Triệt phá RaccoonO365 đánh cắp hơn 5000 tài khoản Microsoft
Vừa qua, đội ngũ các chuyên gia an ninh mạng Digital Crimes Unit (DCU) thuộc Microsoft phối hợp với các chuyên gia an ninh mạng Cloudforce One và Trust & Safety thuộc Cloudflare đã thành công triệt phá RaccoonO365, một chiến dịch Phishing-as-a-Service (PhaaS) quy mô lớn đã giúp tội phạm mạng đánh cắp hơn 5000 ngàn thông tin đăng nhập Microsoft 365 từ 94 quốc gia trên toàn thế giới.
Thông tin chi tiết
RaccoonO365 (hay còn được theo dõi dưới cái tên Storm-2246) là một tổ chức tội phạm mạng hoạt động theo mô hình Phishing-as-a-Service (PhaaS), nhắm mục tiêu rộng rãi đến người dùng Microsoft 365, cho phép tin tặc thuê dịch vụ này có thể tiến hành các chiến dịch đánh cắp hàng ngàn thông tin đăng nhập. Theo báo cáo của Microsoft, kể từ tháng 7 năm 2024, thông qua kênh liên lạc Telegram riêng tư, nhóm đã phát tán bộ công cụ RaccoonO365 Suite tới hơn 800 thành viên và đánh cắp ít nhất 5000 tài khoản Microsoft từ 94 quốc gia trên toàn thế giới.
Qua theo dõi, điểm chung của các cuộc tấn công đánh cắp thông tin đó là đóng giả thành các dịch vụ nổi tiếng như DocuSign, SharePoint, Adobe. Các email phishing thường đính kèm tệp tin gắn với một liên kết hoặc một mã QR dẫn tới một trang web có CAPTCHA đơn giản. Người dùng sau khi vượt qua lớp CAPTCHA trên sẽ được chuyển hướng đến một trang đăng nhập giả mạo của Microsoft O365 để thu thập thông tin của họ. Mặt khác, công cụ của nhóm cũng được áp dụng các kỹ thuật chống bot để trông hợp pháp, tránh bị phân tích và gia tăng tính chân thực hơn đối với nạn nhân.
Các chuyên gia an ninh mạng của Microsoft đánh giá, việc thành công đánh cắp thông tin đăng nhập có thể là bước đầu của các chiến dịch lây nhiễm phần mềm độc hại hoặc ransomware lên hệ thống của nạn nhân. Mặt khác, bằng các thông tin đã đánh cắp được, kẻ tấn công cũng có thể dễ dàng truy cập vào hệ thống OneDrive, SharePoint, Outlook,… từ đó mở ra cơ hội để xâm nhập vào hệ thống của các nạn nhân khác.
Khắc phục & Khuyến nghị
Các chuyên gia bảo mật thuộc Cloudforce One khuyến cáo người dùng nên thực hiện nâng cao bảo mật cá nhân nhằm tránh trở thành nạn nhân của các chiến dịch đánh cắp thông tin của tin tặc, bao gồm:
Bảo mật Email và Xác thực danh tính: Sử dụng bảo mật email nâng cao để phát hiện và ngừng các mối đe dọa phishing trước khi chúng đến hộp thư đến. Áp dụng MFA chống phishing thay vì SMS/OTP và thực thi các chính sách truy cập có điều kiện.
Đào tạo và Nâng cao nhận thức người dùng: Tổ chức đào tạo mô phỏng phishing liên tục để giúp nhân viên nhận diện các mối đe dọa phổ biến và khuyến khích báo cáo email nghi ngờ thay vì đổ lỗi.
Bảo vệ web và Thiết bị đầu cuối: Sử dụng DNS filtering và cách ly trình duyệt cho các giao dịch nhạy cảm. Triển khai EDR/XDR để phát hiện các hành vi bất thường sau phishing.
Sẵn sàng phản hồi sự cố: Chủ động rà soát nhằm phát hiện và thu hồi sớm cookie phiên và token OAuth bị đánh cắp. Xây dựng kịch bản khẩn cấp để đặt lại thông tin đăng nhập và phục hồi tài khoản nhanh chóng.
