Một chiến dịch Phishing-as-a-Service (PhaaS) mới có tên VoidProxy đã xuất hiện, sử dụng các kỹ thuật tấn công Adversary-in-the-Middle (AitM) tiên tiến để vượt qua xác thực đa yếu tố truyền thống và đánh cắp token phiên từ các tài khoản Microsoft 365 và Google. Dịch vụ này đại diện cho một bước phát triển đáng kể trong các cuộc tấn công mạng thu thập thông tin xác thực.

Sự tinh vi của VoidProxy cho thấy khả năng ngày càng tăng của các hoạt động tội phạm mạng trong việc vượt qua các kiểm soát bảo mật hiện đại. Các tổ chức thường dựa vào chúng để bảo vệ tài sản kỹ thuật số.

VoidProxy: Nền Tảng Phishing-as-a-Service Tinh Vi

VoidProxy hoạt động như một nền tảng PhaaS trưởng thành và có khả năng mở rộng, giúp giảm đáng kể rào cản kỹ thuật cho các tác nhân đe dọa. Điều này cho phép chúng thực hiện các chiến dịch phishing phức tạp nhắm vào tài khoản doanh nghiệp.

Kỹ Thuật Adversary-in-the-Middle (AitM)

Dịch vụ này sử dụng các kỹ thuật Adversary-in-the-Middle để chặn luồng xác thực theo thời gian thực. Nó không chỉ thu thập tên người dùng và mật khẩu mà còn cả mã xác thực đa yếu tố và token phiên được thiết lập trong quá trình đăng nhập hợp pháp.

Khả năng này cho phép VoidProxy bỏ qua một số phương pháp MFA phổ biến, bao gồm mã SMS và mật khẩu dùng một lần từ các ứng dụng xác thực.

Cách tiếp cận tinh vi của nền tảng đặt ra thách thức trực tiếp đối với an ninh email truyền thống và các kiểm soát xác thực. Nhiều tổ chức coi đây là cơ chế phòng thủ đáng tin cậy chống lại hành vi trộm cắp thông tin xác thực.

Mục Tiêu và Khả Năng Mở Rộng

Dịch vụ này nhắm mục tiêu cả tài khoản Microsoft 365 và Google. Nó có khả năng bổ sung để chuyển hướng các tài khoản được bảo vệ bởi các nhà cung cấp đăng nhập một lần (SSO) bên thứ ba như Okta đến các trang phishing phụ.

Cách tiếp cận nhắm mục tiêu toàn diện này làm cho VoidProxy đặc biệt nguy hiểm đối với các tổ chức sử dụng hệ thống xác thực liên bang.

Chiến Lược Né Tránh Phát Hiện Của VoidProxy

VoidProxy đã thành công trong việc né tránh phân tích bảo mật thông qua nhiều biện pháp chống phát hiện tinh vi.

Sử Dụng Các Nhà Cung Cấp Dịch Vụ Email Bị Xâm Nhập

Nền tảng sử dụng các tài khoản email bị xâm nhập từ các Nhà Cung Cấp Dịch Vụ Email (ESP) hợp pháp như Constant Contact, Active Campaign và NotifyVisitors để gửi các mồi nhử phishing ban đầu. Việc này tận dụng danh tiếng của các dịch vụ này để vượt qua bộ lọc spam.

Cơ Sở Hạ Tầng Tấn Công Đa Lớp

Cơ sở hạ tầng tấn công sử dụng nhiều lớp chuyển hướng. Bắt đầu bằng các dịch vụ rút gọn URL như TinyURL, sau đó chuyển hướng đến các trang đích giai đoạn đầu tiên. Các trang này được lưu trữ trên các tên miền dùng một lần, chi phí thấp, sử dụng các tiện ích mở rộng như .icu, .sbs, .cfd, .xyz, .top và .home.

Chiến lược này giảm thiểu chi phí hoạt động đồng thời cho phép kẻ tấn công nhanh chóng từ bỏ các tên miền khi chúng bị phát hiện và đưa vào danh sách đen.

Ẩn Sau Cloudflare và CAPTCHA

Một thành phần quan trọng trong chiến lược né tránh của VoidProxy là đặt các trang phishing phía sau cơ sở hạ tầng Cloudflare. Điều này giúp che giấu địa chỉ IP thực của các máy chủ độc hại, làm cho các nỗ lực gỡ bỏ trở nên khó khăn hơn đáng kể đối với các nhóm bảo mật.

Trước khi tải bất kỳ nội dung phishing nào, người dùng sẽ gặp các thử thách Cloudflare CAPTCHA. Chúng được thiết kế để lọc các công cụ quét bảo mật tự động khỏi các mục tiêu hợp pháp.

Quy Trình Tấn Công Bốn Giai Đoạn Của VoidProxy

Nền tảng VoidProxy tuân theo một quy trình tấn công bốn giai đoạn được dàn dựng cẩn thận.

Giai Đoạn 1: Phân Phối Ban Đầu

Phân phối ban đầu xảy ra thông qua các dịch vụ email hợp pháp bị xâm nhập.

Giai Đoạn 2: Cơ Chế Né Tránh

Tiếp theo là các cơ chế né tránh bao gồm thử thách CAPTCHA và Cloudflare Workers. Chúng đóng vai trò là người gác cổng và tải mồi nhử.

Giai Đoạn 3: Trang Đăng Nhập Giả Mạo

Hệ thống trình bày các bản sao hoàn hảo của các cổng đăng nhập hợp pháp, với các mẫu tên miền nhất quán: “login.[phishing_domain].[tld]” cho các trang phishing của Microsoft và “accounts.[phishing_domain].[tld]” cho các trang của Google.

Sau khi nạn nhân nhập thông tin xác thực chính của họ, hệ thống phân biệt giữa người dùng liên bang và không liên bang.

• Người dùng không liên bang được chuyển hướng trực tiếp đến các máy chủ Microsoft và Google hợp pháp thông qua cơ sở hạ tầng proxy.
• Người dùng liên bang gặp các trang đích giai đoạn hai bổ sung. Chúng mạo danh luồng do nhà cung cấp dịch vụ khởi tạo với các nhà cung cấp SSO của họ.

Giai Đoạn 4: Chiếm Đoạt Session Token

Máy chủ proxy lõi, được lưu trữ trên cơ sở hạ tầng ngắn hạn, thực hiện cuộc tấn công Adversary-in-the-Middle thực sự. Nó hoạt động như một proxy ngược để thu thập và chuyển tiếp thông tin xác thực đến các dịch vụ hợp pháp.

Khi các dịch vụ hợp pháp xác thực và cấp cookie phiên, VoidProxy sẽ chặn các token này. Chúng được cung cấp cho kẻ tấn công thông qua các bảng điều khiển quản trị để truy cập tài khoản ngay lập tức. Đây là một dạng rò rỉ dữ liệu nhạy cảm.

Giao Diện Quản Trị Của VoidProxy

VoidProxy cung cấp một giao diện quản trị đầy đủ tính năng. Điều này cho thấy sự tinh vi thương mại của nền tảng.

Bảng điều khiển quản trị cung cấp cho khách hàng PhaaS khả năng quản lý chiến dịch toàn diện, bao gồm:

• Bảng điều khiển cấp tài khoản.
• Trang cài đặt.
• Giao diện quản lý chiến dịch.
• Bảng điều khiển giám sát chiến dịch cá nhân.

Nền tảng này hỗ trợ nhiều phương pháp trích xuất dữ liệu, cho phép truy cập thông tin xác thực và token phiên bị đánh cắp thông qua tải xuống thủ công hoặc thông báo thời gian thực qua token Telegram Bot và URL webhook.

Tính linh hoạt này cho phép các tác nhân đe dọa tích hợp các hoạt động VoidProxy với cơ sở hạ tầng tội phạm hiện có của họ. Họ có thể phản ứng nhanh chóng với các xâm nhập thành công.

Các Biện Pháp Phòng Chống Tấn Công VoidProxy

Các tổ chức có thể tự bảo vệ mình khỏi các cuộc tấn công VoidProxy thông qua một số biện pháp phòng thủ chính. Các biện pháp này góp phần củng cố bảo mật mạng toàn diện.

Xác Thực Chống Phishing

Bảo vệ hiệu quả nhất là yêu cầu người dùng sử dụng các trình xác thực chống phishing. Ví dụ: Okta FastPass, FIDO2 WebAuthn (khóa mật khẩu và khóa bảo mật) và thẻ thông minh, với các chính sách thực thi yêu cầu chống phishing.

Hạn Chế Truy Cập và Giám Sát Hành Vi

Cần triển khai các hạn chế truy cập cho các ứng dụng nhạy cảm, giới hạn quyền truy cập vào các thiết bị được quản lý bởi công cụ quản lý điểm cuối và được bảo vệ bởi giải pháp bảo mật điểm cuối.

Các tổ chức cũng nên từ chối hoặc yêu cầu xác thực đảm bảo cao hơn đối với các yêu cầu từ mạng ít được sử dụng. Cần xác định các yêu cầu truy cập đi chệch khỏi các mẫu hoạt động người dùng đã thiết lập.

Đào Tạo Người Dùng và Phản Ứng Tự Động

Giáo dục người dùng vẫn rất quan trọng, với các khóa đào tạo tập trung vào việc xác định email đáng ngờ, các trang phishing và các kỹ thuật kỹ thuật xã hội phổ biến.

Các tổ chức nên triển khai các luồng khắc phục tự động để phản ứng theo thời gian thực với tương tác của người dùng với cơ sở hạ tầng đáng ngờ. Đồng thời, áp dụng ràng buộc phiên IP (IP session binding) cho các ứng dụng quản trị để ngăn chặn việc phát lại các phiên quản trị bị đánh cắp.

Sự xuất hiện của VoidProxy thể hiện sự leo thang đáng kể trong mức độ tinh vi của các hoạt động Phishing-as-a-Service. Điều này cho thấy tội phạm mạng tiếp tục thích nghi chiến thuật của chúng để vượt qua các kiểm soát bảo mật hiện đại.