Trung tâm tình báo về mối đe dọa của Microsoft(MSTIC), bộ phận chịu trách nhiệm giám sát các mối đe dọa máy tính, báo cáo rằng họ đã phát hiện ra một nhóm tin tặc người Nga đang tấn công ồ ạt vào các tài khoản Microsoft 365. Những tên tội phạm mạng này là một phần của nhóm có tên mã là Storm-237, có khả năng được Nga chỉ định.
Để bẫy người dùng, tin tặc sử dụng tin nhắn lừa đảo. Họ liên lạc với mục tiêu của mình trên WhatsApp, Signal hoặc Microsoft Teams, đóng giả là "một người quan trọng và có liên quan" với người đối thoại. Đây là một chiến lược cổ điển giúp xoa dịu sự nghi ngờ của nạn nhân. Ví dụ, chúng đóng giả là một người liên hệ chuyên nghiệp và mời người dùng tham gia hội nghị truyền hình.
Để tham gia hội nghị, nạn nhân sẽ được mời tham gia một cuộc họp trên Microsoft Teams thông qua một liên kết có thể nhấp vào. Đây là "trang đăng nhập hợp lệ"sẽ yêu cầu mục tiêu nhập mã xác thực. Trên thực tế, trang web lừa đảo sẽ yêu cầu nhập mã thay vì các thông tin đăng nhập thông thường như mật khẩu. Trong loại tấn công này, tin tặc khai thác hệ thống xác thực dành cho các thiết bị đầu vào bị hạn chế, các thiết bị không có giao diện đầu vào truyền thống, chẳng hạn như bàn phím hoặc trình duyệt web. Bao gồm cả tivi và các thiết bị kết nối khác.
Đối với các thiết bị này, xác thực thường được thực hiện bằng mã ủy quyền trên một thiết bị khác. Thay vì nhập mật khẩu trực tiếp trên thiết bị, người dùng nhập mã bảo mật trên thiết bị khác, chẳng hạn như điện thoại thông minh hoặc máy tính, để chứng minh danh tính của mình. Trong trường hợp này, mã được tin tặc cung cấp trực tiếp trong lời mời. Bằng cách khai thác hệ thống thay thế này, tội phạm mạng có thể kiểm soát tài khoản Microsoft mà không cần phải có mật khẩu.
Kẻ tấn công có thể sử dụng mã thông báo xác thực bị đánh cắp để truy cập các dịch vụ khác, chẳng hạn như email hoặc dịch vụ lưu trữ trực tuyến, mà không cần mật khẩu. Chừng nào các mã thông báo này vẫn còn hiệu lực thì kẻ tấn công vẫn có quyền truy cập. Ngoài ra, tin tặc có thể lấy được mã thông báo làm mới chính, cho phép chúng mở rộng quyền truy cập bằng cách đánh cắp ID máy khách cụ thể, một mã định danh duy nhất được sử dụng trong quy trình xác thực của Microsoft.
Trong số các mục tiêu ưa thích của băng nhóm này là "chính phủ, tổ chức phi chính phủ và nhiều ngành công nghiệp khác nhau ở nhiều khu vực" trên thế giới, cụ thể là Bắc Mỹ, Châu Phi và Trung Đông. Microsoft khuyến cáo các tổ chức có khả năng bị tin tặc nhắm tới nên chặn việc sử dụng mã ủy quyền. Biện pháp phòng ngừa này sẽ ngăn chặn tin tặc sử dụng hệ thống để đạt được mục đích của chúng. Rõ ràng đây là trách nhiệm của quản trị viên Microsoft Space.
Nguồn: Microsoft
Để bẫy người dùng, tin tặc sử dụng tin nhắn lừa đảo. Họ liên lạc với mục tiêu của mình trên WhatsApp, Signal hoặc Microsoft Teams, đóng giả là "một người quan trọng và có liên quan" với người đối thoại. Đây là một chiến lược cổ điển giúp xoa dịu sự nghi ngờ của nạn nhân. Ví dụ, chúng đóng giả là một người liên hệ chuyên nghiệp và mời người dùng tham gia hội nghị truyền hình.
Một cuộc tấn công lừa đảo rất cụ thể
Để tham gia hội nghị, nạn nhân sẽ được mời tham gia một cuộc họp trên Microsoft Teams thông qua một liên kết có thể nhấp vào. Đây là "trang đăng nhập hợp lệ"sẽ yêu cầu mục tiêu nhập mã xác thực. Trên thực tế, trang web lừa đảo sẽ yêu cầu nhập mã thay vì các thông tin đăng nhập thông thường như mật khẩu. Trong loại tấn công này, tin tặc khai thác hệ thống xác thực dành cho các thiết bị đầu vào bị hạn chế, các thiết bị không có giao diện đầu vào truyền thống, chẳng hạn như bàn phím hoặc trình duyệt web. Bao gồm cả tivi và các thiết bị kết nối khác.
Đối với các thiết bị này, xác thực thường được thực hiện bằng mã ủy quyền trên một thiết bị khác. Thay vì nhập mật khẩu trực tiếp trên thiết bị, người dùng nhập mã bảo mật trên thiết bị khác, chẳng hạn như điện thoại thông minh hoặc máy tính, để chứng minh danh tính của mình. Trong trường hợp này, mã được tin tặc cung cấp trực tiếp trong lời mời. Bằng cách khai thác hệ thống thay thế này, tội phạm mạng có thể kiểm soát tài khoản Microsoft mà không cần phải có mật khẩu.
Mở rộng quyền truy cập vào các tài khoản bị hack
Kẻ tấn công có thể sử dụng mã thông báo xác thực bị đánh cắp để truy cập các dịch vụ khác, chẳng hạn như email hoặc dịch vụ lưu trữ trực tuyến, mà không cần mật khẩu. Chừng nào các mã thông báo này vẫn còn hiệu lực thì kẻ tấn công vẫn có quyền truy cập. Ngoài ra, tin tặc có thể lấy được mã thông báo làm mới chính, cho phép chúng mở rộng quyền truy cập bằng cách đánh cắp ID máy khách cụ thể, một mã định danh duy nhất được sử dụng trong quy trình xác thực của Microsoft.
Trong số các mục tiêu ưa thích của băng nhóm này là "chính phủ, tổ chức phi chính phủ và nhiều ngành công nghiệp khác nhau ở nhiều khu vực" trên thế giới, cụ thể là Bắc Mỹ, Châu Phi và Trung Đông. Microsoft khuyến cáo các tổ chức có khả năng bị tin tặc nhắm tới nên chặn việc sử dụng mã ủy quyền. Biện pháp phòng ngừa này sẽ ngăn chặn tin tặc sử dụng hệ thống để đạt được mục đích của chúng. Rõ ràng đây là trách nhiệm của quản trị viên Microsoft Space.
Nguồn: Microsoft
