Các đối tượng đe dọa đang ngày càng lợi dụng các nền tảng đám mây và mạng phân phối nội dung (CDN) đáng tin cậy để lưu trữ các bộ công cụ phishing (phishing kits). Điều này tạo ra những thách thức đáng kể trong việc phát hiện tấn công mạng đối với các đội ngũ an ninh.

Không giống các chiến dịch phishing truyền thống thường dựa vào các tên miền đáng ngờ mới đăng ký, các cuộc tấn công gần đây lại khai thác hạ tầng hợp pháp từ các nhà cung cấp dịch vụ lớn như Google, Microsoft Azure và AWS CloudFront.

Cách tiếp cận tinh vi này cho phép tin tặc dễ dàng vượt qua nhiều lớp bộ lọc bảo mật cơ bản, bởi lẽ các tên miền được sử dụng ban đầu có vẻ hoàn toàn đáng tin cậy và không gây nghi ngờ.

Sự Chuyển Dịch Trong Hạ Tầng Tấn Công Phishing

Sự dịch chuyển chiến thuật sang hạ tầng phishing dựa trên đám mây đại diện cho một mối đe dọa mạng đang phát triển mạnh mẽ và đáng lo ngại, phản ánh sự tiến hóa trong các cuộc tấn công kỹ thuật xã hội.

Nạn nhân của các chiến dịch này thường xuyên tiếp xúc với các tên miền quen thuộc từ các công ty công nghệ uy tín, điều này làm tăng đáng kể khả năng họ sẽ nhập và làm lộ thông tin đăng nhập nhạy cảm của mình.

Các công cụ giám sát mạng truyền thống cũng gặp phải khó khăn nghiêm trọng trong việc gắn cờ các hoạt động độc hại này. Lý do là chúng chỉ thấy nội dung HTML thông thường được tải từ các dịch vụ đám mây đã thiết lập, thay vì phát hiện các mẫu lưu lượng truy cập bất thường hoặc đáng ngờ.

Kỹ thuật khai thác hạ tầng đám mây này đặc biệt được sử dụng để nhắm mục tiêu vào người dùng doanh nghiệp trong nhiều chiến dịch. Nó thường bao gồm bước lọc ra các tài khoản email miễn phí để tập trung tối đa vào việc thu thập thông tin đăng nhập của công ty, mang lại giá trị cao hơn cho kẻ tấn công.

Kỹ Thuật Khai Thác Nền Tảng Đám Mây Uy Tín

Các nhà nghiên cứu tại Any.Run đã xác định rõ ràng xu hướng gia tăng này thông qua quá trình phân tích chuyên sâu nhiều họ bộ công cụ phishing khác nhau.

Phân tích của họ đã chỉ ra rằng bộ công cụ phishing Tycoon đang được vận hành từ Microsoft Azure Blob Storage. Cụ thể, nó sử dụng tên miền alencure[.]blob[.]core[.]windows[.]net để lưu trữ các trang lừa đảo.

Bộ công cụ phishing Sneaky2FA được phát hiện hoạt động trên Firebase Cloud Storage tại địa chỉ firebasestorage[.]googleapis[.]com và AWS CloudFront tại cloudfront[.]net.

Các cuộc tấn công mạng sử dụng Sneaky2FA thường triển khai các trang đăng nhập Microsoft 365 giả mạo được thiết kế tinh vi nhằm mục đích thu thập thông tin đăng nhập tài khoản của doanh nghiệp một cách bất hợp pháp.

Tương tự, bộ công cụ phishing EvilProxy cũng lợi dụng dịch vụ Google Sites, sử dụng tên miền sites[.]google[.]com để lưu trữ các trang lừa đảo độc hại của nó, tận dụng uy tín của Google.

Thông tin chi tiết về sự gia tăng của các chiến dịch phishing trên hạ tầng đám mây đáng tin cậy đã được Any.Run cảnh báo trên nền tảng X (trước đây là Twitter) của họ, cung cấp cái nhìn sâu sắc về các kỹ thuật mới: Any.Run Phishing on Trusted Cloud Infrastructure.

Thách Thức Trong Phát Hiện và Phòng Ngừa Cuộc Tấn Công

Các đội ngũ an ninh mạng đối mặt với những trở ngại và thách thức độc đáo khi phải xử lý hạ tầng phishing được lưu trữ trên các dịch vụ đám mây uy tín. Đây là một điểm khác biệt lớn so với các chiến dịch truyền thống.

Kiểm tra danh tiếng tên miền truyền thống thường thất bại hoàn toàn. Nguyên nhân là do bản thân các nền tảng lưu trữ này là các dịch vụ hợp pháp, được vô số tổ chức sử dụng cho các mục đích kinh doanh và hoạt động hợp lệ hàng ngày.

Giới Hạn của Kiểm Tra Danh Tiếng Miền Truyền Thống

Hầu hết các nhà cung cấp bảo mật đều phân loại các tên miền đám mây này là an toàn, điều này về mặt kỹ thuật là chính xác theo định nghĩa của họ.

Tuy nhiên, hoạt động độc hại không nằm ở bản thân hạ tầng mà tồn tại trong nội dung được phân phát thông qua hạ tầng đó. Đây là điểm mấu chốt gây khó khăn cực lớn cho việc phát hiện tấn công bằng các phương pháp dựa trên danh tiếng truyền thống.

Việc bỏ qua cảnh báo hoặc xếp hạng an toàn cho các tên miền đám mây hợp pháp nhưng bị lạm dụng có thể khiến các hệ thống an ninh bỏ lỡ các dấu hiệu của một cuộc tấn công mạng đang diễn ra. Do đó, cần có một phương pháp tiếp cận mới.

Chiến Lược Đối Phó Hiệu Quả Với Các Mối Đe Dọa Mạng

Để đối phó hiệu quả với loại hình tấn công mạng này, giải pháp đòi hỏi phải chuyển từ kiểm tra tên miền đơn giản sang phân tích hành vi phức tạp hơn.

Các nền tảng bảo mật hiện đại cần có khả năng kiểm tra kỹ lưỡng cách người dùng tương tác với các trang được lưu trữ trên đám mây này và xác định các mẫu đáng ngờ trong thời gian thực, không chỉ dựa vào danh tiếng.

Phân Tích Hành Vi và Threat Intelligence Chuyên Sâu

Any.Run Sandbox đã chứng minh được khả năng mạnh mẽ của mình trong việc phơi bày các mối đe dọa mạng như vậy chỉ trong vòng chưa đầy 60 giây. Điều này giúp giảm đáng kể cả thời gian trung bình để phát hiện (MTTD) và thời gian trung bình để phản hồi (MTTR) đối với các sự cố bảo mật.

Các tổ chức nên khẩn trương triển khai các cuộc tra cứu tình báo mối đe dọa (threat intelligence lookups) mà đặc biệt tìm kiếm các mẫu lạm dụng trên các nền tảng đám mây cụ thể như Microsoft Azure Blob Storage, Firebase Cloud Storage và Google Sites.

Việc chủ động theo dõi và phân tích các chỉ số này sẽ giúp nâng cao khả năng phòng thủ, cho phép các đội ngũ bảo mật nhanh chóng nhận diện và ứng phó với các cuộc tấn công mạng đang diễn ra hoặc tiềm tàng.

Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp (Indicators of Compromise) liên quan đến các chiến dịch tấn công mạng sử dụng hạ tầng đám mây uy tín bao gồm các tên miền độc hại sau đây:

• mphdvh[.]icu
• kamitore[.]com
• aircosspascual[.]com
• Lustefea[.]my[.]id

Các tổ chức nên tích hợp các IOC này vào các hệ thống phòng thủ của mình, bao gồm tường lửa, IDS/IPS và SIEM, để tăng cường khả năng phát hiện tấn công và ngăn chặn xâm nhập.