Cấu hình sai server: Lộ tẩy 3 chiến dịch phishing Evilginx nhắm vào Microsoft 365
Một sai lầm kỹ thuật hy hữu đã giúp các chuyên gia bảo mật phơi bày mạng lưới phishing tinh vi sử dụng Evilginx, lợi dụng cả các luồng đăng nhập hợp lệ của Microsoft để vượt qua...
Một sự cố bảo mật nghiêm trọng đã xảy ra khi một kẻ tấn công vận hành chiến dịch phishing Microsoft 365 để lộ toàn bộ server của mình. Do cấu hình sai, thư mục chứa mã nguồn và công cụ tấn công đã bị công khai trên internet thông qua một Python web server. Nhờ đó, công ty bảo mật Lexfo (Pháp) đã truy vết được ba chiến dịch phishing riêng biệt cùng sử dụng các biến thể của framework Evilginx.
Table Of Content
Từ một lỗi cấu hình đến mạng lưới phishing quy mô
Kẻ tấn công, được xác định là một đối tượng có biệt danh “codemado”, đã để lộ lệnh python3 -m http.server 8080 trong tệp .bash_history. Việc này không chỉ phơi bày các tệp cấu hình phishing, nhật ký thu thập thông tin đăng nhập mà còn cả các tệp phiên làm việc Telegram của chính kẻ tấn công. Điều tra sâu hơn cho thấy codemado đã sử dụng nền tảng AiTM (Adversary-in-the-Middle) để đánh cắp token xác thực từ các tài khoản doanh nghiệp.
Hai phương thức vượt qua MFA
Báo cáo từ Lexfo chỉ ra rằng các kẻ tấn công sử dụng hai kỹ thuật khác nhau để qua mặt MFA:
- Evilginx Proxy: Kỹ thuật truyền thống sử dụng proxy để đánh chặn phiên đăng nhập trực tiếp. Một biến thể mang tên red-queen được tùy chỉnh để né tránh các cơ chế kiểm tra tính toàn vẹn (Subresource Integrity) và tự động điền email nhằm tăng tỷ lệ thành công.
- Lạm dụng OAuth Device Code Flow: Đây là phương thức tinh vi hơn được sử dụng bởi kẻ tấn công có biệt danh “saroula01 (biến thể black-queen). Thay vì bypass MFA, kẻ tấn công lừa nạn nhân nhập mã thiết bị vào trang đăng nhập chính chủ của Microsoft. Vì nạn nhân thực hiện xác thực trên hạ tầng thật của Microsoft, các phương thức bảo mật như FIDO2 hay Passkey cũng trở nên vô hiệu.
Dấu ấn của AI trong mã độc
Đáng chú ý, cả ba chiến dịch này đều có dấu hiệu sử dụng AI để hỗ trợ lập trình. Các tệp tin trong repo của kẻ tấn công chứa các đoạn mã được tạo ra từ Claude hoặc các API tạo mã “không kiểm duyệt”. Điều này cho thấy rào cản kỹ thuật để khởi tạo một chiến dịch tấn công quy mô lớn đang ngày càng thấp hơn.
Khuyến nghị cho quản trị viên
Để bảo vệ tổ chức trước các hình thức tấn công này, các chuyên gia khuyến nghị:
- Chặn Device Code Flow: Chỉ cho phép sử dụng luồng này trên các thiết bị thực sự cần thiết (như thiết bị phòng họp Teams) và chặn ở quy mô toàn hệ thống.
- Áp dụng Conditional Access: Sử dụng chính sách truy cập có điều kiện dựa trên vị trí IP và Continuous Access Evaluation (CAE) để vô hiệu hóa các token bị đánh cắp khi phát hiện truy cập bất thường.
- Giám sát nhật ký Entra: Theo dõi các yêu cầu cấp token làm mới (refresh token) từ các client ID lạ hoặc không nằm trong danh mục sử dụng của doanh nghiệp.
- Kiểm tra endpoint: Rà soát các công cụ RMM (Remote Monitoring and Management) trái phép thường được kẻ tấn công cài đặt để duy trì quyền truy cập (persistence).
Sự việc lần này là lời cảnh báo rằng ngay cả khi đã triển khai MFA, các doanh nghiệp vẫn cần những chính sách bảo mật chặt chẽ hơn để đối phó với các kỹ thuật phishing ngày càng tiến hóa.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.