Kẻ tấn công sử dụng ứng dụng OAuth giả mạo với Tycoon Kit để xâm phạm tài khoản Microsoft 365
Các nhà nghiên cứu an ninh mạng đã trình bày chi tiết một nhóm hoạt động mới trong đó các tác nhân đe dọa đang mạo danh doanh nghiệp bằng các ứng dụng Microsoft OAuth giả mạo để tạo điều kiện thu thập thông tin đăng nhập như một phần của các cuộc tấn công chiếm đoạt tài khoản.
Proofpoint cho biết trong báo cáo hôm thứ Năm: "Các ứng dụng Microsoft 365 giả mạo nhiều công ty khác nhau, bao gồm RingCentral, SharePoint, Adobe và Docusign".
Chiến dịch đang diễn ra, lần đầu tiên được phát hiện vào đầu năm 2025, được thiết kế để sử dụng các ứng dụng OAuth làm cổng để truy cập trái phép vào tài khoản Microsoft 365 của người dùng thông qua các bộ công cụ lừa đảo như Tycoon và ODx có khả năng thực hiện lừa đảo xác thực đa yếu tố (MFA).
Công ty bảo mật doanh nghiệp cho biết họ đã quan sát thấy phương pháp này được sử dụng trong các chiến dịch email với hơn 50 ứng dụng giả mạo.
Các cuộc tấn công bắt đầu bằng email lừa đảo được gửi từ các tài khoản bị xâm phạm và nhằm mục đích lừa người nhận nhấp vào URL với lý do chia sẻ yêu cầu báo giá (RFQ) hoặc thỏa thuận hợp đồng kinh doanh.
Khi nhấp vào các liên kết này, nạn nhân sẽ được chuyển hướng đến trang Microsoft OAuth của ứng dụng có tên "iLSMART", yêu cầu họ cấp cho ứng dụng quyền xem hồ sơ cơ bản của họ và tiếp tục truy cập vào dữ liệu mà họ đã được cấp quyền truy cập.
Điều đáng chú ý trong cuộc tấn công này là việc mạo danh ILMart, một thị trường trực tuyến hợp pháp dành cho ngành hàng không, hàng hải và quốc phòng để mua bán phụ tùng và dịch vụ sửa chữa.
Proofpoint cho biết: "Quyền của ứng dụng sẽ cung cấp quyền sử dụng hạn chế cho kẻ tấn công, nhưng nó được sử dụng để thiết lập giai đoạn tiếp theo của cuộc tấn công".
Bất kể mục tiêu có chấp nhận hay từ chối các quyền được yêu cầu, trước tiên họ sẽ được chuyển hướng đến trang CAPTCHA, sau đó đến trang xác thực tài khoản Microsoft giả mạo sau khi quá trình xác minh hoàn tất.
Trang Microsoft giả mạo này sử dụng các kỹ thuật lừa đảo trung gian (AitM) được hỗ trợ bởi nền tảng Tycoon Phishing-as-a-Service (PhaaS) để thu thập thông tin đăng nhập và mã MFA của nạn nhân.
Mới tháng trước, Proofpoint cho biết họ đã phát hiện một chiến dịch khác mạo danh Adobe, trong đó các email được gửi qua Twilio SendGrid, một nền tảng tiếp thị qua email, và được thiết kế với cùng một mục tiêu: Để có được quyền ủy quyền của người dùng hoặc kích hoạt luồng hủy chuyển hướng nạn nhân đến một trang lừa đảo.
Chiến dịch này chỉ là một giọt nước trong đại dương khi so sánh với toàn bộ hoạt động liên quan đến Tycoon, với nhiều nhóm tận dụng bộ công cụ để thực hiện các cuộc tấn công chiếm đoạt tài khoản. Chỉ riêng trong năm 2025, đã có gần 3.000 tài khoản người dùng bị xâm phạm trên hơn 900 môi trường Microsoft 365 bị phát hiện.
Công ty cho biết: "Những kẻ đe dọa đang tạo ra các chuỗi tấn công ngày càng sáng tạo nhằm vượt qua các biện pháp phát hiện và tiếp cận các tổ chức trên toàn cầu", đồng thời nói thêm rằng "chúng tôi dự đoán những kẻ đe dọa sẽ ngày càng nhắm mục tiêu vào danh tính người dùng, với việc lừa đảo thông tin đăng nhập AiTM trở thành tiêu chuẩn của ngành tội phạm".
Tính đến tháng trước, Microsoft đã công bố kế hoạch cập nhật cài đặt mặc định để cải thiện bảo mật bằng cách chặn các giao thức xác thực cũ và yêu cầu sự đồng ý của quản trị viên để truy cập ứng dụng của bên thứ ba. Các bản cập nhật dự kiến sẽ hoàn tất vào tháng 8 năm 2025.
Proofpoint chỉ ra rằng: "Bản cập nhật này sẽ có tác động tích cực đến toàn cảnh và sẽ ngăn chặn những kẻ tấn công sử dụng kỹ thuật này".
Thông báo này được đưa ra sau quyết định của Microsoft về việc vô hiệu hóa các liên kết sổ làm việc bên ngoài tới các loại tệp bị chặn theo mặc định từ tháng 10 năm 2025 đến tháng 7 năm 2026 nhằm tăng cường bảo mật sổ làm việc.
Seqrite cho biết những phát hiện này cũng xuất hiện khi các email lừa đảo có nội dung giả mạo biên lai thanh toán được sử dụng để triển khai bằng phần mềm độc hại dựa trên AutoIt, một phần mềm độc hại .NET có tên là VIP Keylogger có thể đánh cắp dữ liệu nhạy cảm từ các máy chủ bị xâm phạm .
Trong nhiều tháng qua, các chiến dịch thư rác đã bị phát hiện che giấu các liên kết cài đặt phần mềm máy tính từ xa bên trong các tệp PDF nhằm vượt qua hệ thống phòng thủ email và phần mềm độc hại. Chiến dịch này được cho là đã diễn ra từ tháng 11 năm 2024, chủ yếu nhắm vào các thực thể ở Pháp, Luxembourg, Bỉ và Đức.
"Những tệp PDF này thường được ngụy trang trông giống như hóa đơn, hợp đồng hoặc danh sách bất động sản để tăng độ tin cậy và dụ dỗ nạn nhân nhấp vào liên kết được nhúng", WithSecure cho biết . "Thiết kế này nhằm mục đích tạo ra ảo giác về nội dung hợp pháp đã bị che khuất, khiến nạn nhân phải cài đặt một chương trình. Trong trường hợp này, chương trình đó là FleetDeck RMM."
Các công cụ Quản lý và Giám sát từ xa (RMM) khác được triển khai như một phần của cụm hoạt động bao gồm Action1, OptiTune, Bluetrait, Syncro, SuperOps, Atera và ScreenConnect.
"Mặc dù không phát hiện thấy dữ liệu sau khi lây nhiễm, việc sử dụng các công cụ RMM cho thấy rõ ràng vai trò của chúng như một phương tiện truy cập ban đầu, có khả năng tạo điều kiện cho các hoạt động độc hại tiếp theo", công ty Phần Lan cho biết thêm. "Đặc biệt, các nhà khai thác ransomware ưa chuộng cách tiếp cận này."
