Trong những diễn biến mới nhất của tấn công mạng, các nhà nghiên cứu an ninh mạng đã ghi nhận sự gia tăng đáng kể trong các chiến dịch lừa đảo (phishing) sử dụng các tên miền được thiết kế để mạo danh Microsoft SharePoint. Những chiến dịch này áp dụng các quy ước đặt tên có cấu trúc cao nhằm né tránh sự phát hiện của hệ thống phòng thủ.
Kể từ ngày 26 tháng 6 năm 2025, các tên miền độc hại này đã gia tăng đáng kể, tuân thủ các mẫu có thể dự đoán được. Điển hình là việc sử dụng một tiền tố cố định dài 29 ký tự ở cấp độ tên miền thứ ba, sự biến đổi trong các phân đoạn số, và hậu tố “-mysharepoint” nhất quán, tất cả đều nằm dưới tên miền cấp cao nhất .org.
Ví dụ, các tên miền như 9yusq7ngwdm365cj87v39gs5do8we-mysharepoint.tahofire[.]org và 2yusq7ngwdm835cj87v63gs5do8we-mysharepoint.fencecorps[.]org đã được phát hiện. Chúng mô phỏng các tổ chức hợp pháp của Hoa Kỳ như tahoelivingwithfire.com và fencecorp.us, pha trộn các chuỗi chữ và số với tên tổ chức để tạo vẻ ngoài đáng tin cậy. Cách tiếp cận có cấu trúc này không chỉ giúp tạo ra hàng loạt tên miền lừa đảo mà còn cho phép các tác nhân đe dọa nhắm mục tiêu vào người dùng bằng các mồi nhử lừa đảo, khai thác sự tin tưởng vào các nền tảng quen thuộc như SharePoint, một yếu tố then chốt trong các chiến dịch tấn công mạng.
Các yếu tố bất biến trong các tên miền này, như chuỗi lặp lại “yusq7ngwdm” theo sau là các chữ số biến đổi và các mẫu “cj87v”, cung cấp các chỉ báo quan trọng cho việc săn lùng mối đe dọa chủ động. Các đội ngũ an ninh có thể sử dụng các mẫu này để xây dựng các truy vấn mục tiêu trong các công cụ tình báo mối đe dọa, giúp xác định và giảm thiểu các mối đe dọa mới nổi.
Các chỉ báo kỹ thuật liên quan đến các tên miền mạo danh Microsoft SharePoint bao gồm:
- Cấu trúc tên miền: Tiền tố 29 ký tự (biến đổi), tiếp theo là chuỗi cố định “yusq7ngwdm”, sau đó là các chữ số biến đổi, tiếp theo là “cj87v”, sau đó là các chữ số biến đổi, và cuối cùng là hậu tố “-mysharepoint”.
- Tên miền cấp cao nhất (TLD): Luôn là .org.
- Mẫu chung cho truy vấn tình báo mối đe dọa:
domainName:“?yusq7ngwdm??5cj87v??gs5do8we-mysharepoint.*.org”Phân tích dữ liệu sandbox công khai đã tiết lộ hơn 40 phiên liên quan, với sự xuất hiện của tên miền và các tác vụ liên quan tăng đáng kể cho đến ngày 9 tháng 7 năm 2025, cho thấy một chiến dịch có phối hợp và dai dẳng. Việc nhận diện và áp dụng các IOC này là rất quan trọng để tăng cường an ninh mạng.
Lạm dụng Dịch vụ Lưu trữ Hợp pháp: Trường hợp Alboompro.com
Vấn đề phức tạp hơn là việc khai thác tràn lan các dịch vụ lưu trữ hợp pháp, đặc biệt là Alboompro.com. Đây là một nền tảng tạo danh mục đầu tư trực tuyến cho phép người dùng định nghĩa các tên miền phụ. Các tác nhân đe dọa ngày càng lạm dụng tính năng này để lưu trữ nội dung lừa đảo. Kể từ tháng 5 năm 2025, đã có hơn 250 tác vụ sandbox và 130 tên miền phụ liên kết với alboompro.com có các chỉ báo độc hại.
Kịch bản Tấn công Đánh cắp Dữ liệu (Sneaky2FA) qua Alboompro.com
Một trường hợp điển hình được phân tích qua sandbox ANY.RUN (ID tác vụ: 6f152a2b-b8de-4156-9970-2cf77e36f6df) cho thấy một email lừa đảo mạo danh một công ty của Hoa Kỳ như midwesthose.com. Nạn nhân được hướng dẫn đến một tên miền phụ giả mạo như midwesthose-specialty[.]alboompro.com. Đường dẫn này yêu cầu người dùng truy cập vào một tệp PDF được bảo vệ, sau đó chuyển hướng họ đến một tên miền như 2yusq7ngwdm385cj87v68gs5do8we-mysharepoint.capernos[.]org. Tại đây, một thách thức CAPTCHA sẽ xuất hiện trước khi chuyển đến trang thu thập thông tin xác thực.
Kỹ thuật này được phân loại là tấn công Sneaky2FA. Nó hoạt động bằng cách proxy giao diện đăng nhập Microsoft hợp pháp thông qua một máy chủ do kẻ tấn công kiểm soát. Điều này cho phép kẻ tấn công chặn thông tin xác thực của người dùng trong khi vẫn duy trì giao diện trông như thật, nhằm đánh lừa người dùng và cố gắng bỏ qua các lời nhắc xác thực hai yếu tố (2FA). Các phương pháp như vậy nhấn mạnh sự tinh vi của các chiến dịch tấn công mạng này, nơi nạn nhân vô tình tương tác với nội dung chính thức được chuyển qua cơ sở hạ tầng độc hại, tạo điều kiện cho việc đánh cắp dữ liệu xác thực theo thời gian thực.
Việc sử dụng các truy vấn như domainName:“*.alboompro.com” trong các nền tảng tình báo mối đe dọa đã phát hiện ra việc lạm dụng rộng rãi, cho thấy cách kẻ tấn công tái sử dụng các dịch vụ lành tính cho các hoạt động lừa đảo quy mô lớn. Đây là một ví dụ rõ ràng về cách các tác nhân đe dọa tìm cách khai thác các lỗ hổng trong hệ sinh thái kỹ thuật số để thực hiện các chiến dịch tấn công mạng.
Phát hiện và Phòng ngừa: Tăng cường Khả năng Phòng thủ An ninh mạng
Sự gia tăng các tên miền SharePoint giả mạo và việc khai thác Alboompro phản ánh các chiến thuật lừa đảo đang phát triển, đòi hỏi phải tăng cường giám sát các mẫu tên miền và việc lạm dụng dịch vụ. Các chuyên gia bảo mật được khuyến nghị tích hợp các chỉ báo này vào quy trình phát hiện của họ, tận dụng các tìm kiếm tình báo mối đe dọa để chủ động giải quyết khối lượng ngày càng tăng của các cuộc tấn công mạng như vậy, vốn tiếp tục nhắm mục tiêu vào thông tin xác thực của tổ chức với tần suất và sự tinh vi kỹ thuật ngày càng cao.
Để nâng cao an ninh mạng, điều quan trọng là phải thường xuyên cập nhật và cấu hình các hệ thống phòng thủ để nhận diện các mẫu mới của đánh cắp dữ liệu thông qua phishing. Việc chia sẻ thông tin về các chiến thuật và IOC mới giữa các tổ chức có thể tạo ra một mạng lưới phòng thủ mạnh mẽ hơn chống lại các mối đe dọa đang phát triển.
