Các nhà nghiên cứu bảo mật tại StrongestLayer, phối hợp cùng Jeremy, một kiến trúc sư an ninh giàu kinh nghiệm tại một công ty sản xuất lớn, đã phát hiện một chiến dịch tấn công mạng spear phishing đa lớp. Chiến dịch này lợi dụng tính năng Direct Send của Microsoft 365 để xâm nhập các hệ thống email doanh nghiệp, dẫn đến nguy cơ rò rỉ dữ liệu nghiêm trọng.

Chiến dịch được hệ thống AI TRACE của StrongestLayer gắn cờ ban đầu. Kẻ tấn công ngụy trang dưới dạng thông báo thư thoại từ các dịch vụ như RingCentral. Phân tích pháp y tiết lộ sự kết hợp có tính toán giữa bỏ qua xác thực, payload bị che giấu, và các mồi nhử được cá nhân hóa cao. Mục tiêu chính là thu thập thông tin đăng nhập từ cả những người dùng cảnh giác.

Mối đe dọa mạng mới nổi: Lạm dụng Direct Send trong Microsoft 365

Sự cố này nhấn mạnh các chiến thuật phát triển của những kẻ tấn công, những người đang biến các tính năng đám mây hợp pháp thành vũ khí chống lại hệ thống phòng thủ của doanh nghiệp. Nó cũng làm nổi bật sự giao thoa quan trọng giữa phát hiện tự động bằng AI và điều tra do con người thực hiện.

Phân tích Kỹ thuật Chuỗi Tấn công

Chuỗi tấn công bắt đầu bằng các email có bất thường trong tiêu đề, được TRACE xác định là không nhất quán với lưu lượng hợp pháp. Điều này bao gồm các lỗi trong giao thức xác thực SPF, DKIM, và DMARC.

Những thông báo này có nguồn gốc từ các địa chỉ IP không được ủy quyền, liên kết với các nhà cung cấp dịch vụ lưu trữ chung ở Mỹ và Israel. Tuy nhiên, chúng đã đi qua các máy chủ thông minh nội bộ như company.mail.protection.outlook.com thông qua Direct Send. Đây là một cơ chế của Microsoft 365 cho phép gửi SMTP không xác thực.

Việc khai thác này cho phép các email xuất hiện dưới dạng liên lạc nội bộ đáng tin cậy, giúp chúng vượt qua các bộ lọc bảo mật chu vi tiêu chuẩn. Jeremy lưu ý rằng các đường dẫn chuyển tiếp cho thấy dấu hiệu rõ ràng của việc sử dụng SmtpServer.Submit, với các chỉ báo SPF softfail và dkim=none. Điều này đã che giấu hiệu quả ý đồ độc hại và cho phép email được gửi đi mà không gây báo động ngay lập tức trong các cổng bảo mật cũ.

Kỹ thuật Che giấu và Lừa đảo

Đi sâu hơn, mồi nhử dựa vào hình ảnh nội tuyến có độ trung thực cao để truyền tải các lời kêu gọi hành động khẩn cấp, chẳng hạn như “Bạn có tin nhắn thoại mới”. Điều này giúp bỏ qua các bộ xử lý ngôn ngữ tự nhiên và máy quét dựa trên từ khóa vốn phụ thuộc vào nội dung văn bản.

Kỹ thuật che giấu bằng hình ảnh này đảm bảo các email lọt qua các hàng phòng thủ truyền thống, thúc đẩy người dùng tương tác với các tệp đính kèm được ngụy trang thành tệp phát lại âm thanh.

Phân tích Payload

Các payload xuất hiện dưới hai dạng: các tệp HTML với các biến thể tên như “Play_Audio_vm_…html” và các tệp SVG. Cả hai đều nhúng JavaScript được che giấu rất kỹ để đánh cắp thông tin đăng nhập.

Trong trường hợp tệp HTML, một thẻ <img> không hợp lệ đã kích hoạt sự kiện onerror. Sự kiện này giải mã các script được mã hóa Base64 thông qua các hàm atob, sau đó tự động tìm nạp các trang lừa đảo từ các máy chủ từ xa. Đồng thời, chúng điền trước các biểu mẫu với email của nạn nhân từ các thuộc tính dữ liệu.

Phương án SVG, thường bị bỏ qua vì được coi là hình ảnh vô hại, lại tích hợp các phần tử <script> với các thuộc tính xlink:href. Các thuộc tính này tải các payload ECMAScript đã được mã hóa, bổ sung thêm các lớp mã hóa tùy chỉnh để ngăn chặn việc tháo gỡ tự động.

Điều làm tăng hiệu quả của tấn công mạng này là mức độ cá nhân hóa sâu sắc: các script đã kéo các logo và yếu tố thương hiệu của công ty dựa trên miền của mục tiêu. Điều này làm cho các giao diện lừa đảo không thể phân biệt được với các cổng đăng nhập Microsoft 365 hợp pháp, làm giảm sự hoài nghi của người dùng thông qua các tín hiệu hình ảnh quen thuộc.

Mức độ Tinh vi và Đối tượng Gây án

Tái tạo lại dòng thời gian, những kẻ tấn công đã bắt đầu xâm nhập bằng cách sử dụng PowerShell để khai thác Direct Send, tiếp theo là tương tác dựa trên hình ảnh dẫn đến thực thi payload và đánh cắp thông tin đăng nhập. Sự tinh vi này cho thấy các hoạt động thăm dò sâu rộng, với các mẫu hành vi gợi ý về các tổ chức đe dọa dai dẳng nâng cao (APT).

Các Biện pháp Phòng ngừa và Khuyến nghị cho An ninh Mạng

Để đối phó, nhóm của Jeremy đã triển khai các biện pháp phòng thủ tạm thời, bao gồm đóng dấu tiêu đề tùy chỉnh tại các cổng email để thực thi kiểm dịch đối với các thư không được đánh dấu, đồng thời ủng hộ các bản vá chính thức của Microsoft.

StrongestLayer khuyến nghị tăng cường kiểm tra tiêu đề đối với các chỉ báo Direct Send, hạn chế các tệp đính kèm HTML và SVG từ các nguồn bên ngoài, thực thi các chính sách DMARC reject nghiêm ngặt, và triển khai giám sát hành vi đối với các bất thường xác thực. Chi tiết về khuyến nghị bảo mật.

• Tăng cường kiểm tra tiêu đề email, đặc biệt tìm kiếm các chỉ báo của Direct Send.
• Hạn chế hoặc chặn hoàn toàn các tệp đính kèm HTML và SVG đến từ các nguồn bên ngoài tổ chức.
• Thực thi chính sách DMARC ở chế độ “reject” để đảm bảo email không được xác thực bị từ chối.
• Triển khai giám sát hành vi liên tục đối với các bất thường trong quá trình xác thực người dùng.

Vai trò Cộng tác giữa AI và Con người trong An toàn Thông tin

Trường hợp này minh họa cách những kẻ tấn công ngày càng lợi dụng các tính năng đám mây gốc như Direct Send để thực hiện các tấn công mạng lén lút và được cá nhân hóa. Điều này thúc giục các tổ chức tích hợp phân tích dựa trên AI với các giao thức pháp y nghiêm ngặt để đối phó với các mối đe dọa mạng đang phát triển.

Khi các hệ thống phòng thủ mạng thích nghi, sự hợp tác giữa các công cụ AI và chuyên môn con người vẫn là yếu tố tối quan trọng trong việc phá vỡ các chiến dịch phức tạp này. Để duy trì bảo mật mạng hiệu quả, việc liên tục cập nhật kiến thức và công nghệ là điều không thể thiếu.