yêu cầu các quyền hạn tưởng chừng vô hại, ví dụ như xem hồ sơ cơ bản hoặc duy trì quyền truy cập dữ liệu.
Tuy nhiên, bất kể người dùng có đồng ý hay không, nạn nhân đều bị chuyển hướng đến các trang đăng nhập Microsoft giả mạo. Các trang này được tùy chỉnh để hiển thị thông tin chi tiết về Entra ID của tổ chức nạn nhân, tăng tính thuyết phục.
Cơ chế Hoạt động của AiTM
Cách tiếp cận AiTM hoạt động bằng cách đóng vai trò là proxy cho các yêu cầu xác thực.
Kẻ tấn công chặn và chuyển tiếp các token MFA, từ đó cho phép chúng thực hiện các vụ chiếm quyền điều khiển tài khoản (ATO). Sau khi kiểm soát tài khoản, chúng có thể thu thập thông tin, di chuyển ngang trong mạng, hoặc thực hiện các chiến dịch phishing tiếp theo từ các tài khoản đã bị xâm nhập.
Hoạt động này cho phép kẻ tấn công vượt qua MFA, một lớp bảo mật quan trọng. Bạn có thể tham khảo thêm về các kỹ thuật vượt qua MFA tại GBHackers – Scattered Spider Attacks.
Phân tích Chi tiết Chiến dịch Mạo danh
Chiến dịch Phishing Qua Email Ban Đầu
Email trong các chiến dịch này thường được gửi từ các tài khoản đã bị xâm nhập. Nội dung email thường xoay quanh các chủ đề như yêu cầu báo giá hoặc hợp đồng kinh doanh.
Các chiến dịch này nhắm mục tiêu đến hàng nghìn tin nhắn trên hàng trăm tổ chức. Sự tùy chỉnh diễn ra dựa trên ngành nghề của nạn nhân, với các hành vi mạo danh được điều chỉnh theo phần mềm cụ thể mà họ sử dụng, giúp tăng cường mức độ liên quan và tỷ lệ thành công của cuộc tấn công phishing.
Các Ứng dụng Độc hại trên Nền tảng Đám mây
Trong dữ liệu của các tenant đám mây, Proofpoint đã quan sát thấy hơn hai chục ứng dụng độc hại tương tự. Các ứng dụng này chủ yếu yêu cầu các quyền truy cập như openid, email và profile.
Các URL phản hồi (reply URLs) của chúng dẫn đến hạ tầng phishing. Mặc dù hầu hết các ứng dụng này chỉ hoạt động như mồi nhử mà không có khả năng xâm phạm trực tiếp, các trường hợp chiếm quyền điều khiển tài khoản (ATO) đã được xác nhận trong năm trường hợp.
Tỷ lệ thành công này, mặc dù thấp, nhưng có tính mục tiêu cao. Trong các hoạt động liên quan đến Tycoon rộng hơn, tỷ lệ thành công vượt quá 50%, ảnh hưởng đến gần 3.000 tài khoản trên 900 môi trường trong năm 2025.
Ví dụ Minh họa Các Chiến dịch
Mạo danh ILSMart (Tháng 3/2025)
Một chiến dịch vào tháng 3 năm 2025 đã nhắm mục tiêu vào một công ty hàng không có trụ sở tại Hoa Kỳ. Kẻ tấn công đã mạo danh ILSMart, một dịch vụ kiểm kê hàng không vũ trụ.
Ứng dụng OAuth độc hại có tên “iLSMART” yêu cầu quyền truy cập hồ sơ cơ bản và duy trì quyền truy cập dữ liệu. Các đường dẫn chuyển hướng dẫn đến các thử thách CAPTCHA và các trang Microsoft giả mạo do Tycoon cung cấp.
Các trang này thu thập thông tin xác thực và token MFA thông qua các relay đồng bộ. Chi tiết cấu hình bao gồm các reply URLs như:
azureapplicationregistration[.]pages[.]dev/redirectappVà các quyền truy cập tập trung vào việc hiển thị hồ sơ người dùng.
Mạo danh Adobe (Tháng 6/2025)
Tương tự, một vụ mạo danh Adobe vào tháng 6 năm 2025 đã sử dụng email được gửi qua SendGrid. Các email này chuyển hướng người dùng qua các URL trung gian đến một Ứng dụng “Redirector App” OAuth.
Cuối cùng, nạn nhân bị đưa đến các trang phishing của Tycoon với các tham số như:
client_id: 854189f9-4c71-44bb-9880-dd0c2f75922aVà các quyền truy cập bao gồm openid+email+profile.
Các tác động trên đám mây đã cho thấy các cụm ứng dụng độc hại, chẳng hạn như một ứng dụng “Adobe” giả mạo ảnh hưởng đến bốn người dùng thông qua reply URL:
workspacesteamworkspace[.]myclickfunnels[.]com/offices–af295Các tác nhân người dùng Axios (ví dụ: axios/1.7.9) cũng là dấu hiệu cho thấy sự tham gia của Tycoon. Tham khảo thêm về các chiến dịch phishing Microsoft tại GBHackers – Flowerstorm Microsoft Phishing.
Sự cố OneDrive-2025
Một sự cố khác liên quan đến “OneDrive-2025” đã sử dụng URL:
cleansbeauty[.]com/lost/apc.htmlSau đó, kẻ tấn công thực hiện các thao tác MFA như thêm các phương thức bảo mật mới để duy trì quyền truy cập dai dẳng. Điều này cho thấy nỗ lực của chúng trong việc giữ vững chiếm quyền điều khiển tài khoản sau khi xâm nhập.
Cơ chế Hoạt động của Tycoon Phishing Kit
Tycoon, một nền tảng phishing-as-a-service, sử dụng các client HTTP Axios để thực hiện các cuộc khai thác.
Đáng chú ý, hạ tầng của Tycoon đã thay đổi vào tháng 4 năm 2025, từ các proxy của Nga sang các trung tâm dữ liệu có trụ sở tại Hoa Kỳ để tránh bị phát hiện. Sự thay đổi này thể hiện khả năng thích ứng và nỗ lực trốn tránh các biện pháp phòng thủ.
Chỉ số Nhận diện Sự Thỏa hiệp (IOCs)
Các chỉ số sau đây có thể giúp phát hiện và ngăn chặn các cuộc tấn công phishing tương tự:
- Reply URLs (URL Phản hồi):
azureapplicationregistration[.]pages[.]dev/redirectappworkspacesteamworkspace[.]myclickfunnels[.]com/offices–af295cleansbeauty[.]com/lost/apc.html
- Client ID OAuth:
854189f9-4c71-44bb-9880-dd0c2f75922a
- User Agents (Liên quan đến Tycoon):
axios/1.7.9(hoặc các phiên bản axios khác)
- Tên ứng dụng OAuth độc hại:
- iLSMART
- Redirector App
- Adobe (giả mạo)
- OneDrive-2025 (giả mạo)
Biện pháp Phòng ngừa và Giảm thiểu
Proofpoint nhấn mạnh rằng đây là một phần của xu hướng rộng hơn về các cuộc tấn công AiTM nhắm mục tiêu vào danh tính người dùng. Để bảo vệ khỏi các mối đe dọa như vậy, một số biện pháp phòng thủ được khuyến nghị:
Microsoft 365 cũng đang có những thay đổi sắp tới, dự kiến sẽ làm gián đoạn đáng kể chiến thuật này. Các thay đổi bao gồm việc chặn xác thực cũ và yêu cầu sự đồng ý của quản trị viên đối với các ứng dụng bên thứ ba, bắt đầu từ giữa tháng 7 năm 2025. Những bản cập nhật này sẽ góp phần hạn chế rủi ro chiếm quyền điều khiển tài khoản.
Các Khuyến nghị Bảo mật
- Bảo mật Email: Triển khai các giải pháp bảo mật email mạnh mẽ để ngăn chặn các cuộc tấn công kỹ thuật xã hội, đặc biệt là các cuộc tấn công lừa đảo mục tiêu (BEC – Business Email Compromise) và tấn công phishing.
- Giám sát Đám mây: Thiết lập giám sát liên tục các môi trường đám mây để phát hiện kịp thời các dấu hiệu chiếm quyền điều khiển tài khoản hoặc hoạt động bất thường.
- Web Isolation: Sử dụng công nghệ cách ly web để bảo vệ người dùng khỏi các trang web độc hại và giảm thiểu rủi ro khi truy cập các liên kết phishing.
- Nâng cao Nhận thức Người dùng: Thường xuyên đào tạo người dùng về các mối đe dọa phishing mới nhất, bao gồm cả các chiến thuật mạo danh ứng dụng OAuth và tầm quan trọng của việc kiểm tra kỹ các yêu cầu cấp quyền.
- Sử dụng Khóa FIDO: Triển khai các khóa bảo mật phần cứng FIDO (Fast IDentity Online) để cung cấp một lớp xác thực đa yếu tố chống phishing mạnh mẽ hơn so với các phương pháp MFA truyền thống.
Việc kết hợp nhiều lớp bảo vệ sẽ tạo ra một phòng tuyến vững chắc hơn chống lại các cuộc tấn công phishing và các chiến thuật AiTM ngày càng tinh vi.
