Volexity, một công ty Mỹ chuyên về an ninh mạng, cho biết họ đã phát hiện một làn sóng tấn công mạng của Nga vào các tài khoản Microsoft 365. Tội phạm mạng đang nhắm mục tiêu vào nhân viên của các tổ chức có liên quan đến Ukraine và nhân quyền.
Để kiểm soát tài khoản, tin tặc bắt đầu bằng cách lấy cắp danh tính của các quan chức từ các nước châu Âu hoặc các nhà ngoại giao Ukraine. Sau đó, họ liên lạc với mục tiêu thông qua tin nhắn tức thời, chẳng hạn như WhatsApp hoặc Signal. Tin nhắn được gửi là lời mời tham gia hội nghị trực tuyến trên Microsoft Teams.
Tin tặc đưa hướng dẫn vào tệp PDF cùng với URL độc hại. Thao tác này sẽ yêu cầu mã xác thực. Tin tặc tuyên bố rằng mã này rất cần thiết để tham gia cuộc họp. Đây là mã xác thực OAuth có hiệu lực trong 60 ngày. Sau đó, mã này cho phép kẻ tấn công tạo ra mã thông báo truy cập. Với mã thông báo này, kẻ tấn công có thể truy cập tất cả các dịch vụ Microsoft 365 mà người dùng thường có quyền truy cập: email, tệp, lịch, Teams, v.v. Nói cách khác, kẻ tấn công có thể mạo danh người dùng trong môi trường làm việc của họ. Khi tìm cách kết nối, các mục tiêu sẽ mở quyền truy cập vào công cụ của họ cho tin tặc Nga. Nhờ đó, họ có thể thu thập được một lượng lớn dữ liệu nhạy cảm. Hoạt động này dựa trên kỹ thuật xã hội.
Theo các nhà nghiên cứu của Volexity, chiến dịch này đã diễn ra kể từ tháng 3 năm 2025. Một chiến dịch lừa đảo tương tự đã xuất hiện vào tháng 4, do một băng nhóm tội phạm mạng khác của Nga thực hiện. Các cuộc tấn công tương tự cũng đã được phát hiện vài tuần trước đó, vào tháng 2, nhắm vào các tài khoản Microsoft 365 nhạy cảm.
Nguồn: Volexity
Để kiểm soát tài khoản, tin tặc bắt đầu bằng cách lấy cắp danh tính của các quan chức từ các nước châu Âu hoặc các nhà ngoại giao Ukraine. Sau đó, họ liên lạc với mục tiêu thông qua tin nhắn tức thời, chẳng hạn như WhatsApp hoặc Signal. Tin nhắn được gửi là lời mời tham gia hội nghị trực tuyến trên Microsoft Teams.
Một cuộc tấn công lừa đảo qua OAuth
Để tham gia hội nghị truyền hình, mục tiêu được mời xác định danh tính của mình thông qua trang OAuth. Xin nhắc lại, Microsoft 365 sử dụng giao thức OAuth để xác thực các dịch vụ trực tuyến. Hệ thống này cho phép các ứng dụng truy cập vào các tài nguyên được bảo vệ mà không cần biết hoặc lưu trữ mật khẩu của người dùng.Tin tặc đưa hướng dẫn vào tệp PDF cùng với URL độc hại. Thao tác này sẽ yêu cầu mã xác thực. Tin tặc tuyên bố rằng mã này rất cần thiết để tham gia cuộc họp. Đây là mã xác thực OAuth có hiệu lực trong 60 ngày. Sau đó, mã này cho phép kẻ tấn công tạo ra mã thông báo truy cập. Với mã thông báo này, kẻ tấn công có thể truy cập tất cả các dịch vụ Microsoft 365 mà người dùng thường có quyền truy cập: email, tệp, lịch, Teams, v.v. Nói cách khác, kẻ tấn công có thể mạo danh người dùng trong môi trường làm việc của họ. Khi tìm cách kết nối, các mục tiêu sẽ mở quyền truy cập vào công cụ của họ cho tin tặc Nga. Nhờ đó, họ có thể thu thập được một lượng lớn dữ liệu nhạy cảm. Hoạt động này dựa trên kỹ thuật xã hội.
Theo các nhà nghiên cứu của Volexity, chiến dịch này đã diễn ra kể từ tháng 3 năm 2025. Một chiến dịch lừa đảo tương tự đã xuất hiện vào tháng 4, do một băng nhóm tội phạm mạng khác của Nga thực hiện. Các cuộc tấn công tương tự cũng đã được phát hiện vài tuần trước đó, vào tháng 2, nhắm vào các tài khoản Microsoft 365 nhạy cảm.
Nguồn: Volexity
