Một chiến dịch tấn công phishing tinh vi mới được phát hiện vào đầu tháng 2 năm 2025 đang thành công vượt qua các cổng bảo mật email (Secure Email Gateways – SEGs) và né tránh các lớp phòng thủ ngoại vi. Cuộc tấn công này sử dụng sự kết hợp khéo léo giữa lựa chọn tên miền ngẫu nhiên, tạo UUID động và thao tác phiên duyệt web để đạt được mục tiêu đánh cắp thông tin xác thực.

Kỹ thuật này tận dụng một đoạn mã JavaScript chuyên biệt được nhúng trong các tệp đính kèm độc hại và các nền tảng cộng tác đám mây giả mạo, gây khó khăn đặc biệt cho các công cụ bảo mật truyền thống trong việc phát hiện và chặn. Cofense Intelligence đã xác định mối đe dọa nâng cao này là một phần của chiến dịch liên tục, thể hiện sự phát triển đáng kể trong các chiến thuật đánh cắp thông tin xác thực, đòi hỏi sự chú ý ngay lập tức từ các chuyên gia bảo mật và các tổ chức trên toàn thế giới.

Phân Tích Cơ Chế Tấn Công Phishing Đột Phá

Không giống như các kịch bản phishing thông thường dựa vào việc thử lại tên miền dư thừa và chuyển hướng tĩnh, mối đe dọa này áp dụng ba chiến thuật nổi bật. Những chiến thuật này thay đổi cơ bản cách các nhà phòng thủ phải tiếp cận bảo mật email và phản ứng trước các cuộc tấn công. Việc hiểu rõ các cơ chế này là điều cần thiết để các tổ chức củng cố khả năng phòng thủ chống lại một bối cảnh mối đe dọa ngày càng tinh vi.

Chiến Thuật UUID Kép: Theo Dõi Nạn Nhân Chi Tiết

Cốt lõi của chiến dịch tấn công phishing này là phương pháp UUID kép bất thường, thể hiện sự tinh vi đáng kể trong việc theo dõi và quản lý nạn nhân. Phân tích kịch bản cho thấy nó bắt đầu bằng việc tải thư viện jQuery từ một nguồn hợp pháp như cdnjs.cloudflare.com. Đây là một công cụ web phổ biến được sử dụng để thao tác các thành phần trang web một cách âm thầm trong nền, giúp kẻ tấn công che giấu hoạt động độc hại.

Kịch bản độc hại tạo ra hai định danh riêng biệt để đạt được khả năng theo dõi kép. Đầu tiên là một UUID chiến dịch được mã hóa cứng, cụ thể là 6fafd0343-d771-4987-a760-25e5b31b44f, được sử dụng để theo dõi tiến độ và hiệu quả tổng thể của chiến dịch. Thứ hai là một UUID phiên động, được tạo ra riêng cho từng nạn nhân, nhằm giám sát hành vi và tương tác của cá nhân đó.

Cơ chế theo dõi kép này mô phỏng hoạt động của các giao diện lập trình ứng dụng (APIs) hợp pháp, khiến nó khó bị phát hiện bởi các hệ thống bảo mật truyền thống. Bằng cách sử dụng hai loại định danh này, các tác nhân đe dọa có thể đối chiếu chính xác các thông tin xác thực bị đánh cắp với các nạn nhân cụ thể. Đồng thời, họ vẫn có khả năng duy trì phân tích cấp độ chiến dịch rộng hơn để tối ưu hóa các cuộc tấn công trong tương lai.

Cách tiếp cận này chưa từng có trong khả năng cung cấp theo dõi nạn nhân chi tiết, từng bước, trong khi vẫn duy trì an ninh hoạt động cho kẻ tấn công. Điều này làm cho việc giải mã cơ sở hạ tầng hoặc mô hình tấn công trở nên khó khăn hơn đối với các nhà nghiên cứu bảo mật, cho thấy một tác nhân đe dọa có nguồn lực tốt với khả năng kỹ thuật tiên tiến.

UUID được mã hóa cứng có thể đóng vai trò là điểm đánh dấu cho một chiến dịch cụ thể hoặc một nhóm mục tiêu, ngụ ý rằng kịch bản này có thể là một phần của một gói tấn công có thể tái sử dụng. Nó được thiết kế để triển khai trên nhiều chiến dịch tấn công phishing với các thương hiệu giả mạo khác nhau, cho phép kẻ tấn công tối đa hóa lợi tức đầu tư phát triển của mình.

Lựa Chọn Tên Miền .org Ngẫu Nhiên và Tối Ưu Hóa Né Tránh

Thay vì sử dụng phương pháp chuyển đổi dự phòng đa tên miền truyền thống, vốn là dấu hiệu dễ nhận biết của nhiều cuộc tấn công phishing, kịch bản này chọn một tên miền .org ngẫu nhiên duy nhất. Tên miền này được lấy từ một danh sách chín tên miền dường như ngẫu nhiên và không có từ ngữ, được mã hóa cứng trong mã độc.

Chiến thuật bất thường này giảm đáng kể lưu lượng mạng và giảm thiểu các dấu hiệu báo động mà các hệ thống phát hiện xâm nhập (IDS) thường gắn cờ. Thông thường, các IDS sẽ phát hiện nhiều yêu cầu thất bại đến các tên miền khác nhau, cho thấy một hoạt động đáng ngờ. Bằng cách loại bỏ logic chuyển đổi dự phòng và dựa vào một kết nối duy nhất cho mỗi lần thực thi, kẻ tấn công giảm khả năng bị phát hiện. Đồng thời, nó làm cho lưu lượng tấn công trông giống lưu lượng API hợp pháp hơn, qua đó vượt qua các lớp phòng thủ ban đầu.

Việc cố ý lựa chọn sử dụng tên miền .org thay vì các TLD bị lạm dụng thường xuyên hơn như .com, .dev hoặc .xyz phản ánh sự hiểu biết chiến lược sâu sắc về nhận thức bảo mật email. Hậu tố tên miền .org thường mang lại cảm giác hợp pháp và đáng tin cậy hơn, vì nó thường liên kết với các tổ chức phi lợi nhuận hoặc cộng đồng. Điều này khiến nó ít có khả năng bị chặn bởi các công cụ bảo mật dựa trên danh tiếng hoặc bộ lọc đen.

Phân tích này phù hợp với thông tin tình báo mối đe dọa gần đây cho thấy tên miền .org vẫn ít bị khai thác đáng kể hơn so với các đối tác .com của chúng. Điều này mang lại cho chiến dịch tấn công phishing này một lợi thế bổ sung trong việc vượt qua các hệ thống lọc dựa trên danh tiếng truyền thống. Tìm hiểu thêm về chiến dịch này tại Cofense Intelligence.

Thay Thế Trang Động và Thao Tác Phiên Duyệt Nâng Cao

Khía cạnh lừa đảo nhất của cuộc tấn công này liên quan đến kỹ thuật thay thế trang động. Kịch bản độc hại cơ bản viết lại toàn bộ nội dung của trang web đang hiển thị bằng nội dung do máy chủ của kẻ tấn công cung cấp. Điều đáng chú ý là hành động này xảy ra mà không hề thay đổi URL trong thanh địa chỉ của trình duyệt người dùng.

Tính năng này cực kỳ nguy hiểm vì nó duy trì sự tin tưởng của nạn nhân vào tính hợp pháp của trang web, ngay cả khi nội dung hiển thị đã bị thay đổi thành một biểu mẫu lừa đảo. Sau khi nạn nhân đã tương tác, kịch bản sẽ gửi thành công một yêu cầu HTTPS POST chứa địa chỉ email của nạn nhân và UUID phiên động của họ đến máy chủ của kẻ tấn công.

Đáp lại, máy chủ của kẻ tấn công phản hồi bằng một biểu mẫu đăng nhập được tạo đặc biệt, đã được cá nhân hóa và tinh chỉnh để khớp với thương hiệu hoặc giao diện của tổ chức mà nạn nhân thuộc về. Kỹ thuật này phù hợp chặt chẽ với khung MITRE ATT&CK® T1185 (Browser Session Hijacking). Bằng cách thao túng phiên duyệt web một cách liền mạch, kẻ tấn công duy trì sự tin cậy của nạn nhân vào trang phishing, đồng thời mở rộng hiệu quả và tỷ lệ thành công của cuộc tấn công trong thời gian dài hơn.

Phương Thức Phát Tán và Tác Động Toàn Diện

Các vector phân phối chính của chiến dịch tấn công phishing này bao gồm các tệp đính kèm email dựa trên HTML và các liên kết giả mạo tinh vi. Những liên kết này được thiết kế để mạo danh các nền tảng cộng tác đám mây đáng tin cậy và được sử dụng rộng rãi, tận dụng sự quen thuộc của người dùng để lừa dối.

Kỹ Thuật Lừa Đảo (Phishing Techniques) và Mục Tiêu

Các nền tảng đám mây phổ biến bị mạo danh bao gồm Microsoft OneDrive, SharePoint Online, DocuSign, Google Docs và Adobe Sign. Cách tiếp cận đa vector này đảm bảo phạm vi tiếp cận chiến dịch rộng rãi, nhắm mục tiêu vào nhiều đối tượng người dùng khác nhau thông qua các kênh quen thuộc.

Đồng thời, nó tận dụng mạnh mẽ sự nhận diện thương hiệu của các dịch vụ này để tối đa hóa sự tương tác của nạn nhân và đạt được tỷ lệ bị xâm phạm thông tin xác thực cao. Sự đa dạng trong phương thức phát tán khiến việc phát hiện tấn công mạng trở nên phức tạp hơn, đòi hỏi các giải pháp bảo mật nhiều lớp.

Khuyến Nghị Phòng Chống Khẩn Cấp

Các tổ chức phải ngay lập tức xem xét và đánh giá lại các kiểm soát bảo mật email hiện có của mình. Để phòng thủ hiệu quả chống lại mối đe dọa đang phát triển này, việc triển khai các cơ chế xác minh bổ sung ngoài việc lọc cổng truyền thống là điều tối quan trọng. Điều này bao gồm việc tăng cường khả năng phát hiện tấn công mạng thông qua các công cụ phân tích hành vi và huấn luyện người dùng để nhận diện các dấu hiệu lừa đảo tinh vi.