DEBULL: Công cụ Phishing mới lạm dụng quy trình xác thực thiết bị của Microsoft 365
Các chuyên gia an ninh mạng cảnh báo về DEBULL, một nền tảng Phishing-as-a-Service (PhaaS) mới sử dụng quy trình xác thực thiết bị của Microsoft để chiếm đoạt tài khoản mà không cần mật khẩu hay vượt...
Một chiến dịch phishing nhắm vào tài khoản Microsoft 365 đang gây chú ý khi sử dụng kỹ thuật lạm dụng quy trình xác thực thiết bị (device code flow). Theo báo cáo từ ZeroBEC, chiến dịch này đã hoạt động mạnh mẽ từ cuối tháng 6/2026, sử dụng các kịch bản lừa đảo liên quan đến công việc và cộng tác để chiếm quyền kiểm soát tài khoản người dùng.
Table Of Content
Cơ chế tấn công của DEBULL
Điểm đáng chú ý của chiến dịch này là việc không sử dụng các trang đăng nhập giả mạo để đánh cắp mật khẩu. Thay vào đó, kẻ tấn công dẫn dụ người dùng truy cập vào trang đăng nhập chính thức của Microsoft, nhưng lại yêu cầu họ nhập một mã thiết bị (device code) do kẻ tấn công cung cấp. Khi người dùng nhập mã này, họ vô tình cấp quyền truy cập cho kẻ tấn công thông qua cơ chế OAuth 2.0 Device Authorization Grant.
Kỹ thuật này cho phép kẻ tấn công bypass hoàn toàn xác thực đa yếu tố (MFA) và chiếm đoạt phiên làm việc (session token) mà không cần phải đánh cắp mật khẩu người dùng. Công cụ đứng sau chiến dịch này được xác định là DEBULL, một nền tảng PhaaS cho phép kẻ tấn công tùy chỉnh giao diện phishing và quản lý quy trình xác thực một cách linh hoạt.
Sự trỗi dậy của các nền tảng PhaaS
DEBULL được cho là có mối liên hệ mật thiết với các kỹ thuật từng được nhóm Storm-2372 sử dụng. Sau khi chiếm được quyền truy cập, kẻ tấn công thường sử dụng các công cụ như GraphSpy để thực hiện các hành vi hậu khai thác (post-exploitation) như truy cập email, SharePoint, hoặc thực hiện các cuộc tấn công BEC (Business Email Compromise).
Không chỉ riêng DEBULL, thị trường PhaaS đang chứng kiến sự bùng nổ của các công cụ tương tự như ARToken và Tycoon 2FA. ARToken, chẳng hạn, cung cấp một bảng điều khiển hoàn chỉnh với hơn 80 API endpoints, hỗ trợ từ việc phishing, duy trì quyền truy cập (persistence) thông qua Primary Refresh Token (PRT), cho đến tự động hóa các kịch bản BEC bằng AI.
Lời khuyên cho người dùng và tổ chức
Việc lạm dụng quy trình xác thực thiết bị là một thách thức lớn vì nó dựa trên chính các luồng xác thực hợp lệ của Microsoft. Các chuyên gia an ninh mạng khuyến cáo:
- Nâng cao nhận thức cho nhân viên về các yêu cầu nhập mã thiết bị bất thường.
- Hạn chế quyền truy cập vào các ứng dụng bên thứ ba thông qua OAuth nếu không cần thiết.
- Giám sát chặt chẽ các hoạt động đăng nhập bất thường và các thay đổi trong cấu hình Microsoft 365/Entra ID.
- Sử dụng các giải pháp bảo mật email có khả năng phát hiện các liên kết độc hại dẫn đến quy trình xác thực thiết bị.
Sự chuyển dịch của các nhóm tội phạm mạng sang mô hình PhaaS tích hợp sẵn các quy trình xác thực thiết bị cho thấy xu hướng tấn công ngày càng tinh vi và chuyên nghiệp hóa, đòi hỏi các tổ chức phải có chiến lược phòng thủ chủ động hơn.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.