Một chiến dịch phishing tinh vi mới đã được phát hiện, nhắm mục tiêu vào các hệ thống Microsoft 365 (M365) thông qua việc lạm dụng Active Directory Federation Services (ADFS) để đánh cắp thông tin xác thực. Chiến dịch này đại diện cho một mối đe dọa mạng đáng kể, biến một dịch vụ xác thực hợp pháp thành kênh dẫn cho các hoạt động phishing, gây rủi ro nghiêm trọng cho người dùng và tổ chức.

Chiến Dịch Phishing Mới Nhắm Mục Tiêu Microsoft 365

Chiến dịch tấn công mạng này khởi đầu bằng các quảng cáo độc hại (malvertising) được phân phối thông qua kết quả tìm kiếm của Google. Người dùng tìm kiếm các cụm từ như “Office 365” (thường gõ sai thành “Office 265”) sẽ bắt gặp các liên kết được tài trợ, ngụy trang thành tài nguyên chính thức của Microsoft.

Những quảng cáo này, được gắn kèm các tham số theo dõi của Google, sẽ chuyển hướng nạn nhân qua một chuỗi các bước phức tạp. Cuối cùng, nạn nhân được đưa đến một trang phishing hoạt động như một reverse-proxy. Trang này được thiết kế tinh vi để chặn các phiên làm việc và vượt qua xác thực đa yếu tố (MFA).

Bộ công cụ phishing (phishing kit) tự bản thân không có gì quá đột phá. Nó là một thiết lập Attacker-in-the-Middle (AitM) tiêu chuẩn, sao chép trang đăng nhập của Microsoft. Tuy nhiên, sự đổi mới thực sự nằm ở cách thức phân phối và các chiến thuật né tránh. Những chiến thuật này được rút ra từ việc phân tích chuyên sâu các bộ công cụ thực tế nhắm mục tiêu vào khách hàng của Push Security, cho thấy sự phát triển trong kỹ thuật tấn công mạng.

Kỹ Thuật Khai Thác Active Directory Federation Services (ADFS)

Trọng tâm của chiến dịch tấn công mạng này là việc lạm dụng ADFS. ADFS là giải pháp đăng nhập một lần (SSO) của Microsoft, được thiết kế để tích hợp Active Directory tại chỗ với các dịch vụ đám mây như Azure AD và M365. Kẻ tấn công lợi dụng bản chất đáng tin cậy của ADFS, một thành phần cốt lõi trong nhiều môi trường doanh nghiệp, để thực hiện các cuộc tấn công lừa đảo một cách khó bị phát hiện.

Những kẻ tấn công đã thiết lập một Microsoft tenant tùy chỉnh. Tenant này được cấu hình với một máy chủ ADFS độc hại. Điều này cho phép chúng chèn một tên miền giả mạo, ví dụ như bluegraintours[.]com, vào luồng xác thực. Tên miền này đóng vai trò cầu nối, hướng nạn nhân đến điểm đích độc hại mà vẫn duy trì vẻ ngoài hợp pháp.

Tên miền giả mạo được ngụy trang thành một blog du lịch vô hại với nội dung được tạo bởi AI. Nội dung này bao gồm các bài đăng blog giả mạo từ các tác giả bút danh như “John Doe” và “Jane Smith”. Mục đích là để tạo vẻ ngoài đáng tin cậy và không gây nghi ngờ, phục vụ như một bộ chuyển hướng vô hình trong chuỗi tấn công mạng.

Khi nạn nhân nhấp vào liên kết malvertising, họ được chuyển hướng từ outlook.office.com, thông qua tên miền giả mạo này, đến điểm cuối phishing (ví dụ: login-microsoftonline[.]offirmtm[.]com). Đáng chú ý, bản thân Microsoft thực hiện việc chuyển hướng này thông qua đường dẫn /adfs/ls/, tạo ra một luồng xác thực gần như không thể phân biệt được với luồng hợp pháp.

Kỹ thuật này bắt chước các trang đích hợp lệ dành riêng cho tenant. Nó tương tự như các kỹ thuật SAMLjacking, nơi các tên miền nhà cung cấp danh tính bị “đầu độc” để làm proxy cho quá trình xác thực, đánh lừa người dùng và hệ thống bảo mật bằng cách tận dụng sự tin cậy vào ADFS.

Các Chỉ Số Tấn Công (IOCs)

Các chỉ số tấn công liên quan đến chiến dịch này, giúp nhận diện hoạt động độc hại, bao gồm các tên miền và đường dẫn sau:

• Tên miền giả mạo/chuyển hướng:bluegraintours[.]com
• Điểm cuối Phishing:login-microsoftonline[.]offirmtm[.]com
• Đường dẫn ADFS bị lạm dụng:/adfs/ls/ (trong các URL chuyển hướng từ Microsoft)

Kỹ Thuật Né Tránh Phát Hiện Nâng Cao

Việc thiết lập trang phishing trên cơ sở hạ tầng của bên thứ ba đáng tin cậy giúp chiến dịch này né tránh các cơ chế phát hiện dựa trên URL. Điều này làm phức tạp các máy quét tự động và bộ lọc proxy dựa vào phân loại tên miền, vì các tên miền độc hại không nằm trong danh sách đen truyền thống mà ẩn mình trên các dịch vụ hợp pháp.

Hơn nữa, chiến dịch còn đạt được khả năng né tránh thông qua tải có điều kiện (conditional loading). Trang phishing chỉ được kích hoạt trong các điều kiện cụ thể, ví dụ như tác nhân người dùng (user agent) hoặc vị trí địa lý (geolocation) hợp lệ. Nếu một nhà phân tích hoặc công cụ tự động truy cập trang từ một môi trường không phù hợp (ví dụ: VPN của nhà nghiên cứu), họ có thể chỉ thấy trang office.com hợp pháp. Điều này làm cản trở quá trình phân tích tĩnh và khiến việc xác định bản chất độc hại trở nên khó khăn hơn.

Tính năng theo dõi dòng thời gian (timelines feature) của Push Security, vốn theo dõi chuỗi duyệt web bao gồm các chuyển hướng, tab, biểu mẫu và dữ liệu nhập, đã đóng vai trò quan trọng trong việc lập bản đồ luồng tấn công mạng này. Từ cú nhấp chuột quảng cáo Google ban đầu đến việc chiếm đoạt thông tin xác thực, tính năng này đã tiết lộ rằng không có sự liên quan trực tiếp của email phishing. Điều này nhấn mạnh sự thay đổi sang các vector phân phối không phải email, chẳng hạn như mạng xã hội, tin nhắn tức thời hoặc tệp đính kèm.

Chiến dịch này nhấn mạnh sự tinh vi ngày càng tăng của việc né tránh phishing và khả năng tấn công mạng ngày càng phức tạp. Nó coi các chuyển hướng ADFS như những chuyển hướng mở chức năng (functional open redirects) có thể bị khai thác bởi bất kỳ kẻ tấn công nào có khả năng tạo một Microsoft tenant – một rào cản thấp chỉ yêu cầu một thẻ tín dụng. Điều này song song với các lỗ hổng có tác động lớn như chuyển hướng mở trong Outlook.com, làm tăng rủi ro trong các môi trường không có giám sát mạnh mẽ và tạo cơ hội cho các tấn công mạng tương tự.

Chỉ Dẫn Phát Hiện và Phòng Ngừa Phát hiện xâm nhập

Để phát hiện xâm nhập, các tổ chức nên kiểm tra kỹ nhật ký proxy của mình. Cần tìm kiếm các chuyển hướng ADFS bất thường từ login.microsoftonline.com sang các tên miền không quen thuộc có đường dẫn /adfs/ls/. Đồng thời, cần lọc ra các chuyển hướng hợp pháp trong các thiết lập đang sử dụng ADFS để tránh cảnh báo sai.

Theo báo cáo từ Push Security, việc giám sát các chuyển hướng của Google đến office.com với các tham số quảng cáo có thể giúp gắn cờ các biến thể malvertising. Các trình chặn quảng cáo toàn trình duyệt (browser-wide ad blockers) có thể giảm thiểu kênh mồi nhử này, mặc dù chúng không đủ sức chống lại các phương pháp phân phối rộng hơn.

Các khuyến nghị rộng hơn bao gồm việc tăng cường bảo mật độc lập với công cụ. Ví dụ, sử dụng các nguồn cấp dữ liệu tình báo mối đe dọa (threat intelligence feeds) nâng cao cho các bộ công cụ mới nổi. Đồng thời, phân tích hành vi để phát hiện xâm nhập các mô hình AitM vượt ra ngoài việc chỉ dựa vào URL, tập trung vào cách thức hoạt động của cuộc tấn công chứ không chỉ là dấu hiệu bề mặt.

Khi phishing phát triển vượt ra ngoài các biện pháp phòng thủ tập trung vào email, việc tích hợp dữ liệu đo từ xa (endpoint telemetry) với khả năng hiển thị chuỗi chuyển hướng toàn diện trở nên cần thiết. Điều này giúp đối phó với những tấn công mạng dựa trên nghiên cứu như vậy, nhấn mạnh sự cần thiết của các tư thế bảo mật thích ứng, đa lớp trong nghiên cứu lỗ hổng và quy trình tình báo mối đe dọa để đảm bảo an toàn thông tin tối đa và bền vững trước các mối đe dọa mới.

Để hiểu rõ hơn về phân tích kỹ thuật này, bạn có thể tham khảo báo cáo chi tiết từ Push Security.