Cảnh Báo: Mạng Botnet Khổng Lồ Khai Thác Xác Thực Cơ Bản Để Tấn Công Microsoft 365
Tổng Quan
SecurityScorecard đã phát hiện một chiến dịch tấn công đang diễn ra, sử dụng một mạng botnet khổng lồ gồm hơn 130.000 máy bị xâm phạm để nhắm mục tiêu vào các tài khoản Microsoft 365 (M365) thông qua các cuộc tấn công phun mật khẩu quy mô lớn. Điểm độc đáo của chiến dịch này là việc khai thác các đăng nhập không tương tác bằng xác thực cơ bản (Basic Authentication), cho phép bỏ qua các biện pháp bảo vệ đăng nhập hiện đại và tránh thực thi xác thực đa yếu tố (MFA). Tác nhân đe dọa này đang tận dụng thông tin đăng nhập bị đánh cắp từ các nhật ký infostealer, cho phép hệ thống nhắm mục tiêu các tài khoản ở quy mô lớn. Các cuộc tấn công này được ghi lại trong nhật ký Đăng nhập không tương tác (Non-Interactive Sign-In logs), thường bị các đội bảo mật bỏ qua.
Điểm Chính
- Tác Nhân: Nghi ngờ có liên kết với Trung Quốc.
- Mục Tiêu: Tài khoản Microsoft 365.
- Kỹ Thuật: Password Spraying, lạm dụng xác thực cơ bản, khai thác đăng nhập không tương tác, sử dụng thông tin đăng nhập bị đánh cắp từ nhật ký infostealer, và tránh né bằng proxy.
- Cơ Sở Hạ Tầng: 6 máy chủ Command & Control (C2) đặt tại Mỹ, sử dụng proxy tại UCLOUD HK và CDS Global Cloud.
- Tác Động: Chiếm đoạt tài khoản, gián đoạn kinh doanh, di chuyển ngang, né tránh MFA, và vượt qua các Chính sách Truy cập Có Điều Kiện (CAP).
Phân Tích Kỹ Thuật
- Phun Mật Khẩu và Đăng Nhập Không Tương Tác: Chiến dịch này khai thác một lỗ hổng trong cách Microsoft 365 xử lý các đăng nhập không tương tác. Các đăng nhập này, thường được sử dụng cho các giao thức kế thừa như POP, IMAP, SMTP và các quy trình tự động, không kích hoạt MFA trong nhiều cấu hình. Xác thực Cơ bản, mặc dù đang trong quá trình ngừng hoạt động, vẫn được bật trong một số môi trường, cho phép thông tin đăng nhập được truyền ở dạng văn bản đơn giản hoặc mã hóa base64, khiến nó trở thành mục tiêu chính cho các tác nhân tấn công.
- Indicators of Compromise – IoCs:
- Các nỗ lực đăng nhập không tương tác bất thường trong nhật ký Đăng nhập không tương tác của Entra ID.
- Nhiều lần đăng nhập thất bại cho một tài khoản từ nhiều địa chỉ IP khác nhau.
- Chuỗi User-Agent liên quan đến các công cụ tự động hóa (ví dụ: “fasthttp”).
- Giao tiếp đến bất kỳ địa chỉ IP nào được xác định là C2:
Phân Tích Hạ Tầng
- Cấu Trúc C2: Các máy chủ C2 chạy Apache Zookeeper và Kafka, cho thấy một cấu trúc phân tán và phức tạp. Zookeeper được sử dụng để quản lý và điều phối mạng botnet, trong khi Kafka xử lý các luồng dữ liệu. Múi giờ của máy chủ được đặt thành “Asia/Shanghai,” gợi ý về nguồn gốc của chiến dịch.
- Thông Tin Thêm Về Server Hosting in US:
- Servers Hosting in US có rating “F” trên nền tảng SecurityScorecard TPRM, có mối tương quan lớn đến nguy cơ vi phạm.
- Có ít nhất 11 địa chỉ IP trên hầu hết các danh sách chặn IP công khai.
- 246 IP chạy SMTP trên các cổng không chuẩn.
- 274 ứng dụng/trình theo dõi không mong muốn tiềm ẩn đang được lưu trữ.
- Các Cổng C2 Chung:
| Cổng | Dịch Vụ | Sử Dụng Có Thể |
| 1002 | Chưa gán | Không rõ |
| 2181 | Zookeeper | Quản lý cấu trúc botnet phân tán Kafka |
| 3306 | MySQL | Lưu trữ dữ liệu bị đánh cắp hoặc cấu hình botnet |
| 6379 | Redis | Kho lưu trữ giá trị-khóa cho tác vụ botnet |
| 7779 | Không rõ | Không rõ |
| 8081 | Dịch vụ web Jetty | Dịch vụ truy vấn Zookeeper |
| 10050 | Zabbix Agent | Giám sát botnet tiềm năng |
| 33060 | MySQL X Protocol | Sử dụng với dịch vụ MySQL |
| 12341 | Kênh C2 botnet (Đăng ký máy khách) | |
| 12342 | Có thể dùng để giao nhiệm vụ cho máy bị nhiễm | |
| 12347 | Exfil dữ liệu hoặc C2 sao lưu | |
| 12348 | Thi hành lệnh C2 chính |
Liên Kết Với Nhật Ký Infostealer
Việc phân tích mối tương quan giữa người dùng được xác định trong các nhật ký không tương tác và thông tin đăng nhập bị xâm phạm cho thấy các kết quả khớp cho những người dùng bị ảnh hưởng. Điều này khẳng định rằng tác nhân đe dọa đang sử dụng thông tin đăng nhập bị đánh cắp từ các nhật ký infostealer.
Khuyến Nghị
- Tắt Xác Thực Cơ Bản: Vô hiệu hóa xác thực cơ bản hoàn toàn để ngăn chặn hình thức tấn công này.
- Sử Dụng Xác Thực Đa Yếu Tố (MFA): Yêu cầu MFA cho tất cả tài khoản.
- Thực Thi Chính Sách Truy Cập Có Điều Kiện (CAP): Sử dụng CAP để hạn chế quyền truy cập dựa trên các yếu tố như vị trí, thiết bị và rủi ro đăng nhập.
- Giám Sát Nhật Ký: Liên tục theo dõi nhật ký đăng nhập, đặc biệt là nhật ký Đăng nhập không tương tác, để phát hiện các hoạt động đáng ngờ.
- Giám Sát Thông Tin Đăng Nhập Bị Rò Rỉ: Theo dõi các diễn đàn ngầm để tìm thông tin đăng nhập bị rò rỉ và chủ động đặt lại tài khoản bị xâm phạm.
- Chặn Địa Chỉ IP: Chặn các địa chỉ IP liên quan đến mạng botnet.
Kết Luận
Chiến dịch botnet này nêu bật tầm quan trọng của việc ngừng sử dụng xác thực cơ bản, chủ động giám sát các mẫu đăng nhập và thực hiện các cơ chế phát hiện mạnh mẽ cho các nỗ lực phun mật khẩu. Việc tác nhân đe dọa sử dụng nhật ký Đăng nhập Không Tương Tác để trốn tránh MFA và có thể là Chính sách truy cập có điều kiện nhấn mạnh sự cần thiết của các tổ chức để đánh giá lại các chiến lược xác thực của họ. Ngoài ra, các tổ chức nên theo dõi thông tin đăng nhập bị rò rỉ trên các diễn đàn ngầm và nhanh chóng hành động để đặt lại các tài khoản bị xâm phạm.
Tham khảo
| Bài viết độc quyền của chuyên gia FPT IS
Đinh Văn Mạnh – Trung tâm An toàn, bảo mật thông tin FPT |
