Microsoft đang kêu gọi các tổ chức tăng cường bảo mật Microsoft Teams khi các tác nhân đe dọa ngày càng lạm dụng các tính năng cộng tác tích hợp sẵn như trò chuyện, cuộc họp, thoại/video, chia sẻ màn hình và tích hợp ứng dụng. Những hành vi này nhằm mục đích đạt được quyền truy cập ban đầu, duy trì sự hiện diện, di chuyển ngang và đánh cắp dữ liệu, tạo ra mối đe dọa mạng đáng kể.

Mặc dù Sáng kiến Tương lai An toàn của Microsoft (Microsoft’s Secure Future Initiative) đã tăng cường các cài đặt mặc định, việc phòng thủ hiệu quả đòi hỏi phải tinh chỉnh chủ động các biện pháp kiểm soát về danh tính, điểm cuối, dữ liệu/ứng dụng và mạng. Điều này cần dựa trên các kỹ thuật tấn công thực tế được quan sát thấy trong nhiều chiến dịch.

Các Giai đoạn Tấn công Phổ biến nhắm vào Microsoft Teams

Giai đoạn 1: Trinh sát (Reconnaissance)

Các tác nhân đe dọa khởi đầu bằng việc thu thập thông tin trinh sát. Họ liệt kê người dùng, nhóm, kênh, cấu hình tenant và các chính sách giữa các tenant. Quá trình này thường được thực hiện thông qua Microsoft Graph và các công cụ mã nguồn mở.

Các cài đặt như khả năng hiển thị trạng thái, quyền truy cập bên ngoài, cộng tác đa tenant và cài đặt khách/ẩn danh có thể tiết lộ tín hiệu quan trọng. Điều này xảy ra khi các hạn chế về quyền riêng tư và liên kết không chặt chẽ.

Những kẻ tấn công lập bản đồ các mối quan hệ, đặc quyền và mức độ cho phép liên lạc bên ngoài. Mục đích là để tạo ra các mồi nhử kỹ thuật xã hội và lừa đảo có mục tiêu cao.

Giai đoạn 2: Phát triển Tài nguyên và Mạo danh (Resource Development & Pretexting)

Để phát triển tài nguyên và tạo cớ, các tác nhân ngày càng vũ khí hóa các tenant Entra ID hợp pháp, tên miền tùy chỉnh và tài sản thương hiệu. Chúng sử dụng chúng để mạo danh bộ phận hỗ trợ nội bộ hoặc bộ phận IT.

Kẻ tấn công lên lịch các cuộc họp Teams riêng tư, tận dụng thoại/video và chia sẻ màn hình. Họ kết hợp điều này với các cuộc gọi vishing qua điện thoại để tăng độ tin cậy của chiêu trò.

Các chiến dịch gần đây phản ánh quy trình này, với việc các tác nhân giả mạo quy trình làm việc của IT. Họ tạo các thông báo tự động giả mạo và sử dụng thương hiệu giống Teams để phát tán công cụ đánh cắp thông tin xác thực, công cụ truy cập từ xa và các bộ tải cho các hoạt động ransomware. Đây là một hình thức tấn công mạng tinh vi.

Giai đoạn 3: Tiếp cận Ban đầu (Initial Access)

Quyền truy cập ban đầu thường dựa vào kỹ thuật xã hội qua chat và cuộc họp của Teams. Các kỹ thuật bao gồm phân phối công cụ RMM (Remote Monitoring and Management), hướng người dùng đến các trang web tải xuống tự động, hoặc gửi các payload như DarkGate dưới vỏ bọc hỗ trợ kỹ thuật.

Quảng cáo độc hại (Malvertising) cũng đã được sử dụng để phân phối các trình cài đặt Teams giả mạo. Những trình cài đặt này triển khai các công cụ đánh cắp thông tin (information stealers), đặt ra thách thức nghiêm trọng cho bảo mật Microsoft Teams.

Các tác nhân khai thác các luồng xác thực thích ứng và hiện tượng mệt mỏi MFA (MFA fatigue). Họ ghi danh các yếu tố thay thế hoặc đánh cắp token thông qua lừa đảo mã thiết bị để chiếm quyền phiên và duy trì quyền truy cập.

Giai đoạn 4: Duy trì Quyền Truy cập (Persistence)

Sau khi xâm nhập, sự duy trì có thể được thiết lập bằng cách lạm dụng các phím tắt khởi động, các tính năng trợ năng, hoặc thêm người dùng khách và thông tin xác thực vào tài khoản Teams. Với các refresh token hợp lệ, các tác nhân có thể mạo danh người dùng qua Teams API, yêu cầu OAuth token và liệt kê các ứng dụng, tệp tin và cuộc hội thoại.

Giai đoạn 5: Khám phá Hệ thống (Discovery)

Giai đoạn khám phá bao gồm việc liệt kê các cấu hình, vai trò, nhóm và thiết bị của Entra. Một số tác nhân được nhà nước hậu thuẫn đã truy cập các ứng dụng khách web của Teams và gửi các tệp ZIP để khám phá sâu hơn trong miền.

Giai đoạn 6: Di chuyển Ngang (Lateral Movement)

Di chuyển ngang có thể xảy ra từ các vai trò quản trị viên bị xâm phạm hoặc bằng cách lạm dụng các cài đặt liên lạc bên ngoài và tin cậy tenant. Các tác nhân đã mạo danh nhân viên IT trên các tổ chức để đạt được quyền truy cập từ xa và mở rộng quyền kiểm soát.

Giai đoạn 7: Thu thập Dữ liệu (Collection)

Giai đoạn thu thập tập trung vào các cuộc trò chuyện, kênh Teams và dữ liệu liên kết trong OneDrive/SharePoint. Các công cụ có khả năng xuất các cuộc hội thoại và ngữ cảnh liên quan đã được sử dụng để trích xuất thông tin.

Giai đoạn 8: Điều khiển và Kiểm soát (Command & Control)

Đối với điều khiển và kiểm soát, kẻ tấn công ẩn các thông tin liên lạc trong tin nhắn Teams, adaptive cards hoặc luồng webhook. Chúng có thể lợi dụng quyền truy cập từ xa hợp pháp để tương tác điều khiển, dẫn đến chiếm quyền điều khiển hệ thống.

Chiến lược Củng cố Bảo mật Microsoft Teams

Để tăng cường bảo mật Microsoft Teams và đối phó với các mối đe dọa ngày càng tăng, các tổ chức cần triển khai một chiến lược bảo mật đa lớp.

Tăng cường Kiểm soát Danh tính và Truy cập

• Chính sách truy cập có điều kiện: Triển khai các chính sách truy cập có điều kiện để giới hạn quyền truy cập dựa trên vị trí, thiết bị và trạng thái tuân thủ.
• Xác thực đa yếu tố (MFA): Bắt buộc sử dụng MFA cho tất cả người dùng, đặc biệt là tài khoản quản trị viên, và cảnh giác với các cuộc tấn công MFA fatigue.
• Quản lý người dùng khách và cộng tác bên ngoài: Rà soát và giới hạn quyền hạn của người dùng khách. Thiết lập các chính sách rõ ràng cho việc cộng tác bên ngoài để tránh rủi ro bảo mật tiềm ẩn.

Giám sát và Phát hiện Sớm

• Kiểm toán liên tục các vai trò quản trị: Liên tục kiểm tra và điều chỉnh các vai trò quản trị viên để đảm bảo nguyên tắc đặc quyền tối thiểu được tuân thủ.
• Giám sát tín hiệu cụ thể của Teams: Chủ động giám sát các tín hiệu bất thường trong Teams. Bao gồm lời mời họp đáng ngờ, các mẫu liên hệ chat nhanh chóng, hoạt động bot/ứng dụng không mong đợi và quyền truy cập trạng thái hiện diện (presence) bất thường.
• Phát hiện xâm nhập: Sử dụng các hệ thống phát hiện xâm nhập (IDS) và các giải pháp SIEM để phân tích nhật ký và cảnh báo về các hoạt động đáng ngờ.

Phản ứng và Đối phó

• Kế hoạch ứng phó sự cố: Chuẩn bị sẵn kế hoạch ứng phó sự cố chi tiết để nhanh chóng phát hiện, ngăn chặn và khắc phục các cuộc tấn công liên quan đến Teams.
• Cập nhật và vá lỗi định kỳ: Đảm bảo tất cả các ứng dụng Microsoft Teams và các thành phần liên quan được cập nhật liên tục với các bản vá bảo mật mới nhất để giảm thiểu các lỗ hổng zero-day và các điểm yếu đã biết.
• Đào tạo nhận thức bảo mật: Đào tạo người dùng về các mối đe dọa kỹ thuật xã hội, lừa đảo và cách nhận biết các dấu hiệu của một cuộc tấn công. Đây là một phần quan trọng để duy trì bảo mật Microsoft Teams toàn diện.