Các cuộc tấn công lừa đảo nhắm vào Outlook Web App

Một nhóm gián điệp mạng đã sử dụng các kỹ thuật lừa đảo để đánh cắp thông tin đăng nhập email của các nhân viên cơ quan quân sự, đại sứ quán, nhà thầu quốc phòng và các cơ quan truyền thông quốc tế có sử dụng Outlook Web App của Office 365.

Nhóm tội phạm đứng đằng sau chiến dịch tấn công đã hoạt động ít nhất là từ năm 2007, theo các nhà nghiên cứu từ Trend Micro, những người đã công bố một bài nghiên cứu vào hôm thứ tư về các cuộc tấn công họ gọi là Operation Pawn Storm.

Những kẻ tấn công Pawn Storm đã sử dụng một loạt các kỹ thuật trong những năm qua để xâm nhập mục tiêu, bao gồm email lừa đảo với file đính kèm Microsoft Office độc hại cài đặt một chương trình phần mềm độc hại loại backdoor gọi là SEDNIT hoặc Sofacy, hay khai thác có chọn lọc lây nhiễm cho các trang web hợp pháp bị xâm nhập.

Nhóm này sử dụng một kỹ thuật đặc biệt thú vị trong các cuộc tấn công lừa đảo sử dụng  email nhắm vào các tổ chức sử dụng Outlook Web App (OWA), một phần của dịch vụ Microsoft’s Office 365 .

Với mỗi cuộc tấn công lừa đảo, nhóm tạo ra hai tên miền giả: một cái rất giống trang web của bên thứ ba được các nạn nhân biết tới – ví dụ như của một hội nghị ngành công nghiệp sắp diễn ra và một tên miền tương tự được sử dụng bởi Outlook Web App của tổ chức bị nhắm mục tiêu.

Những kẻ tấn công sau đó tạo ra các email lừa đảo với một liên kết đến các trang web giả mạo của bên thứ ba, nơi chúng giữ mã JavaScript không độc hại với 2 mục đích: để mở trang web hợp pháp thực tế trong một tab mới và chuyển hướng tab trình duyệt Outlook Web App đã mở đến một trang lừa đảo.

Kỹ thuật này không khai thác bất kỳ lỗ hổng nào và hiệu quả với bất kỳ các trình duyệt phổ biến nào, bao gồm Internet Explorer, Mozilla Firefox, Google Chrome và Safari của Apple, các nhà nghiên cứu cho biết. Tuy nhiên, hai điều kiện cần phải được đáp ứng: các nạn nhân phải sử dụng OWA và họ phải bấm vào các liên kết nhúng từ cửa sổ xem trước OWA.

Ngoài việc sử dụng các tên miền là rất giống với những tên miền được sử dụng bởi các tổ chức bị nhắm mục tiêu cho trang đăng nhập OWA thực sự của họ, trong một số trường hợp những kẻ tấn công thậm chí mua chứng chỉ SSL hợp pháp để trình duyệt của nạn nhân hiển thị các chỉ số kết nối an toàn HTTPS cho trang web lừa đảo, các nhà nghiên cứu của Trend Micro cho biết.

Nạn nhân của kỹ thuật này bao gồm nhân viên của các công ty quân sự tư nhân nước Mỹ ACADEMI, trước đây gọi là Blackwater; Tổ chức An ninh và Hợp tác châu Âu (OSCE); Bộ ngoại giao Mỹ; Nhà thầu chính phủ Mỹ SAIC; một công ty đa quốc gia có trụ sở tại Đức; Toà Đại Sứ Vatican ở Iraq; các đài phát thanh truyền hình một số quốc gia; Bộ quốc phòng của Pháp và Hungary, các quan chức quân đội Pakistan; Nhân viên chính phủ Ba Lan và các viện quân sự từ các nước khác nhau.

Pcworld