Phát hiện ARToken: Công cụ phishing mới nhắm vào Microsoft 365, đánh cắp token không cần mật khẩu
- Evelyn Carter

- 5 ngày trước
- 4 phút đọc
Một công cụ phishing mới có tên ARToken đang thu hút sự chú ý của giới nghiên cứu an toàn thông tin khi lợi dụng cơ chế đăng nhập hợp pháp của Microsoft 365 để chiếm quyền truy cập tài khoản.
Thay vì đánh cắp mật khẩu như các chiến dịch phishing truyền thống, ARToken hướng người dùng tự xác thực phiên đăng nhập, từ đó giúp kẻ tấn công lấy được token truy cập hợp lệ và tiếp tục khai thác tài khoản.
ARToken là gì và hoạt động như thế nào?
Theo báo cáo của Cisco Talos được chia sẻ với Cyber Security News, ARToken được phát hiện trong quá trình điều tra hạ tầng phục vụ các chiến dịch phishing. Quá trình phân tích đã lần theo mã nguồn của công cụ tới một bảng quản trị đang công khai toàn bộ bộ tính năng của nền tảng.
ARToken khai thác OAuth Device Code Flow, cơ chế đăng nhập do Microsoft thiết kế dành cho các thiết bị không có bàn phím hoặc trình duyệt. Bộ công cụ sẽ hiển thị một mã thiết bị và yêu cầu nạn nhân nhập mã này tại trang Microsoft chính thức. Khi người dùng hoàn tất xác thực, kẻ tấn công sẽ nhận được token truy cập hợp lệ mà không cần biết mật khẩu hay yêu cầu thêm mã xác thực đa yếu tố.

Vì sao ARToken được đánh giá là mối đe dọa đáng chú ý?
Điểm khác biệt của ARToken không chỉ nằm ở khả năng đánh cắp token đăng nhập mà còn ở những công cụ hỗ trợ khai thác sau khi xâm nhập.
Bảng điều khiển này tích hợp hơn 80 chức năng, cho phép làm mới token đã đánh cắp, đọc toàn bộ hộp thư điện tử của nạn nhân, đồng thời truy cập và tải dữ liệu từ SharePoint cũng như OneDrive. Điều đó đồng nghĩa với việc chỉ một lần xác thực thành công cũng có thể mở ra cơ hội để kẻ tấn công tiếp tục khai thác sâu hơn tài khoản Microsoft 365.
ARToken có liên quan đến EvilTokens?
Cisco Talos nhận định ARToken có nhiều điểm tương đồng với EvilTokens, một nền tảng phishing-as-a-service từng được Sekoia ghi nhận và sau đó được Microsoft xác nhận là mối đe dọa trên diện rộng.
Theo các nhà nghiên cứu, ARToken chia sẻ hạ tầng, cách xây dựng mã nguồn và nhiều lệnh backend giống với EvilTokens, cho thấy đây có thể là một phiên bản đổi tên hoặc một nhánh phát triển trong cùng hệ sinh thái.
Kịch bản tấn công được triển khai ra sao?
Cuộc tấn công thường bắt đầu bằng email giả mạo một đối tác hoặc nhà cung cấp có thật nhằm tạo lòng tin với người nhận.
Trong trường hợp được các nhà nghiên cứu phân tích, email mạo danh bộ phận phụ trách thanh toán của một nhà thầu hợp pháp và dẫn người dùng tới liên kết được cho là chứa hóa đơn trên SharePoint.
ARToken sử dụng những kỹ thuật né tránh nào?
Trước khi hiển thị nội dung phishing, ARToken thực hiện quy trình sàng lọc gồm bảy lớp nhằm loại bỏ các hệ thống quét bảo mật và bot tự động.Bộ công cụ kiểm tra dấu vết trình duyệt, theo dõi chuyển động chuột và trì hoãn gần một giây trước khi kích hoạt nội dung nhằm xác định người truy cập là người dùng thật.
Sau khi có quyền truy cập, đối tượng tấn công có thể đọc toàn bộ email, gửi thư từ chính tài khoản bị xâm nhập và tạo các quy tắc hộp thư để ẩn hoặc tự động chuyển tiếp các email liên quan đến hoạt động xâm nhập.
Người dùng Microsoft 365 cần lưu ý điều gì?
Các nhóm bảo mật nên cảnh giác với những yêu cầu nhập Device Code xuất hiện ngoài dự kiến. Đồng thời, mọi yêu cầu liên quan đến hóa đơn hoặc tài liệu quan trọng nên được xác minh thông qua một kênh liên lạc độc lập trước khi thực hiện bất kỳ thao tác xác thực nào.

Việc ARToken xuất hiện cho thấy các chiến dịch phishing đang chuyển sang khai thác những cơ chế xác thực hợp pháp thay vì chỉ tập trung đánh cắp mật khẩu. Người dùng Microsoft 365 cần đặc biệt thận trọng với các yêu cầu xác thực bất thường và kiểm tra kỹ nguồn gốc của email, tài liệu hoặc liên kết trước khi thực hiện đăng nhập để hạn chế nguy cơ bị đánh cắp token truy cập.
Giải pháp nào cho việc bảo vệ “lá chắn số” của doanh nghiệp?
Để bảo vệ hệ thống công nghệ thông tin và nâng cao năng lực an toàn thông tin trước các chiến dịch tấn công nhắm mục tiêu tinh vi. IPSIP Việt Nam cung cấp các giải pháp bảo mật toàn diện, giám sát an ninh mạng chuyên nghiệp và dịch vụ ứng cứu sự cố kịp thời, giúp doanh nghiệp vững tâm phát triển kinh doanh.

Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động 24/7 như Trung tâm Giám sát An ninh mạng (SOC 24/7), Trung tâm Điều hành Mạng lưới (NOC 24/7) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm.
Nguồn tham khảo










Bình luận