Cảnh báo: Tấn công mạng AiTM nghiêm trọng qua SharePoint

Các nhà nghiên cứu của Microsoft Defender đã phát hiện một chiến dịch tấn công mạng lừa đảo trung gian (AiTM) tinh vi. Chiến dịch này nhắm vào các tổ chức trong lĩnh vực năng lượng thông qua việc lạm dụng tính năng chia sẻ tệp của SharePoint.

Cuộc tấn công nhiều giai đoạn này đã thành công trong việc chiếm đoạt nhiều tài khoản người dùng. Từ đó, nó nhanh chóng leo thang thành các hoạt động chiếm đoạt email doanh nghiệp (BEC) lan rộng ra nhiều tổ chức.

Nội dung

Phân tích Chiến dịch Phishing và AiTM: Mối Đe Dọa Mạng Ngành Năng Lượng

Chiếm Đoạt Phiên Làm Việc và Giữ Bí Mật Hoạt Động

Mở Rộng Tấn Công: Chiến Dịch BEC Lớn

Chiến Lược Khắc Phục và An Ninh Mạng

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Phân tích Chiến dịch Phishing và AiTM: Mối Đe Dọa Mạng Ngành Năng Lượng

Chiến dịch bắt đầu bằng các email lừa đảo được gửi từ địa chỉ email của một nhà cung cấp đáng tin cậy đã bị chiếm đoạt. Các tác nhân đe dọa đã tận dụng các URL SharePoint yêu cầu xác thực.

Kỹ thuật này được thiết kế để bắt chước quy trình chia sẻ tài liệu hợp pháp, từ đó tránh được sự nghi ngờ và qua mặt các bộ lọc bảo mật email truyền thống.

Kẻ tấn công đã khai thác sự tin cậy rộng rãi vào các dịch vụ Microsoft SharePoint và OneDrive. Đây là những dịch vụ phổ biến trong môi trường doanh nghiệp và thường bỏ qua các bộ lọc bảo mật email truyền thống.

Chiếm Đoạt Phiên Làm Việc và Giữ Bí Mật Hoạt Động

Sau khi nạn nhân nhấp vào các liên kết SharePoint độc hại và nhập thông tin đăng nhập trên các trang đăng nhập giả mạo, kẻ tấn công đã truy cập được vào phiên làm việc của người dùng.

Các tác nhân đe dọa ngay lập tức tạo các quy tắc hộp thư đến. Mục đích là để xóa các email đến và đánh dấu tin nhắn là đã đọc. Điều này giúp chúng duy trì sự bí mật trong khi giám sát các tài khoản bị xâm nhập.

Chiến thuật này đã ngăn nạn nhân phát hiện các hoạt động đáng ngờ hoặc nhận được các cảnh báo bảo mật, góp phần duy trì khả năng chiếm quyền điều khiển.

Mở Rộng Tấn Công: Chiến Dịch BEC Lớn

Sau khi xâm nhập ban đầu, kẻ tấn công đã phát động một chiến dịch lừa đảo quy mô lớn, vượt quá 600 email. Các email này được gửi tới các liên hệ bên trong và bên ngoài tổ chức nạn nhân.

Chiến dịch nhắm mục tiêu vào những người nhận được xác định từ các chuỗi email gần đây trong các hộp thư bị xâm nhập, mở rộng đáng kể bề mặt tấn công.

Kẻ tấn công chủ động giám sát hộp thư của nạn nhân, xóa các thông báo không gửi được và thông báo vắng mặt để tránh bị phát hiện.

Khi người nhận đặt câu hỏi về các email đáng ngờ, các tác nhân đe dọa đã trả lời từ các tài khoản bị xâm nhập để xác nhận sai tính hợp pháp, sau đó xóa các cuộc hội thoại.

Những kỹ thuật này đã giúp duy trì quyền truy cập dai dẳng trong khi nạn nhân không hề hay biết về các hoạt động đang diễn ra.

Các chuyên gia của Microsoft Defender đã xác định thêm những người dùng bị xâm nhập dựa trên địa chỉ IP đích và các mẫu đăng nhập. Điều này cho thấy phạm vi rộng lớn của chiến dịch trên nhiều tổ chức trong lĩnh vực năng lượng.

Chiến Lược Khắc Phục và An Ninh Mạng

Microsoft nhấn mạnh rằng chỉ đặt lại mật khẩu là không đủ để khắc phục các cuộc tấn công AiTM. Các tổ chức phải thu hồi các cookie phiên hoạt động, xóa các quy tắc hộp thư đến do kẻ tấn công tạo ra và đặt lại bất kỳ cài đặt MFA (Multi-Factor Authentication) nào đã bị tác nhân đe dọa sửa đổi.

Kẻ tấn công có thể duy trì quyền truy cập thông qua các cookie phiên bị đánh cắp ngay cả sau khi thay đổi mật khẩu. Điều này là do chúng có thể đăng ký các phương thức MFA thay thế bằng số điện thoại do kẻ tấn công kiểm soát.

Để tăng cường an ninh mạng, Microsoft khuyến nghị triển khai các chính sách truy cập có điều kiện. Các chính sách này đánh giá các yêu cầu đăng nhập bằng cách sử dụng các tín hiệu danh tính như vị trí IP, trạng thái thiết bị và tư cách thành viên nhóm người dùng.

Đánh giá truy cập liên tục (Continuous Access Evaluation), cài đặt bảo mật mặc định (Security Defaults) trong Azure Active Directory và các giải pháp chống lừa đảo tiên tiến cung cấp thêm các lớp bảo vệ.

Các tổ chức nên triển khai Microsoft Defender XDR. Giải pháp này giúp phát hiện các hoạt động đáng ngờ, bao gồm nhiều lần thử đăng nhập tài khoản và việc tạo quy tắc hộp thư đến độc hại. Tham khảo thêm về cuộc tấn công này tại Blog Bảo mật của Microsoft.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Các tổ chức trong lĩnh vực năng lượng cần ngay lập tức tìm kiếm các địa chỉ IP này trong nhật ký xác thực. Đồng thời, điều tra bất kỳ hoạt động đăng nhập nào liên quan để phát hiện xâm nhập.