Mạng lưới lừa đảo RaccoonO365 nhắm vào người dùng Microsoft 365 chính thức bị triệt phá

Một chiến dịch lừa đảo quy mô lớn nhắm vào người dùng Microsoft 365 với hơn 600 tên miền độc hại đã bị dỡ bỏ sau nhiều tháng theo dõi.

Các chuyên gia an ninh mạng vừa công bố việc triệt phá thành công RaccoonO365 – một mạng lưới lừa đảo tinh vi nhắm vào người dùng dịch vụ Microsoft 365, với mục tiêu chính là đánh cắp thông tin đăng nhập và dữ liệu doanh nghiệp.

Mạng lưới này đã vận hành trong nhiều tháng với hơn 600 tên miền độc hại, chủ yếu giả mạo trang đăng nhập Microsoft để lừa người dùng cung cấp thông tin.

Cách thức hoạt động của chiến dịch RaccoonO365

1. Gửi email lừa đảo có gắn liên kết giả mạo đến người dùng Microsoft 365.

2. Các liên kết dẫn đến trang đăng nhập Microsoft giả, được thiết kế gần như giống hệt bản chính.

3. Khi người dùng nhập thông tin, hệ thống sẽ thu thập tài khoản, mật khẩu và mã xác thực MFA (nếu có).

4. Hacker sử dụng thông tin này để xâm nhập vào hệ thống doanh nghiệp, đánh cắp dữ liệu, gửi tiếp email giả mạo hoặc triển khai mã độc.

Đáng chú ý, mạng lưới này sử dụng mô hình phân tán, với nhiều máy chủ và tên miền được đăng ký liên tục nhằm né tránh hệ thống phát hiện và chặn của các công cụ bảo mật.

Chiến dịch RaccoonO365 đã ảnh hưởng đến nhiều tổ chức doanh nghiệp, cơ quan chính phủ và tổ chức phi lợi nhuận, đặc biệt tại khu vực Bắc Mỹ và châu Âu. Các chuyên gia ghi nhận rằng hacker nhắm đến:

• Người dùng có quyền truy cập quản trị hệ thống (admin)

• Nhân viên kế toán, tài chính

• Nhân sự IT có quyền truy cập nhiều dịch vụ nội bộ

Thông qua quá trình phân tích hạ tầng mạng và theo dõi hoạt động, các chuyên gia đã xác định và phối hợp với nhà cung cấp tên miền để dỡ bỏ hơn 600 tên miền lừa đảo. Ngoài ra, dữ liệu thu thập được đang được chia sẻ với các tổ chức có liên quan để cảnh báo nạn nhân và tăng cường phòng vệ.

Giải pháp bảo mật rút ra từ vụ việc

1. Tăng cường huấn luyện nhận diện email giả mạo cho nhân viên.

2. Bật xác thực đa yếu tố (MFA) – nhưng cần sử dụng app hoặc token thay vì chỉ SMS.

3. Giám sát đăng nhập bất thường như truy cập từ IP lạ, quốc gia không hợp lệ.

4. Hạn chế quyền truy cập theo nguyên tắc tối thiểu cần thiết (Least Privilege).

5. Sử dụng giải pháp bảo mật chuyên biệt cho dịch vụ đám mây, đặc biệt là Microsoft 365.

Vụ triệt phá RaccoonO365 cho thấy sự tinh vi và quy mô ngày càng lớn của các chiến dịch lừa đảo nhắm vào doanh nghiệp, đặc biệt là thông qua nền tảng email đám mây. Doanh nghiệp không thể chỉ trông chờ vào công nghệ – ý thức người dùng vẫn là tường rào bảo vệ đầu tiên và quan trọng nhất.

Hương - Theo TheHackerNews