Một chiến thuật tấn công mạng mới đang hoạt động đã được phát hiện, khai thác hành vi chuyển hướng hợp lệ của giao thức OAuth. Kỹ thuật phishing OAuth này cho phép kẻ tấn công vượt qua các biện pháp phòng thủ email và trình duyệt truyền thống mà không cần đánh cắp bất kỳ token nào.

Các chiến dịch này, theo báo cáo từ các nhà nghiên cứu của Microsoft Defender, chủ yếu nhắm mục tiêu vào các tổ chức chính phủ và khu vực công. Chúng sử dụng các miền nhà cung cấp danh tính đáng tin cậy để che giấu các chuyển hướng độc hại.

Tổng quan về Tấn công Phishing Khai thác OAuth

Cơ chế khai thác kỹ thuật OAuth

Không giống như các cuộc tấn công phishing truyền thống dựa vào việc đánh cắp thông tin đăng nhập hoặc khai thác phần mềm, kỹ thuật này lạm dụng các luồng xử lý lỗi tiêu chuẩn của OAuth được định nghĩa trong RFC 6749.

Kẻ tấn công đăng ký các ứng dụng độc hại trong các tenant do chúng kiểm soát và cấu hình các URI chuyển hướng trỏ đến các miền thuộc sở hữu của kẻ tấn công. Sau đó, chúng phân phối các liên kết phishing kích hoạt một luồng ủy quyền OAuth thầm lặng.

Mục tiêu và Phạm vi của Mối đe dọa Mạng

Mục tiêu chính của các chiến dịch này là các tổ chức thuộc chính phủ và khu vực công. Bằng cách lợi dụng các nhà cung cấp danh tính được tin cậy, kẻ tấn công có thể ngụy trang các hoạt động độc hại, khiến nạn nhân khó nhận biết.

Cuộc tấn công không nhằm mục đích đánh cắp token truy cập mà là chuyển hướng trình duyệt đến cơ sở hạ tầng độc hại. Điều này giúp kẻ tấn công thu thập thông tin và triển khai các bước tiếp theo, bao gồm cả phân phối mã độc.

Phân tích Chi tiết Giai đoạn Tấn công Phishing OAuth

Giai đoạn 1: Phân phối Email Độc hại

Các đối tượng đe dọa phân phối email phishing với chủ đề liên quan đến chữ ký điện tử, thông báo An sinh Xã hội, cuộc họp Teams và tài liệu tài chính.

Một số chiến dịch nhúng trực tiếp URL chuyển hướng OAuth vào nội dung email, trong khi những chiến dịch khác lại che giấu chúng bên trong các tệp đính kèm PDF.

Để phân phối, các công cụ gửi hàng loạt được xây dựng bằng Python và Node.js, cùng với các máy ảo được lưu trữ trên đám mây, đã được sử dụng.

Giai đoạn 2: Điều tra OAuth Thầm lặng

Khi nạn nhân nhấp vào liên kết phishing, luồng ủy quyền OAuth được thiết kế đặc biệt sẽ được kích hoạt.

Tham số state được tái sử dụng để mang địa chỉ email đã mã hóa của nạn nhân. Các phương pháp mã hóa bao gồm văn bản thuần túy, hex, Base64 hoặc các lược đồ mã hóa tùy chỉnh. Điều này cho phép địa chỉ email tự động điền vào trang đích phishing.

Giai đoạn 3: Chuyển hướng Lỗi OAuth

Khi quá trình xác thực thầm lặng thất bại, Microsoft Entra ID trả về mã lỗi 65001 (interaction_required) và chuyển hướng trình duyệt đến URI đã đăng ký của kẻ tấn công.

Bước này xác nhận sự tồn tại của tài khoản và yêu cầu xác thực đa yếu tố (MFA) tương tác. Đây là thông tin có giá trị đối với kẻ tấn công ngay cả khi không có token nào bị đánh cắp.

Giai đoạn 4: Phân phối Mã độc

Sau khi chuyển hướng, nạn nhân được chuyển đến các framework phishing như EvilProxy, hoạt động như các bộ công cụ attacker-in-the-middle (AiTM).

Các công cụ này được thiết kế để chặn thông tin đăng nhập và cookie phiên.

Trong các chiến dịch được nhắm mục tiêu, một tệp ZIP tự động được tải xuống từ đường dẫn /download/XXXX. Tệp ZIP này chứa các tệp shortcut LNK và các trình tải HTML smuggling.

Để biết thêm chi tiết về cơ chế này, bạn có thể tham khảo báo cáo của Microsoft: OAuth redirection abuse enables phishing and malware delivery.

Giai đoạn 5: Duy trì Quyền truy cập Endpoint

Việc giải nén tệp ZIP thực thi một lệnh PowerShell để thực hiện trinh sát máy chủ (ví dụ: ipconfig /all, tasklist).

Tiếp theo là kỹ thuật DLL side-loading thông qua một tệp nhị phân hợp pháp như steam_monitor.exe. Tệp crashhandler.dll độc hại sẽ giải mã một payload trong bộ nhớ và thiết lập kết nối Command & Control (C2) đi ra.

Các tham số OAuth bị lạm dụng trong Cuộc tấn công Mạng

Các URL được tạo nhắm mục tiêu đến điểm cuối /common/oauth2/v2.0/authorize của Microsoft Entra ID sử dụng các tham số bị lạm dụng có chủ đích:

• client_id: Mã định danh của ứng dụng.
• redirect_uri: URI chuyển hướng của kẻ tấn công.
• scope: Phạm vi quyền yêu cầu.
• response_type: Được thiết lập để kích hoạt luồng lỗi.
• response_mode: Chế độ phản hồi.
• state: Mang địa chỉ email nạn nhân đã được mã hóa.
• prompt: Đôi khi được thiết lập để tránh hộp thoại chấp thuận.

Bởi vì yêu cầu được thiết kế để thất bại, nhà cung cấp danh tính sẽ đánh giá trạng thái phiên và các chính sách truy cập có điều kiện (Conditional Access) một cách thầm lặng, sau đó chuyển hướng trình duyệt đến URI chuyển hướng đã đăng ký của kẻ tấn công.

Khuyến nghị Phòng thủ và An ninh Mạng

Để giảm thiểu rủi ro từ các cuộc tấn công này, Microsoft khuyến nghị các tổ chức thực hiện các bước phòng thủ sau:

• Nâng cao nhận thức người dùng: Liên tục giáo dục người dùng về các mối đe dọa phishing, đặc biệt là những biến thể tinh vi.
• Triển khai MFA mạnh mẽ: Bật xác thực đa yếu tố (MFA) chống phishing, chẳng hạn như FIDO, để tăng cường bảo vệ thông tin đăng nhập.
• Cấu hình chính sách Conditional Access: Sử dụng các chính sách Conditional Access (CA) để đánh giá rủi ro người dùng, rủi ro đăng nhập và tình trạng tuân thủ thiết bị.
• Giám sát chặt chẽ nhật ký: Liên tục giám sát nhật ký đăng nhập Entra ID, nhật ký kiểm tra và các phát hiện rủi ro để kịp thời phát hiện các hoạt động bất thường.
• Triển khai EDR: Sử dụng các giải pháp Endpoint Detection and Response (EDR) với khả năng chặn hành vi để ngăn chặn việc thực thi mã độc.
• Áp dụng chính sách trình duyệt an toàn: Triển khai các chính sách trình duyệt an toàn để giảm bề mặt tấn công và bảo vệ người dùng khỏi các trang web độc hại.

Tầm quan trọng của Cảnh giác liên tục

Mặc dù Microsoft Entra đã vô hiệu hóa các ứng dụng OAuth độc hại được quan sát, nhưng các hoạt động lạm dụng OAuth liên quan vẫn tiếp tục được phát hiện, đòi hỏi sự cảnh giác liên tục.

Khi các tổ chức tăng cường bảo vệ MFA và thông tin đăng nhập, kẻ tấn công đang chuyển hướng sang khai thác các mối quan hệ tin cậy trong chính các giao thức xác thực. Việc hiểu rõ các kỹ thuật mới này là rất quan trọng để duy trì an ninh mạng hiệu quả.