Tấn công Phishing nghiêm trọng vượt MFA Microsoft 365
Một chiến dịch tấn công phishing tinh vi đã xuất hiện, thành công bỏ qua cơ chế xác thực đa yếu tố (MFA) bảo vệ người dùng Microsoft 365 và Okta. Điều này đặt ra một mối đe dọa nghiêm trọng cho các tổ chức dựa vào những nền tảng này để quản lý danh tính.
Chiến dịch được phát hiện vào đầu tháng 12 năm 2025, cho thấy sự hiểu biết sâu sắc về các luồng xác thực. Nó nhắm mục tiêu vào các công ty thuộc nhiều ngành nghề thông qua các email phishing được soạn thảo kỹ lưỡng, ngụy trang dưới dạng thông báo về nhân sự và phúc lợi.
Tổng Quan về Chiến Dịch Tấn Công Phishing Nâng Cao
Các nhà phân tích bảo mật từ Datadog Security Labs đã xác định chiến dịch tấn công phishing đang hoạt động này. Chiến dịch tập trung vào các tổ chức sử dụng Microsoft 365 và Okta cho các dịch vụ đăng nhập một lần (SSO).
Kỹ thuật tấn công sử dụng các phương pháp phishing hiện đại, được thiết kế để chặn các luồng công việc SSO hợp pháp. Điều này cho phép kẻ tấn công thu thập cả thông tin đăng nhập của người dùng và các token phiên.
Việc thu thập này diễn ra trước khi MFA có thể chặn quyền truy cập trái phép. Kẻ tấn công đã đăng ký nhiều tên miền giả mạo để tạo ra các bản sao thuyết phục của các trang xác thực hợp lệ.
Các Tên Miền Giả Mạo (Indicators of Compromise – IOCs)
Kẻ tấn công đã sử dụng các tên miền giả mạo để lừa người dùng:
sso.okta-secure.iosso.okta-cloud.comsso.okta-access.com
Các email phishing được gửi từ các hộp thư bị xâm nhập, liên kết với Salesforce Marketing Cloud. Chúng sử dụng các mồi nhử tập trung vào lương thưởng, như đánh giá lương cuối năm và thông tin tiền thưởng.
Các thư này bao gồm các liên kết rút gọn, chuyển hướng nạn nhân đến các tên miền phishing giai đoạn đầu được lưu trữ trên hạ tầng Cloudflare. Hàng trăm người dùng trên nhiều công ty đã nhận được các email này trong những tuần gần đây, và chiến dịch vẫn đang hoạt động tính đến tháng 12 năm 2025.
Cơ Chế Tấn Công và Kỹ Thuật MFA Bypass
Cuộc tấn công thành công thông qua một quy trình phishing hai giai đoạn, tận dụng kỹ thuật thu thập thông tin đăng nhập dựa trên JavaScript. Ở giai đoạn đầu, kẻ tấn công đóng vai trò proxy các trang Okta hợp pháp. Đồng thời, chúng chèn mã độc để thu thập tên người dùng và theo dõi các cookie phiên.
Thu Thập Cookie Phiên và JavaScript Injection
Script được chèn, có tên là inject.js, liên tục giám sát các cookie quan trọng cụ thể. Các cookie này bao gồm idx, JSESSIONID, proximity_, DT và sid, tất cả đều cần thiết để duy trì các phiên xác thực.
Mỗi giây, script kiểm tra các cookie mới hoặc đã sửa đổi và gửi chúng đến máy chủ của kẻ tấn công thông qua một yêu cầu POST tới endpoint /log_cookie. Điều này cho phép kẻ tấn công mạo danh phiên của nạn nhân trong trình duyệt của chính họ.
Sự tinh vi về mặt kỹ thuật nằm ở cách chặn JavaScript hoạt động trong quá trình xác thực. Mã độc này móc vào phương thức window.fetch, chuyển hướng tất cả các yêu cầu hợp pháp từ Okta trở lại tên miền phishing của kẻ tấn công.
Khi nạn nhân nhập tên người dùng của họ, script sẽ thu thập nó thông qua các trình lắng nghe sự kiện DOM. Thông tin này được lưu trữ ở nhiều vị trí, bao gồm localStorage, sessionStorage và cookies.
Điều này đảm bảo rằng thông tin đăng nhập được thu thập ngay cả khi người dùng điều hướng giữa các trang hoặc xóa bộ nhớ trình duyệt. Đây là một điểm mạnh của chiến dịch tấn công phishing này, giúp nó trở nên bền bỉ hơn.
Tấn Công Microsoft 365 qua Okta
Đối với các nạn nhân sử dụng Okta làm nhà cung cấp danh tính với Microsoft 365, cuộc tấn công trở nên nguy hiểm hơn. Khi nạn nhân bắt đầu xác thực Microsoft 365, một script thứ hai được chèn sẽ giám sát các phản hồi từ endpoint xác thực của Microsoft.
Script tìm kiếm một trường có tên FederationRedirectUrl. Nó phát hiện khi URL này trỏ đến một tên miền Okta và tự động sửa đổi nó để chuyển hướng đến trang phishing Okta giai đoạn hai của kẻ tấn công.
Tên miền của kẻ tấn công sau đó đóng vai trò proxy cho tất cả lưu lượng truy cập đến tenant Okta hợp pháp. Điều này tạo ra một trải nghiệm liền mạch, lừa người dùng hoàn tất xác thực trên trang web phishing.
Các cookie phiên được thu thập trong quá trình này cấp cho kẻ tấn công quyền truy cập ngay lập tức vào tài khoản nạn nhân. Điều này không yêu cầu việc phá vỡ MFA — kẻ tấn công chỉ đơn giản là sử dụng lại các thông tin đăng nhập phiên đã bị đánh cắp.
Phát Hiện và Phòng Ngừa Hiệu Quả Trước Tấn Công Phishing
Các tổ chức nên giám sát nhật ký Okta của họ để tìm các sự kiện auth_via_mfa với nguồn yêu cầu không khớp từ địa chỉ IP của Cloudflare. Việc này giúp phát hiện sớm các dấu hiệu xâm nhập của chiến dịch tấn công phishing.
Để ngăn chặn các cuộc tấn công như vậy, việc triển khai các phương pháp MFA bypass chống phishing là rất cần thiết. Ví dụ, sử dụng các khóa bảo mật FIDO2 sẽ cung cấp khả năng bảo vệ mạnh mẽ hơn.
Việc nâng cao nhận thức người dùng và đào tạo về các dấu hiệu của tấn công phishing cũng đóng vai trò quan trọng. Tổ chức cần đảm bảo người dùng có khả năng nhận diện các email lừa đảo và tên miền giả mạo.
Để biết thêm chi tiết kỹ thuật về chiến dịch này, bạn có thể tham khảo bài viết từ Datadog Security Labs: Investigating an AiTM Phishing Campaign Targeting M365 and Okta.
