Theo các nhà nghiên cứu của Microsoft Defender, các cuộc tấn công này nhắm vào các tổ chức chính phủ và khu vực công bằng các liên kết lừa đảo yêu cầu người dùng xác thực với một ứng dụng độc hại.

Với các yêu cầu ký điện tử, thông báo an sinh xã hội, lời mời họp, đặt lại mật khẩu hoặc các chủ đề tài chính và chính trị khác nhau có chứa URL chuyển hướng OAuth. Đôi khi, các URL này được nhúng trong các tệp PDF để tránh bị phát hiện.

Cảnh báo về tài khoản Microsoft 365 (mồi nhử)

Các ứng dụng OAuth được đăng ký với nhà cung cấp danh tính, chẳng hạn như Microsoft Entra ID, sử dụng giao thức OAuth 2.0 để có quyền truy cập được ủy quyền hoặc ở cấp ứng dụng vào dữ liệu và tài nguyên của người dùng.

Trong các chiến dịch mà Microsoft quan sát, tin tặc tạo ra các ứng dụng OAuth độc hại trong một môi trường mà chúng kiểm soát và cấu hình với một URI chuyển hướng trỏ đến cơ sở hạ tầng của kẻ tấn công.

Các nhà nghiên cứu cho biết, ngay cả khi URL của Entra ID trông giống như các yêu cầu ủy quyền hợp lệ, điểm cuối vẫn được gọi với các tham số xác thực bí mật mà không cần đăng nhập tương tác và phạm vi không hợp lệ gây ra lỗi xác thực. Điều này buộc nhà cung cấp danh tính phải chuyển hướng người dùng đến URI chuyển hướng do tin tặc cấu hình.

Trong một số trường hợp, nạn nhân bị chuyển hướng đến các trang lừa đảo được vận hành bởi các framework tấn công trung gian như EvilProxy, có thể chặn các phiên cookie hợp lệ để vượt qua các biện pháp bảo vệ xác thực đa yếu tố (MFA).

Microsoft phát hiện rằng tham số “state” đã bị lạm dụng để tự động điền địa chỉ email của nạn nhân vào ô thông tin đăng nhập trên trang lừa đảo, làm tăng cảm giác xác thực.

Tổng quan về cuộc tấn công chuyển hướng OAuth

Trong những trường hợp khác, nạn nhân bị chuyển hướng đến đường dẫn “/download”, đường dẫn này tự động cung cấp một tệp ZIP chứa các tệp shortcut độc hại (.LNK) và các công cụ sao chép HTML. Việc mở tệp LNK sẽ khởi chạy PowerShell, chương trình này thực hiện trinh sát trên máy chủ bị xâm nhập và trích xuất các thành phần cần thiết cho bước tiếp theo, đó là DLL sideloading.

Một DLL độc hại (crashhandler.dll) giải mã và tải payload cuối cùng (crashlog.dat) vào bộ nhớ, trong khi một tệp thực thi hợp pháp (stream_monitor.exe) tải một chương trình giả mạo để đánh lạc hướng nạn nhân.

Chuỗi tấn công phần mềm độc hại

Microsoft khuyến nghị các tổ chức nên thắt chặt quyền truy cập đối với các ứng dụng OAuth, thực thi các biện pháp bảo vệ danh tính mạnh mẽ và chính sách Conditional Access, đồng thời sử dụng tính năng phát hiện liên miền trên email, danh tính và thiết bị đầu cuối. Gã khổng lồ công nghệ nhấn mạnh, các cuộc tấn công được quan sát là các mối đe dọa dựa trên danh tính, lợi dụng một hành vi được thiết kế sẵn trong khuôn khổ OAuth, hoạt động theo đúng tiêu chuẩn quy định cách xử lý lỗi ủy quyền thông qua chuyển hướng.

Các nhà nghiên cứu cảnh báo các tác nhân đe dọa hiện đang kích hoạt lỗi OAuth thông qua các tham số không hợp lệ, chẳng hạn như scope hoặc prompt=none, để buộc chuyển hướng lỗi ngầm như một phần của các cuộc tấn công thực tế.