Các nhà nghiên cứu an ninh mạng tại Proofpoint vừa đưa ra cảnh báo về một chiến dịch lừa đảo tinh vi đang nhắm vào người dùng doanh nghiệp sử dụng nền tảng Microsoft 365. Không chỉ giả mạo các ứng dụng phổ biến như SharePoint, Adobe hay DocuSign, chiến dịch này còn tận dụng các kỹ thuật tấn công mới, có khả năng vượt qua cả xác thực đa yếu tố (MFA) - vốn được coi là lớp phòng thủ mạnh mẽ nhất hiện nay.
Đáng lo ngại hơn, chiến dịch này đã ảnh hưởng tới gần 3.000 tài khoản người dùng tại hơn 900 môi trường Microsoft 365, với tỷ lệ xâm nhập thành công lên tới trên 50%.
Theo phân tích của Proofpoint, các cuộc tấn công này được thực hiện bởi các nhóm tin tặc chuyên nghiệp, sử dụng nền tảng Phishing-as-a-Service (PhaaS) Tycoon - một dịch vụ hỗ trợ tội phạm mạng tạo ra các chiến dịch lừa đảo tự động. Chúng tạo ra các ứng dụng Microsoft OAuth giả mạo, đóng vai các ứng dụng phổ biến như RingCentral, SharePoint, Adobe, DocuSign hay ILSMart (dịch vụ kho vận ngành hàng không - quốc phòng).
Người dùng khi truy cập sẽ nhận được yêu cầu cấp quyền truy cập OAuth từ các ứng dụng giả mạo, như: Xem hồ sơ cơ bản hay Duy trì quyền truy cập vào dữ liệu đã cấp quyền. Tuy đơn giản và tưởng như vô hại, nhưng các quyền này đủ để tội phạm giành được quyền truy cập liên tục vào tài khoản.
Chiến dịch này không chỉ dừng lại ở việc tạo ứng dụng giả. Tin tặc còn sử dụng kỹ thuật Attacker-in-the-Middle (AiTM), đưa nạn nhân vào các trang đăng nhập Microsoft giả mạo, cho dù họ chọn “đồng ý” hay “hủy” yêu cầu quyền truy cập. Các trang giả này thu thập đồng thời cả mật khẩu và mã phiên đăng nhập (session token) - đủ để đăng nhập mà không cần mã xác thực 2 bước.
Trong một ví dụ điển hình, một ứng dụng giả mạo ILSMart (một công cụ kho vận ngành hàng không) được tạo ra để nhắm đến các công ty quốc phòng và hàng không, cho thấy mức độ tùy biến theo từng ngành của tin tặc.
Các ứng dụng OAuth giả mạo đều có mẫu URL phản hồi (reply URL) và phạm vi yêu cầu (OAuth scopes) tương tự nhau, dấu hiệu cho thấy được tạo hàng loạt theo mẫu.
Sau khi chiếm quyền, tin tặc thường thực hiện hành động “Security Method Add", nghĩa là chúng thêm phương thức xác thực mới để duy trì truy cập, một cách để thiết lập tính bền vững (persistence) cho việc kiểm soát tài khoản.
Một dấu hiệu kỹ thuật khác: user-agent axios/1.7.9 xuất hiện trong các truy cập bị chiếm quyền, cho thấy công cụ Tycoon được dùng làm nền tảng thực thi tấn công.
Chiến dịch này có quy mô rộng trên nhiều lĩnh vực, với hơn 50 ứng dụng bị giả mạo, gửi qua hàng loạt chiến dịch email. Kết quả: 3.000 tài khoản bị ảnh hưởng trên hơn 900 doanh nghiệp, với tỷ lệ thành công vượt mức 50% (con số đáng lo ngại trong bối cảnh nhiều tổ chức vẫn phụ thuộc vào bảo mật đa lớp như MFA).
Trước diễn biến phức tạp, Microsoft đã thông báo các thay đổi quan trọng trong chính sách bảo mật, bắt đầu áp dụng từ tháng 7 đến hết tháng 8/2025:
Đáng lo ngại hơn, chiến dịch này đã ảnh hưởng tới gần 3.000 tài khoản người dùng tại hơn 900 môi trường Microsoft 365, với tỷ lệ xâm nhập thành công lên tới trên 50%.
Theo phân tích của Proofpoint, các cuộc tấn công này được thực hiện bởi các nhóm tin tặc chuyên nghiệp, sử dụng nền tảng Phishing-as-a-Service (PhaaS) Tycoon - một dịch vụ hỗ trợ tội phạm mạng tạo ra các chiến dịch lừa đảo tự động. Chúng tạo ra các ứng dụng Microsoft OAuth giả mạo, đóng vai các ứng dụng phổ biến như RingCentral, SharePoint, Adobe, DocuSign hay ILSMart (dịch vụ kho vận ngành hàng không - quốc phòng).
Người dùng khi truy cập sẽ nhận được yêu cầu cấp quyền truy cập OAuth từ các ứng dụng giả mạo, như: Xem hồ sơ cơ bản hay Duy trì quyền truy cập vào dữ liệu đã cấp quyền. Tuy đơn giản và tưởng như vô hại, nhưng các quyền này đủ để tội phạm giành được quyền truy cập liên tục vào tài khoản.
Chiến dịch này không chỉ dừng lại ở việc tạo ứng dụng giả. Tin tặc còn sử dụng kỹ thuật Attacker-in-the-Middle (AiTM), đưa nạn nhân vào các trang đăng nhập Microsoft giả mạo, cho dù họ chọn “đồng ý” hay “hủy” yêu cầu quyền truy cập. Các trang giả này thu thập đồng thời cả mật khẩu và mã phiên đăng nhập (session token) - đủ để đăng nhập mà không cần mã xác thực 2 bước.
Các ứng dụng OAuth giả mạo đều có mẫu URL phản hồi (reply URL) và phạm vi yêu cầu (OAuth scopes) tương tự nhau, dấu hiệu cho thấy được tạo hàng loạt theo mẫu.
Sau khi chiếm quyền, tin tặc thường thực hiện hành động “Security Method Add", nghĩa là chúng thêm phương thức xác thực mới để duy trì truy cập, một cách để thiết lập tính bền vững (persistence) cho việc kiểm soát tài khoản.
Một dấu hiệu kỹ thuật khác: user-agent axios/1.7.9 xuất hiện trong các truy cập bị chiếm quyền, cho thấy công cụ Tycoon được dùng làm nền tảng thực thi tấn công.
Chiến dịch này có quy mô rộng trên nhiều lĩnh vực, với hơn 50 ứng dụng bị giả mạo, gửi qua hàng loạt chiến dịch email. Kết quả: 3.000 tài khoản bị ảnh hưởng trên hơn 900 doanh nghiệp, với tỷ lệ thành công vượt mức 50% (con số đáng lo ngại trong bối cảnh nhiều tổ chức vẫn phụ thuộc vào bảo mật đa lớp như MFA).
Trước diễn biến phức tạp, Microsoft đã thông báo các thay đổi quan trọng trong chính sách bảo mật, bắt đầu áp dụng từ tháng 7 đến hết tháng 8/2025:
- Chặn các giao thức xác thực cũ (legacy authentication)
- Yêu cầu quản trị viên phê duyệt quyền truy cập cho bên thứ ba
- Triển khai giải pháp bảo mật email nâng cao
- Giám sát truy cập đám mây và hành vi bất thường
- Cô lập trình duyệt hoặc sử dụng môi trường bảo mật web riêng biệt.
- Đào tạo nhận thức bảo mật cho nhân viên, đặc biệt trong nhận biết ứng dụng giả mạo.
- Ưu tiên sử dụng khóa bảo mật vật lý (FIDO key)
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview