top of page

Cảnh báo: Lừa đảo Azure Monitor Alerts – Khi tin tặc mượn danh Microsoft

  • 24 thg 3
  • 3 phút đọc

Trong bối cảnh an ninh mạng tại Việt Nam ngày càng phức tạp, các chuyên gia tại ipsip.vn vừa ghi nhận một chiến dịch tấn công Callback Phishing (hay còn gọi là kỹ thuật BazarCall) tinh vi chưa từng có. Tin tặc không còn giả mạo email mà trực tiếp lạm dụng hạ tầng chính thống của Microsoft để gửi đi các thông báo lừa đảo.

1. Tấm "giấy thông hành" hoàn hảo: Vượt rào SPF, DKIM và DMARC

Sở dĩ cuộc tấn công này có tỷ lệ thành công cao là nhờ email gửi đi từ địa chỉ chính thức azure-noreply@microsoft.com. Khi phân tích Header của một email lừa đảo, chúng ta thấy các kết quả xác thực đều ở trạng thái PASS:

Authentication-Results: relay.mimecast.com;
	dkim=pass header.d=microsoft.com header.s=s1024-meo header.b=CKfQ8iOB;
	arc=pass ("microsoft.com:s=arcselector10001:i=1");
	dmarc=pass (policy=reject) header.from=microsoft.com;
	spf=pass (relay.mimecast.com: domain of azure-noreply@microsoft.com designates 40.107.200.103 as permitted sender) smtp.mailfrom=azure-noreply@microsoft.com

Điều này có nghĩa là mọi hệ thống bảo mật email hiện đại nhất (như Mimecast, Proofpoint hay Google Workspace) đều sẽ tin tưởng nội dung này, vì nó được ký số và gửi đi bởi chính hạ tầng của Microsoft.

Cảnh báo của Microsoft Azure Monitor được sử dụng trong một vụ lừa đảo gọi lại (callback phishing).
Cảnh báo của Microsoft Azure Monitor được sử dụng trong một vụ lừa đảo gọi lại (callback phishing).
Trường mô tả khi tạo cảnh báo Azure Monitor
Trường mô tả khi tạo cảnh báo Azure Monitor

2. Danh sách các "mồi nhử" (Alert Rules) được ghi nhận

Tin tặc sử dụng tính năng Azure Monitor Alert Rules để tạo ra các thông báo gây hoang mang cho cả bộ phận Tài chính lẫn bộ phận Kỹ thuật. Dưới đây là các loại quy tắc (Rule) mà chúng thường xuyên sử dụng:

Nhóm 1: Giả mạo hóa đơn và thanh toán (Nhắm vào nhân sự kế toán)

Các thông báo này mô phỏng quy trình thanh toán tự động của Microsoft Azure để yêu cầu người dùng gọi điện "hủy giao dịch":

  • Azure monitor alert rule order-22455340 was resolved for invoice22455340

  • Azure monitor alert rule Invoice Paid INV-d39f76ef94 was resolved for invd39f76ef94

  • Azure monitor alert rule Payment Reference INV-22073494 was resolved for purchase22073494

  • Azure monitor alert rule Funds Successfully Received-ec5c7acb41 was triggered for subec5c7acb41

Nhóm 2: Giả mạo lỗi hệ thống (Nhắm vào quản trị viên IT)

Để lừa những người có chuyên môn kỹ thuật, tin tặc tạo ra các cảnh báo về hiệu năng hạ tầng, khiến quản trị viên lo sợ hệ thống bị sập:

  • Azure monitor alert rule MemorySpike-9242403-A4 was triggered (Cảnh báo RAM tăng đột biến)

  • Azure monitor alert rule DiskFull-3426456-A6 was triggered for locker3426456 (Cảnh báo đầy ổ cứng)

Khi người dùng nhận được các cảnh báo này, họ thường có xu hướng gọi vào số điện thoại đính kèm trong email để được "hỗ trợ kỹ thuật". Tại đó, kẻ tấn công sẽ hướng dẫn họ cài đặt phần mềm điều khiển từ xa để thực hiện hành vi chiếm đoạt tài khoản.

3. Giải pháp bảo vệ

Cuộc tấn công này khai thác Feature Abuse (lạm dụng tính năng) chứ không phải lỗi phần mềm truyền thống. Do đó, doanh nghiệp cần triển khai các giải pháp phòng thủ chủ động:

  • Giám sát cấu hình Azure (Cloud Governance): Theo dõi chặt chẽ mọi thay đổi trong Action Groups và Alert Rules. Bất kỳ quy tắc nào liên quan đến "Invoice" hay "Payment" được tạo ra bởi người dùng không có thẩm quyền đều là dấu hiệu đỏ.

Cuộc tấn công Microsoft Azure khai thác Feature Abuse (lạm dụng tính năng)
Cuộc tấn công Microsoft Azure khai thác Feature Abuse (lạm dụng tính năng)

Thực thi Zero Trust: Sử dụng Giải pháp Bảo mật hạ tầng của IPSIP để kiểm soát quyền truy cập vào Portal Azure, đảm bảo chỉ những người dùng được xác thực MFA mới có quyền tạo thông báo.

  • Xây dựng quy trình phản ứng nhanh (IR): Khi nhận được cảnh báo thanh toán từ Azure, nhân viên cần kiểm tra trực tiếp trên cổng Azure Billing Portal, tuyệt đối không gọi vào các số điện thoại lạ cung cấp qua email.

Nếu doanh nghiệp của bạn đang vận hành trên Cloud và cần một hệ thống giám sát an ninh mạng chuyên nghiệp, hãy tham khảo:

Chiến dịch lừa đảo Azure Monitor là một minh chứng cho thấy sự tinh quái của tin tặc khi tận dụng chính uy tín của Microsoft để làm "lá chắn". Việc nhận diện được các tên lỗ hổng và các dòng quy tắc lừa đảo như MemorySpike hay Invoice Paid là vũ khí quan trọng nhất để doanh nghiệp tự bảo vệ mình.

-----

Nguồn tham khảo:

  • BleepingComputer: Microsoft Azure Monitor alerts abused in callback phishing.

  • TechRadar: Watch out for suspicious Microsoft Azure Monitor alerts.

Bình luận

LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page