Một chiến dịch phishing mới nhắm vào người dùng Microsoft 365 đã được phát hiện, sử dụng phương thức tiếp cận khác biệt so với các cuộc tấn công thông thường. Thay vì cố gắng đánh cắp mật khẩu của nạn nhân trực tiếp, chiến dịch này lừa người dùng hoàn thành quy trình xác thực Microsoft hợp lệ, qua đó âm thầm chuyển giao quyền kiểm soát tài khoản cho kẻ tấn công. Kỹ thuật này ngày càng trở nên tinh vi và khó nhận diện đối với người dùng thông thường. Phương pháp cốt lõi của chiến dịch này được gọi là Device Code phishing.
Device Code Phishing: Kỹ thuật Tấn công Tinh vi
Trong kịch bản thông thường, luồng Device Code của Microsoft giúp người dùng xác thực trên các thiết bị mà việc nhập tên người dùng và mật khẩu trở nên bất tiện, ví dụ như trên TV thông minh hoặc công cụ dòng lệnh. Kẻ tấn công đã biến tính năng hữu ích này thành một cái bẫy, sử dụng nó để ủy quyền cho thiết bị của chúng truy cập vào tài khoản nạn nhân mà không cần thu thập mật khẩu.
Quy trình Tấn công Chi tiết
Các nhà phân tích tại ReversingLabs đã xác định và ghi nhận chiến dịch đang hoạt động này. Họ cho biết chiến dịch kết hợp các email lừa đảo theo chủ đề kinh doanh thực tế, một bộ công cụ phishing được trau chuốt và quy trình Ủy quyền Thiết bị (Device Authorization Grant) của chính Microsoft để thực hiện việc chiếm đoạt tài khoản gần như vô hình.
Cuộc tấn công bắt đầu bằng một email trông giống như yêu cầu phê duyệt từ nhà cung cấp hoặc đối tác kinh doanh. Tệp đính kèm là một hình ảnh, khi được nhấp vào, sẽ chuyển hướng nạn nhân đến một trang đích giả mạo, sao chép thiết kế chính hãng của Microsoft.
Từ đó, nạn nhân được yêu cầu sao chép một mã ngắn và nhập mã đó vào trang đăng nhập thiết bị thực của Microsoft. Hầu hết mọi người không có lý do gì để nghi ngờ bất kỳ điều gì bất thường tại thời điểm này. Sau khi mã được nhập và nạn nhân đăng nhập, hệ thống xác thực của Microsoft sẽ ủy quyền cho thiết bị của kẻ tấn công. Nạn nhân sẽ không thấy bất kỳ dấu hiệu bất thường nào.
Ảnh hưởng Hệ thống và Khả năng Xâm nhập
Kẻ tấn công hiện nắm giữ một token truy cập hợp lệ cho tài khoản Microsoft 365 đó. Chúng có thể sử dụng token này để đọc email, truy cập tệp và di chuyển ngang (lateral movement) trong mạng lưới của tổ chức mục tiêu. Điều này tiềm ẩn rủi ro rò rỉ dữ liệu nghiêm trọng.
Kỹ thuật Tránh né Phát hiện của Phishing Kit
Bộ công cụ phishing đứng sau chiến dịch này được thiết kế để né tránh phát hiện tự động. Các trang đích nhúng các ký tự Unicode vô hình, bao gồm Ký tự Rỗng (Zero Width Space), Bộ nối Từ (Word Joiner) và Ký tự Không nối Rỗng (Zero Width Non-Joiner). Các ký tự này được phân tán khắp các từ ngữ mà các công cụ bảo mật thường đánh dấu là chỉ báo phishing. Điều này khiến các trang web giả mạo trở nên khó bị phát hiện thông qua phương pháp khớp mẫu (signature matching) tiêu chuẩn.
Bộ công cụ sử dụng một URL được lưu trữ trên hạ tầng hợp pháp của Akamai làm điểm vào đăng nhập thiết bị, làm tăng thêm vẻ ngoài hợp pháp. Một yêu cầu POST được gửi từ backend của bộ công cụ đến máy chủ phishing sau mỗi bốn giây, điều phối luồng OAuth giữa kẻ tấn công và phiên xác thực mà nạn nhân đang hoàn thành. Tín hiệu liên tục này là một trong số ít dấu hiệu có thể phát hiện được của cuộc tấn công.
Dấu hiệu Mạng có thể Quan sát
Lưu lượng mạng do bộ công cụ tạo ra cũng có thể hỗ trợ việc phát hiện. Hai chuỗi phân giải tên máy chủ (hostname resolutions) liên quan đến trang đích phishing và luồng xác thực của Microsoft tạo thành các cụm có thể nhận dạng. Một cụm thứ ba là hoạt động phát tín hiệu (beacon activity) được gửi sau mỗi bốn giây sau khi giai đoạn xác thực đầu tiên bắt đầu, cung cấp cho các nhóm bảo mật một tín hiệu đáng tin cậy để săn lùng trong nhật ký mạng của họ.
ReversingLabs đã phát hành một quy tắc YARA để phát hiện các trang đích được sử dụng bởi bộ công cụ phishing này. Quy tắc này xác định các kết hợp của ký tự Unicode vô hình cùng với các tạo tác token xác thực được mã hóa trong mã nguồn trang. Khi được kết hợp với việc săn lùng dựa trên mạng sử dụng các mẫu lưu lượng được mô tả trong báo cáo, các biện pháp phòng vệ sẽ có một điểm khởi đầu mạnh mẽ.
Biện pháp Phòng chống và Giảm thiểu Rủi ro
Các tổ chức nên đào tạo nhân viên đặt câu hỏi về bất kỳ lời nhắc nào yêu cầu họ sao chép và dán mã vào trang đăng nhập Microsoft. Việc theo dõi nhật ký đăng nhập Entra ID cho việc sử dụng Device Code grant được khuyến nghị, đặc biệt là khi việc đăng nhập bắt nguồn từ một điểm cuối không phải là thiết bị IoT hoặc dòng lệnh đã biết.
Các nhóm bảo mật nên triển khai các cơ chế phát hiện các tạo tác của bộ công cụ phishing được nêu trong báo cáo của ReversingLabs, bao gồm các chỉ báo trang đích và mẫu lưu lượng mạng liên quan đến cuộc tấn công này. Đây là một phần quan trọng của chiến lược an ninh mạng tổng thể.
Chỉ số Compromise (IoCs)
Lưu ý: Địa chỉ IP và tên miền đã được làm mờ (ví dụ: [.]). Chỉ phục hồi lại định dạng gốc trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Thông tin về các chỉ số compromise cụ thể (như IP, domain, hash) không được cung cấp trực tiếp trong nội dung gốc, tuy nhiên các nhóm bảo mật có thể dựa vào các kỹ thuật phát hiện đã nêu để thu thập thêm thông tin chi tiết.
Cuộc tấn công này minh họa cho sự phát triển của các kỹ thuật tấn công mạng, đòi hỏi các biện pháp phòng vệ liên tục được cập nhật và đào tạo người dùng về nhận thức an ninh.
Để tìm hiểu sâu hơn về các kỹ thuật tấn công và cách thức hoạt động, tham khảo báo cáo chi tiết từ ReversingLabs: ReversingLabs Blog – Device Code Phishing Campaign.
