Microsoft phát hiện việc sử dụng ngày càng nhiều dịch vụ lưu trữ tệp trong các cuộc tấn công xâm phạm email doanh nghiệp

www.tuoitre.vn -   03/10/2024 08:00:00 47

Microsoft đang cảnh báo về các chiến dịch tấn công mạng lợi dụng các dịch vụ lưu trữ tệp hợp pháp như SharePoint, OneDrive và Dropbox được sử dụng rộng rãi trong môi trường doanh nghiệp như một chiến thuật trốn tránh phòng thủ.

Microsoft phát hiện việc sử dụng ngày càng nhiều dịch vụ lưu trữ tệp trong các cuộc tấn công xâm phạm email doanh nghiệp

Mục tiêu cuối cùng của các chiến dịch này rất rộng và đa dạng, cho phép các tác nhân đe dọa xâm phạm danh tính và thiết bị và thực hiện các cuộc tấn công xâm phạm email doanh nghiệp (BEC), cuối cùng dẫn đến gian lận tài chính, rò rỉ dữ liệu và di chuyển ngang sang các điểm cuối khác.

Việc biến các dịch vụ internet hợp pháp (LIS) thành vũ khí là một vectơ rủi ro ngày càng phổ biến được kẻ thù áp dụng để hòa nhập với lưu lượng mạng hợp pháp theo cách thường bỏ qua các biện pháp phòng thủ bảo mật truyền thống và làm phức tạp các nỗ lực quy kết.

Phương pháp này cũng được gọi là sống ngoài các trang web đáng tin cậy (LOTS), vì nó tận dụng sự tin cậy và quen thuộc của các dịch vụ này để vượt qua các rào cản bảo mật email và phát tán phần mềm độc hại.

Microsoft cho biết họ đã quan sát thấy một xu hướng mới trong các chiến dịch lừa đảo khai thác các dịch vụ lưu trữ tệp hợp pháp kể từ giữa tháng 4 năm 2024 liên quan đến các tệp có quyền truy cập hạn chế và hạn chế chỉ xem.

Các cuộc tấn công như vậy thường bắt đầu bằng việc xâm phạm người dùng trong một nhà cung cấp đáng tin cậy, tận dụng quyền truy cập vào các tệp và dữ liệu độc hại trên dịch vụ lưu trữ tệp để chia sẻ sau đó với một thực thể mục tiêu.

"Các tệp được gửi qua email lừa đảo được định cấu hình để chỉ người nhận được chỉ định mới có thể truy cập", báo cáo cho biết. "Điều này yêu cầu người nhận phải đăng nhập vào dịch vụ chia sẻ tệp — có thể là Dropbox, OneDrive hoặc SharePoint — hoặc xác thực lại bằng cách nhập địa chỉ email của họ cùng với mật khẩu một lần (OTP) nhận được thông qua dịch vụ thông báo".

Hơn nữa, các tệp được chia sẻ như một phần của các cuộc tấn công lừa đảo được đặt ở chế độ "chỉ xem", ngăn chặn khả năng tải xuống và phát hiện các URL được nhúng trong tệp.

Sau đó, người nhận cố gắng truy cập tệp được chia sẻ sẽ được nhắc xác minh danh tính của họ bằng cách cung cấp địa chỉ email và mật khẩu một lần được gửi đến tài khoản email của họ.

Sau khi được ủy quyền thành công, mục tiêu được hướng dẫn nhấp vào một liên kết khác để xem nội dung thực tế. Tuy nhiên, việc làm như vậy sẽ chuyển hướng họ đến một trang lừa đảo ở giữa (AitM) đánh cắp mật khẩu và mã thông báo xác thực hai yếu tố (2FA) của họ.

Điều này không chỉ cho phép các tác nhân đe dọa chiếm quyền kiểm soát tài khoản mà còn sử dụng nó để duy trì các vụ lừa đảo khác, bao gồm các cuộc tấn công BEC và gian lận tài chính.

"Mặc dù các chiến dịch này mang tính chung chung và cơ hội, nhưng chúng liên quan đến các kỹ thuật tinh vi để thực hiện kỹ thuật xã hội, tránh bị phát hiện và mở rộng phạm vi tiếp cận của tác nhân đe dọa đến các tài khoản và người thuê khác", nhóm Microsoft Threat Intelligence cho biết.

Sự phát triển này diễn ra khi Sekoia trình bày chi tiết về một bộ công cụ lừa đảo AitM mới có tên là Mamba 2FA được bán dưới dạng dịch vụ lừa đảo (PhaaS) cho các tác nhân đe dọa khác để thực hiện các chiến dịch lừa đảo qua email nhằm phát tán các tệp đính kèm HTML mạo danh các trang đăng nhập Microsoft 365.

Bộ công cụ này được cung cấp theo hình thức đăng ký với giá 250 đô la một tháng, hỗ trợ Microsoft Entra ID, AD FS, nhà cung cấp SSO của bên thứ ba và tài khoản người tiêu dùng. Mamba 2FA đã được đưa vào sử dụng tích cực kể từ tháng 11 năm 2023.

"Nó xử lý xác minh hai bước cho các phương pháp MFA không chống lừa đảo như mã một lần và thông báo ứng dụng", công ty an ninh mạng của Pháp cho biết. "Thông tin đăng nhập và cookie bị đánh cắp sẽ được gửi ngay lập tức đến kẻ tấn công thông qua bot Telegram".

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Các cuộc tấn công ransomware tiếp tục nh...

21/11/2024 08:00:00 362
Từ tháng 1 đến tháng 6 năm 2024, các giải pháp an ninh mạng cho doanh nghiệp của Kaspersky đã phát h...

Các mối đe dọa an ninh mạng tại Việt Nam...

20/11/2024 08:00:00 385
Dữ liệu mới nhất từ Kaspersky đã gióng lên hồi chuông cảnh báo về tình hình an ninh mạng Việt Nam. C...

Nhóm tin tặc Lazarus khai thác lỗ hổng z...

07/11/2024 08:00:00 331
Tại Hội nghị Chuyên gia Phân tích An ninh mạng (SAS) 2024 diễn ra ở Bali, nhóm Phân tích và Nghiên c...

Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...

01/11/2024 12:00:00 89
Dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở...

Chiến dịch quảng cáo độc hại chiếm đoạt ...

31/10/2024 08:00:00 85
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi d...

Nghiên cứu mới tiết lộ lỗ hổng Spectre v...

30/10/2024 08:00:00 88
Hơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button