Microsoft phát hiện gia tăng các dịch vụ lưu trữ tệp trong tấn công email

Tác giả ChatGPT, T.Mười 09, 2024, 06:59:33 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Microsoft đang cảnh báo về các chiến dịch tấn công mạng lợi dụng các dịch vụ lưu trữ tệp hợp pháp như SharePoint, OneDrive và Dropbox được sử dụng rộng rãi trong môi trường doanh nghiệp như một chiến thuật né tránh phòng thủ.

Mục tiêu cuối cùng của các chiến dịch rất rộng và đa dạng, cho phép kẻ tấn công xâm phạm danh tính và thiết bị, cũng như thực hiện các cuộc tấn công xâm phạm email doanh nghiệp ( BEC ), cuối cùng dẫn đến gian lận tài chính, đánh cắp dữ liệu và di chuyển ngang sang các điểm cuối khác.


Việc biến các dịch vụ internet hợp pháp (LIS) thành vũ khí là một phương thức rủi ro ngày càng phổ biến được kẻ thù áp dụng để trà trộn vào lưu lượng mạng hợp pháp theo cách thường bỏ qua các biện pháp phòng thủ an ninh truyền thống và làm phức tạp thêm nỗ lực xác định danh tính.

Phương pháp này còn được gọi là sống ngoài các trang web đáng tin cậy (LOTS), vì nó lợi dụng sự tin cậy và quen thuộc của các dịch vụ này để vượt qua các rào cản bảo mật email và phát tán phần mềm độc hại.

Microsoft cho biết họ đã quan sát thấy một xu hướng mới trong các chiến dịch lừa đảo khai thác các dịch vụ lưu trữ tệp hợp pháp kể từ giữa tháng 4 năm 2024 liên quan đến các tệp có quyền truy cập hạn chế và chỉ được xem.


Các cuộc tấn công như vậy thường bắt đầu bằng việc xâm nhập vào một nhà cung cấp đáng tin cậy, lợi dụng quyền truy cập để dàn dựng các tệp và dữ liệu độc hại trên dịch vụ lưu trữ tệp để chia sẻ sau đó với một thực thể mục tiêu.

"Các tệp được gửi qua email lừa đảo được cấu hình để chỉ có người nhận được chỉ định mới có thể truy cập", công ty cho biết. "Điều này yêu cầu người nhận phải đăng nhập vào dịch vụ chia sẻ tệp — có thể là Dropbox, OneDrive hoặc SharePoint — hoặc xác thực lại bằng cách nhập địa chỉ email của họ cùng với mật khẩu một lần (OTP) nhận được thông qua dịch vụ thông báo".

Hơn nữa, các tệp được chia sẻ như một phần của cuộc tấn công lừa đảo được đặt ở chế độ "chỉ xem", ngăn chặn khả năng tải xuống và phát hiện các URL được nhúng trong tệp.

Người nhận cố gắng truy cập tệp được chia sẻ sau đó sẽ được nhắc xác minh danh tính của mình bằng cách cung cấp địa chỉ email và mật khẩu một lần được gửi đến tài khoản email của họ.

Sau khi được ủy quyền thành công, mục tiêu được hướng dẫn nhấp vào liên kết khác để xem nội dung thực tế. Tuy nhiên, làm như vậy sẽ chuyển hướng họ đến trang lừa đảo của đối thủ ở giữa ( AitM ) đánh cắp mật khẩu và mã thông báo xác thực hai yếu tố (2FA) của họ.

Điều này không chỉ cho phép kẻ tấn công chiếm quyền kiểm soát tài khoản mà còn sử dụng nó để thực hiện các vụ lừa đảo khác, bao gồm các cuộc tấn công BEC và gian lận tài chính.


Nhóm Microsoft Threat Intelligence cho biết: "Mặc dù các chiến dịch này có tính chất chung chung và cơ hội, nhưng chúng lại sử dụng các kỹ thuật tinh vi để thực hiện tấn công xã hội, trốn tránh bị phát hiện và mở rộng phạm vi tiếp cận của kẻ tấn công tới các tài khoản và đối tượng thuê khác".

Sự phát triển này diễn ra khi Sekoia trình bày chi tiết về bộ công cụ lừa đảo AitM mới có tên là Mamba 2FA được bán dưới dạng dịch vụ lừa đảo (PhaaS) cho các tác nhân đe dọa khác để thực hiện các chiến dịch lừa đảo qua email nhằm phát tán tệp đính kèm HTML mạo danh các trang đăng nhập Microsoft 365.

Bộ công cụ này được cung cấp theo hình thức đăng ký với giá 250 đô la một tháng, hỗ trợ Microsoft Entra ID, AD FS, nhà cung cấp SSO của bên thứ ba và tài khoản người tiêu dùng. Mamba 2FA đã được đưa vào sử dụng tích cực kể từ tháng 11 năm 2023.

"Nó xử lý xác minh hai bước cho các phương pháp MFA không chống lừa đảo như mã một lần và thông báo ứng dụng", công ty an ninh mạng của Pháp cho biết. "Thông tin đăng nhập và cookie bị đánh cắp được gửi ngay lập tức đến kẻ tấn công thông qua bot Telegram".