Nguy hiểm: Tấn công Outlook qua Add-in độc hại

Các nhà nghiên cứu bảo mật đã phát hiện trường hợp đầu tiên được ghi nhận về việc một tiện ích bổ sung (add-in) độc hại của Microsoft Outlook bị sử dụng để thực hiện một cuộc tấn công mạng nhắm vào người dùng trong thực tế. Sự việc này làm nổi bật một lỗ hổng trong quy trình quản lý vòng đời phần mềm, đặc biệt là các tiện ích bên thứ ba được tích hợp vào các nền tảng đáng tin cậy.

Nội dung

Mô Tả Cuộc Tấn Công và Phương Thức Khai Thác

Từ Công Cụ Hợp Pháp đến Công Cụ Lừa Đảo

Cơ Chế Khai Thác Kiến Trúc Add-in

Hậu Quả và Phạm Vi Thiệt Hại

Thu Thập Thông Tin Nhạy Cảm

Quyền Hạn của Add-in và Mục Tiêu Tấn Công

Phân Tích Rủi Ro Chuỗi Cung Ứng

Rủi Ro Bỏ Sót Hạ Tầng

Các Biện Pháp Phòng Ngừa và Nâng Cao Bảo Mật Outlook

Các Chỉ Số Thỏa Hiệp Quan Trọng (IOCs)

Mô Tả Cuộc Tấn Công và Phương Thức Khai Thác

Từ Công Cụ Hợp Pháp đến Công Cụ Lừa Đảo

Add-in AgreeTo, một công cụ lập lịch cuộc họp bị chiếm đoạt, đã được sử dụng để đánh cắp hơn 4.000 thông tin xác thực tài khoản Microsoft, số thẻ tín dụng và câu trả lời cho các câu hỏi bảo mật ngân hàng. Ban đầu, AgreeTo là một dự án mã nguồn mở hợp pháp được xuất bản lên Microsoft Office Add-in Store vào tháng 12 năm 2022. Nó hoạt động như một công cụ lập lịch họp đầy đủ chức năng và nhận được nhiều đánh giá tích cực.

Tuy nhiên, nhà phát triển cuối cùng đã từ bỏ dự án và xóa triển khai Vercel liên quan. Điều này khiến URL lưu trữ của add-in (outlook-one.vercel.app) bị bỏ trống và có sẵn để đăng ký lại. Một kẻ tấn công đã nhanh chóng chiếm quyền kiểm soát URL này và triển khai một bộ công cụ lừa đảo (phishing kit) tại đây.

Do add-in này chưa bao giờ bị gỡ khỏi kho ứng dụng của Microsoft, trang lừa đảo của kẻ tấn công đã được phục vụ trực tiếp trong thanh bên đáng tin cậy của Outlook. Điều này ảnh hưởng đến bất kỳ ai vẫn cài đặt add-in hoặc tải xuống mới, tạo ra một kênh phân phối độc hại được che giấu một cách hiệu quả.

Cơ Chế Khai Thác Kiến Trúc Add-in

Cuộc tấn công này đã khai thác kiến trúc của các add-in Office. Không giống như phần mềm truyền thống được cài đặt cục bộ, add-in là các “phụ thuộc động từ xa” (remote dynamic dependencies), về cơ bản là các tệp kê khai XML tải một URL trong một iframe. Khi nạn nhân mở AgreeTo, họ sẽ được yêu cầu đăng nhập.

Một tập lệnh sau đó thu thập thông tin xác thực và địa chỉ IP của họ, gửi dữ liệu này cho kẻ tấn công thông qua một bot Telegram. Chiến dịch này được khám phá bởi Koi Security sau khi họ xác định được kênh lấy dữ liệu ra ngoài kém bảo mật của kẻ tấn công. Koi Security đã khôi phục toàn bộ bộ dữ liệu của 4.000 nạn nhân.

Hậu Quả và Phạm Vi Thiệt Hại

Thu Thập Thông Tin Nhạy Cảm

Dữ liệu bị thu thập bao gồm các chi tiết ngân hàng và câu trả lời bảo mật nhắm mục tiêu vào các tổ chức tài chính Canada. Sự việc này là một minh chứng rõ ràng về nguy cơ rò rỉ dữ liệu nhạy cảm thông qua các kênh không ngờ tới, đặc biệt khi kẻ tấn công có thể lợi dụng sự tin cậy của người dùng vào các nền tảng chính thức.

Quyền Hạn của Add-in và Mục Tiêu Tấn Công

Add-in AgreeTo có quyền “ReadWriteItem”, về mặt kỹ thuật, cho phép kẻ tấn công đọc và sửa đổi email của người dùng. Tuy nhiên, trọng tâm chính của cuộc tấn công là thu thập thông tin xác thực. Microsoft đã gỡ bỏ add-in này sau khi nhận được báo cáo về sự việc.

Phân Tích Rủi Ro Chuỗi Cung Ứng

Rủi Ro Bỏ Sót Hạ Tầng

Sự cố này làm nổi bật một rủi ro chuỗi cung ứng nghiêm trọng: phần mềm được tin cậy có thể ngấm ngầm trở thành độc hại nhiều năm sau khi được phê duyệt nếu cơ sở hạ tầng của nó bị bỏ rơi. Các ứng dụng tưởng chừng vô hại có thể trở thành cổng vào cho các cuộc tấn công tinh vi nếu không có sự giám sát liên tục và chặt chẽ đối với vòng đời của chúng.

Việc một tên miền liên kết với một add-in đã được phê duyệt bị bỏ trống và sau đó bị đăng ký lại bởi kẻ tấn công là một kịch bản rủi ro cao. Nó cho thấy rằng ngay cả những biện pháp kiểm soát bảo mật ban đầu cũng không đủ để bảo vệ lâu dài nếu các yếu tố bên ngoài (như trạng thái của tên miền) không được quản lý cẩn thận.

Các Biện Pháp Phòng Ngừa và Nâng Cao Bảo Mật Outlook

Để giảm thiểu các rủi ro tương tự, các tổ chức và người dùng cần thực hiện các biện pháp sau:

Kiểm tra định kỳ các Add-in: Thường xuyên rà soát và đánh giá các add-in đang được cài đặt trong môi trường Outlook. Xóa bỏ những add-in không còn được sử dụng hoặc có nguồn gốc không rõ ràng.
Giám sát lưu lượng mạng: Triển khai các hệ thống giám sát lưu lượng mạng (IDS/IPS) để phát hiện các mẫu truyền dữ liệu bất thường hoặc exfiltration đến các địa chỉ không đáng tin cậy, đặc biệt là từ các ứng dụng tích hợp.
Đào tạo nhận thức người dùng: Huấn luyện người dùng về các mối đe dọa lừa đảo (phishing), đặc biệt là những hình thức lừa đảo tinh vi xuất hiện trong các giao diện ứng dụng quen thuộc. Luôn cảnh giác với các yêu cầu đăng nhập không mong muốn, ngay cả trong các ứng dụng đáng tin cậy.
Quản lý quyền hạn Add-in: Hiểu rõ các quyền mà một add-in yêu cầu trước khi cài đặt. Hạn chế cấp quyền truy cập không cần thiết vào dữ liệu nhạy cảm.
Sử dụng xác thực đa yếu tố (MFA): Áp dụng MFA cho tất cả các tài khoản, đặc biệt là tài khoản Microsoft, để tăng cường bảo mật Outlook và bảo vệ chống lại việc đánh cắp thông tin xác thực.
Chính sách gỡ bỏ add-in: Các nhà cung cấp nền tảng cần có chính sách rõ ràng và tự động để gỡ bỏ các add-in mà cơ sở hạ tầng hỗ trợ của chúng đã bị bỏ rơi hoặc không còn hoạt động.

Các Chỉ Số Thỏa Hiệp Quan Trọng (IOCs)

Mặc dù không có danh sách IOCs chi tiết như địa chỉ IP của máy chủ C2 hay hàm băm của các tệp độc hại được công bố, các chỉ số sau đây đã được xác định:

URL bị chiếm đoạt: outlook-one.vercel.app
Kênh lấy dữ liệu (Exfiltration Channel): Bot Telegram

Việc theo dõi các truy cập đến URL này hoặc phát hiện lưu lượng truy cập đáng ngờ đến các API của Telegram từ các máy trạm không ủy quyền có thể là dấu hiệu của sự thỏa hiệp.