Tháp rơi tự do
Intern Writer
Mới đây, các nhà nghiên cứu bảo mật của Microsoft Defender đã phát hiện một chiến dịch tấn công nguy hiểm sử dụng công nghệ AiTM (Advanced in-the-Middle) nhằm đánh cắp thông tin đăng nhập từ nhiều công ty năng lượng lớn. Kỹ thuật tấn công này, kết hợp với các phương pháp kỹ thuật lừa đảo, đã cho phép tin tặc vượt qua hệ thống bảo mật và xâm nhập vào các tài khoản email của nhân viên công ty mục tiêu.
Tin tặc sử dụng tài khoản xâm phạm để gửi email lừa đảo ngụy trang dưới dạng tài liệu được chia sẻ qua SharePoint. Khi nạn nhân nhấp vào liên kết trong email, họ sẽ bị chuyển hướng tới một trang web giả mạo, yêu cầu họ nhập thông tin đăng nhập. Kết quả là thông tin đăng nhập, mật khẩu và cookie phiên của nạn nhân bị đánh cắp.
Tình huống trở nên nghiêm trọng hơn khi tin tặc tiếp tục theo dõi các tài khoản bị xâm nhập, xóa thông báo lỗi và thư trả lời tự động "đang làm việc ngoài giờ", nhằm che giấu dấu vết. Nếu nạn nhân nghi ngờ và liên hệ với tin tặc, chúng sẽ giả mạo nạn nhân và phủ nhận mọi hành động bất thường, xóa lịch sử trò chuyện liên quan.
Các công ty cần phải nâng cao cảnh giác với các chiến dịch tấn công này, đặc biệt trong các ngành có mục tiêu quan trọng như năng lượng, và liên tục kiểm tra, cập nhật các biện pháp bảo mật để ngăn ngừa các mối đe dọa ngày càng tinh vi.
Quá trình tấn công
Các tin tặc sử dụng phương pháp tấn công xã hội (social engineering) để lấy quyền truy cập vào một tài khoản "ID người dùng số 0", tài khoản này sau đó trở thành công cụ để tấn công vào các tài khoản email khác trong công ty, vượt qua xác thực đa yếu tố (MFA).Tin tặc sử dụng tài khoản xâm phạm để gửi email lừa đảo ngụy trang dưới dạng tài liệu được chia sẻ qua SharePoint. Khi nạn nhân nhấp vào liên kết trong email, họ sẽ bị chuyển hướng tới một trang web giả mạo, yêu cầu họ nhập thông tin đăng nhập. Kết quả là thông tin đăng nhập, mật khẩu và cookie phiên của nạn nhân bị đánh cắp.
Những hành động tiếp theo của tin tặc
Sau khi xâm nhập thành công vào nhiều tài khoản, tin tặc thiết lập các quy tắc email tự động để xóa các email đến và đánh dấu tất cả hộp thư là đã đọc, qua đó che giấu hoạt động bất thường. Những kẻ tấn công tiếp tục gửi đến 600 email lừa đảo từ các tài khoản bị xâm nhập, tạo ra một chuỗi các cuộc tấn công lừa đảo.Tình huống trở nên nghiêm trọng hơn khi tin tặc tiếp tục theo dõi các tài khoản bị xâm nhập, xóa thông báo lỗi và thư trả lời tự động "đang làm việc ngoài giờ", nhằm che giấu dấu vết. Nếu nạn nhân nghi ngờ và liên hệ với tin tặc, chúng sẽ giả mạo nạn nhân và phủ nhận mọi hành động bất thường, xóa lịch sử trò chuyện liên quan.
Phản ứng của Microsoft và các khuyến cáo
Microsoft đã đưa ra khuyến cáo về các bước cần thực hiện để bảo vệ các công ty bị ảnh hưởng. Công ty nhấn mạnh rằng các doanh nghiệp cần thu hồi tất cả các cookie phiên bị đánh cắp, xóa các quy tắc email mà tin tặc thiết lập và kiểm tra sự thay đổi bất thường trong các cài đặt xác thực đa yếu tố. Đặc biệt, Microsoft cảnh báo rằng việc đặt lại mật khẩu đơn thuần sẽ không đủ để giải quyết vấn đề nếu kẻ tấn công đã vượt qua xác thực đa yếu tố và đánh cắp cookie phiên.Các công ty cần phải nâng cao cảnh giác với các chiến dịch tấn công này, đặc biệt trong các ngành có mục tiêu quan trọng như năng lượng, và liên tục kiểm tra, cập nhật các biện pháp bảo mật để ngăn ngừa các mối đe dọa ngày càng tinh vi.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview