Một chiến dịch spearphishing mới được phát hiện đang nhắm mục tiêu vào các giám đốc điều hành và lãnh đạo cấp cao trong nhiều ngành công nghiệp. Chiến dịch này khai thác các thông báo chia sẻ tài liệu OneDrive đáng tin cậy để đánh cắp thông tin đăng nhập của doanh nghiệp. Nhóm Stripe OLT SOC đã phân tích chiến thuật tấn công tinh vi này, nhận diện các email được thiết kế riêng biệt để mạo danh truyền thông nội bộ HR, dẫn dụ nạn nhân đến một trang đăng nhập Microsoft Office/OneDrive giả mạo rất thuyết phục.

Mục tiêu và Chiến thuật Lừa đảo Ban đầu

Trọng tâm của chiến dịch là các dòng tiêu đề như “Salary amendment” hoặc “FIN_SALARY”. Những dòng tiêu đề này được thiết kế để tạo cảm giác cấp bách và lo lắng cho các đối tượng C-suite và lãnh đạo cấp cao. Các email này có vẻ như được gửi từ hệ thống chia sẻ tài liệu của OneDrive, thông báo rằng một tệp được chia sẻ cần được xem xét ngay lập tức.

Kỹ thuật Mạo danh Tinh vi

Khi nhấp vào liên kết nhúng, nạn nhân sẽ được chuyển hướng đến một trang đánh cắp thông tin đăng nhập. Trang này bắt chước hoàn hảo giao diện đăng nhập Microsoft Office 365. Cả email lừa đảo và trang đăng nhập giả mạo đều được tùy chỉnh với tên và chi tiết công ty của người nhận. Điều này tạo ra một vẻ ngoài xác thực cao, dễ dàng đánh lừa cả những chuyên gia cảnh giác nhất.

Cơ sở Hạ tầng Tấn công và Kỹ thuật Né tránh Phát hiện

Những kẻ đứng sau cuộc tấn công mạng này sử dụng dịch vụ Amazon Simple Email Service (SES) để gửi email. Chúng luân phiên sử dụng khoảng 80 tên miền và tên miền phụ để né tránh sự phát hiện của các cổng bảo mật email (Secure Email Gateways). Sự phức tạp của chiến dịch spearphishing này thể hiện rõ qua việc quản lý hạ tầng linh hoạt.

Hệ thống Gửi Email và Tên miền

Các tên miền thường được đăng ký thông qua Mat Bao Corporation và Web Commerce Communications Limited (WebNic.cc). Dịch vụ DNS và nameserver được cung cấp bởi Cloudflare và Luxhost. Sự đa dạng trong việc sử dụng tên miền và nhà cung cấp dịch vụ giúp chúng duy trì tính ẩn danh và khả năng hoạt động lâu dài.

Hạ tầng Lưu trữ và Chiến thuật “Làm nóng” Hộp thư

Cơ sở hạ tầng lưu trữ cho các trang phishing nằm trên Akamai Cloud (trước đây là Linode). Để “làm nóng” hộp thư và tránh các bộ lọc thư rác, những kẻ tấn công gửi các email lành tính vài ngày trước khi gửi các email độc hại. Kỹ thuật này giúp thiết lập sự quen thuộc với các máy chủ thư của mục tiêu, tăng tỷ lệ email lọt vào hộp thư đến chính.

Biện pháp Chống Phát hiện Nâng cao trong Chiến dịch Spearphishing

Các kỹ thuật chống phát hiện là một dấu ấn của chiến dịch spearphishing này. Những kẻ tấn công nhúng các ký tự ẩn và làm xáo trộn các từ khóa có giá trị cao như “Open” và “Share” trong các phiên bản chế độ sáng (Light Mode) và tối (Dark Mode) riêng biệt của nội dung email.

• Trong Light Mode: Các nút hiển thị dưới dạng văn bản có thể nhấp thông thường: “Open” và “Share.”
• Trong Dark Mode: Đệm ẩn tiết lộ các chuỗi chữ và số ngẫu nhiên – ví dụ như twPOpenHuxv và gQShareojxYI. Điều này phá vỡ các mẫu phát hiện dựa trên biểu thức chính quy (regex-based detection patterns).

Các URL phishing chỉ dùng một lần và sẽ tự hủy sau khi được truy cập. Điều này làm phức tạp thêm công tác ứng phó sự cố và phân tích pháp y, gây khó khăn cho việc truy vết và điều tra sau này.

Chỉ số Compromise (IOCs) và Đối tác Hạ tầng liên quan đến Chiến dịch Spearphishing

Mặc dù không có danh sách cụ thể các tên miền độc hại được cung cấp, các đối tác hạ tầng sau đây đã được xác định liên quan đến chiến dịch spearphishing này, có thể dùng làm chỉ báo cho các hoạt động săn lùng mối đe dọa (threat hunting):

• Nhà cung cấp Dịch vụ Email: Amazon Simple Email Service (SES)
• Nhà đăng ký Tên miền:
  • Mat Bao Corporation
  • Web Commerce Communications Limited (WebNic.cc)
• Nhà cung cấp DNS/Nameserver:
  • Cloudflare
  • Luxhost
• Nhà cung cấp Lưu trữ (Phishing Pages): Akamai Cloud (trước đây là Linode)

Phân tích Rủi ro và Biện pháp Giảm thiểu

Các chuyên gia bảo mật cảnh báo rằng việc chiến dịch spearphishing này tập trung vào các mục tiêu cấp C và sử dụng chủ đề truyền thông nội bộ đáng tin cậy làm cho nó đặc biệt nguy hiểm. Các giám đốc điều hành, thường xuyên bận rộn và quen với việc nhận một lượng lớn tin nhắn, có thể bỏ qua ngưỡng nghi ngờ thông thường khi đối mặt với một tài liệu “liên quan đến HR”. Việc bao gồm tên thật và logo công ty làm tăng ảo giác hợp pháp và rủi ro bảo mật.

Nâng cao Nhận thức Người dùng và Đào tạo

Để giảm thiểu rủi ro từ các cuộc tấn công này, các tổ chức nên thực hiện sự kết hợp giữa nâng cao nhận thức người dùng, kiểm soát kỹ thuật và săn lùng mối đe dọa chủ động. Việc đào tạo nâng cao nhận thức về an ninh mạng, đặc biệt cho các giám đốc điều hành và trợ lý của họ, là cực kỳ quan trọng.

Kiểm soát Kỹ thuật và Săn lùng Mối đe dọa

Đối với việc phát hiện xâm nhập và mối đe dọa chủ động trong Microsoft Sentinel, các nhà phân tích SOC khuyến nghị sử dụng truy vấn KQL sau đây để xác định các email đến phù hợp với các dòng tiêu đề đã quan sát:

EmailEvents
| where Subject has_any ("Salary amendment", "FIN_SALARY")
| where SenderFromAddress has "onedrive.com" or SenderMailFromDomain has_any ("matbao.vn", "webnic.cc", "cloudflare.com", "luxhost.com")
| project Timestamp, SenderFromAddress, SenderMailFromDomain, Subject, RecipientEmailAddress, Urls

Bằng cách kết hợp sự cảnh giác cao độ của các giám đốc điều hành, đào tạo người dùng mạnh mẽ cho các trợ lý, và các kiểm soát kỹ thuật có mục tiêu, các tổ chức có thể phòng thủ hiệu quả chống lại chiến dịch spearphishing OneDrive tiên tiến này và bảo vệ thông tin đăng nhập quan trọng của doanh nghiệp, đảm bảo an toàn thông tin cho toàn hệ thống.