Microsoft phát hiện việc sử dụng ngày càng nhiều dịch vụ lưu trữ tệp trong các cuộc tấn công xâm phạm email doanh nghiệp

Microsoft phát hiện việc sử dụng ngày càng nhiều dịch vụ lưu trữ tệp trong các cuộc tấn công xâm phạm email doanh nghiệp

Microsoft đang cảnh báo về các chiến dịch tấn công mạng lợi dụng các dịch vụ lưu trữ tệp hợp pháp như SharePoint, OneDrive và Dropbox được sử dụng rộng rãi trong môi trường doanh nghiệp như một chiến thuật trốn tránh phòng thủ.

Microsoft phát hiện việc sử dụng ngày càng nhiều dịch vụ lưu trữ tệp trong các cuộc tấn công xâm phạm email doanh nghiệp

Mục tiêu cuối cùng của các chiến dịch này rất rộng và đa dạng, cho phép các tác nhân đe dọa xâm phạm danh tính và thiết bị và thực hiện các cuộc tấn công xâm phạm email doanh nghiệp (BEC), cuối cùng dẫn đến gian lận tài chính, rò rỉ dữ liệu và di chuyển ngang sang các điểm cuối khác.

Việc biến các dịch vụ internet hợp pháp (LIS) thành vũ khí là một vectơ rủi ro ngày càng phổ biến được kẻ thù áp dụng để hòa nhập với lưu lượng mạng hợp pháp theo cách thường bỏ qua các biện pháp phòng thủ bảo mật truyền thống và làm phức tạp các nỗ lực quy kết.

Phương pháp này cũng được gọi là sống ngoài các trang web đáng tin cậy (LOTS), vì nó tận dụng sự tin cậy và quen thuộc của các dịch vụ này để vượt qua các rào cản bảo mật email và phát tán phần mềm độc hại.

Microsoft cho biết họ đã quan sát thấy một xu hướng mới trong các chiến dịch lừa đảo khai thác các dịch vụ lưu trữ tệp hợp pháp kể từ giữa tháng 4 năm 2024 liên quan đến các tệp có quyền truy cập hạn chế và hạn chế chỉ xem.

Các cuộc tấn công như vậy thường bắt đầu bằng việc xâm phạm người dùng trong một nhà cung cấp đáng tin cậy, tận dụng quyền truy cập vào các tệp và dữ liệu độc hại trên dịch vụ lưu trữ tệp để chia sẻ sau đó với một thực thể mục tiêu.

"Các tệp được gửi qua email lừa đảo được định cấu hình để chỉ người nhận được chỉ định mới có thể truy cập", báo cáo cho biết. "Điều này yêu cầu người nhận phải đăng nhập vào dịch vụ chia sẻ tệp — có thể là Dropbox, OneDrive hoặc SharePoint — hoặc xác thực lại bằng cách nhập địa chỉ email của họ cùng với mật khẩu một lần (OTP) nhận được thông qua dịch vụ thông báo".

Hơn nữa, các tệp được chia sẻ như một phần của các cuộc tấn công lừa đảo được đặt ở chế độ "chỉ xem", ngăn chặn khả năng tải xuống và phát hiện các URL được nhúng trong tệp.

Sau đó, người nhận cố gắng truy cập tệp được chia sẻ sẽ được nhắc xác minh danh tính của họ bằng cách cung cấp địa chỉ email và mật khẩu một lần được gửi đến tài khoản email của họ.

Sau khi được ủy quyền thành công, mục tiêu được hướng dẫn nhấp vào một liên kết khác để xem nội dung thực tế. Tuy nhiên, việc làm như vậy sẽ chuyển hướng họ đến một trang lừa đảo ở giữa (AitM) đánh cắp mật khẩu và mã thông báo xác thực hai yếu tố (2FA) của họ.

Điều này không chỉ cho phép các tác nhân đe dọa chiếm quyền kiểm soát tài khoản mà còn sử dụng nó để duy trì các vụ lừa đảo khác, bao gồm các cuộc tấn công BEC và gian lận tài chính.

"Mặc dù các chiến dịch này mang tính chung chung và cơ hội, nhưng chúng liên quan đến các kỹ thuật tinh vi để thực hiện kỹ thuật xã hội, tránh bị phát hiện và mở rộng phạm vi tiếp cận của tác nhân đe dọa đến các tài khoản và người thuê khác", nhóm Microsoft Threat Intelligence cho biết.

Sự phát triển này diễn ra khi Sekoia trình bày chi tiết về một bộ công cụ lừa đảo AitM mới có tên là Mamba 2FA được bán dưới dạng dịch vụ lừa đảo (PhaaS) cho các tác nhân đe dọa khác để thực hiện các chiến dịch lừa đảo qua email nhằm phát tán các tệp đính kèm HTML mạo danh các trang đăng nhập Microsoft 365.

Bộ công cụ này được cung cấp theo hình thức đăng ký với giá 250 đô la một tháng, hỗ trợ Microsoft Entra ID, AD FS, nhà cung cấp SSO của bên thứ ba và tài khoản người tiêu dùng. Mamba 2FA đã được đưa vào sử dụng tích cực kể từ tháng 11 năm 2023.

"Nó xử lý xác minh hai bước cho các phương pháp MFA không chống lừa đảo như mã một lần và thông báo ứng dụng", công ty an ninh mạng của Pháp cho biết. "Thông tin đăng nhập và cookie bị đánh cắp sẽ được gửi ngay lập tức đến kẻ tấn công thông qua bot Telegram".

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Thông báo thời gian nghỉ lễ Tết Dương Lịch 2025

NTS xin thông báo đến Quý khách hàng thời gian nghỉ lễ Tết Dương Lịch ngày Thứ Tư 01/01/2025 theo hướng dẫn của Chính Phủ ban hành. Chúng tôi sẽ làm...

Chi tiết
Standard Post with Image

Khi tiện ích mở rộng tốt trở nên tệ hại: Những điểm chính từ chiến dịch nhắm mục tiêu vào tiện ích mở rộng trình duyệt

Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện ích mở rộng của trình duyệt và tiêm mã độc vào...

Chi tiết
Standard Post with Image

Khi tiện ích mở rộng tốt trở nên tệ hại: Làm thế nào để bảo vệ tổ chức của bạn

Mặc dù nhiều người dùng và tổ chức không nhận thức được những rủi ro tiềm ẩn liên quan đến tiện ích mở rộng trình duyệt, nhưng có một số hành động...

Chi tiết