Cảnh báo Phishing: Nhóm Tycoon2FA nhắm vào người dùng Microsoft 365


Bối cảnh
Gần đây, các chuyên gia bảo mật phát hiện một làn sóng các chiến dịch phishing có mục tiêu cụ thể, nhắm vào người dùng Microsoft 365. Những chiến dịch này do nhóm Tycoon2FA – một tác nhân đe dọa nổi tiếng chuyên về phishing-as-a-service (PhaaS) – thực hiện. Mục đích chính của các chiến dịch là đánh cắp thông tin đăng nhập của người dùng nhằm chiếm đoạt tài khoản.
Các email phishing giả danh các thông báo chính thức từ Microsoft, như cảnh báo bảo mật hoặc yêu cầu xác thực đa yếu tố (2FA), nhằm tạo cảm giác cấp bách để dụ người dùng nhấp vào các liên kết giả mạo.
Nhóm Tycoon2FA là ai?
Tycoon2FA là một nhóm tội phạm mạng nổi tiếng chuyên hoạt động trong lĩnh vực Phishing-as-a-Service (PhaaS) – tức là họ không chỉ tự thực hiện các cuộc tấn công, mà còn phát triển và cung cấp các công cụ phishing cùng dịch vụ hỗ trợ cho những kẻ tấn công khác. Điều này giống như một “dịch vụ thuê ngoài” giúp các đối tượng khác dễ dàng tổ chức các chiến dịch lừa đảo, đặc biệt nhắm vào người dùng các nền tảng đám mây phổ biến như Microsoft 365.
Điểm đáng chú ý ở Tycoon2FA là sự tinh vi trong việc cập nhật và nâng cao kỹ thuật tấn công. Họ không chỉ dùng các phương pháp truyền thống mà còn áp dụng các thủ thuật mới, như việc tạo URL bị lỗi cú pháp (malformed URLs) hay thiết kế chuỗi chuyển hướng phức tạp, nhằm đánh lừa các hệ thống bảo mật tiên tiến nhất. Những chiến thuật này giúp họ dễ dàng vượt qua các lớp bảo vệ email và trình duyệt mà nhiều tổ chức tin tưởng sử dụng.
Một điểm đáng chú ý nữa là Tycoon2FA tận dụng hạ tầng đám mây hợp pháp như Microsoft Azure, Cloudflare Workers hay Google DoubleClick để lưu trữ và phân phối nội dung phishing. Việc này không chỉ giúp tăng tính tin cậy đối với nạn nhân mà còn làm cho việc phát hiện và gỡ bỏ các trang giả mạo trở nên cực kỳ khó khăn với các đội ngũ bảo mật.
Nhóm này cũng thường xuyên spam hàng loạt các yêu cầu xác thực đa yếu tố (2FA) giả mạo để thu thập thông tin đăng nhập, một phương pháp rất hiệu quả khi nhiều tổ chức đang tăng cường sử dụng 2FA nhằm bảo vệ tài khoản.
Tycoon2FA là minh chứng cho xu hướng ngày càng gia tăng của các nhóm tội phạm mạng sử dụng mô hình dịch vụ phishing chuyên nghiệp, tinh vi, và có hệ thống. Họ không chỉ đơn thuần là kẻ tấn công, mà còn là nhà cung cấp công cụ và chiến thuật cho cộng đồng tội phạm mạng, làm cho cuộc chiến bảo mật trở nên ngày càng khó khăn hơn.
Phân tích kỹ thuật
Dưới đây là một vài kỹ thuật tinh vi mà được các nhóm tội phạm sử dụng để thực hiện hành vi phishing:
Kỹ thuật sử dụng URL bị lỗi cú pháp (Malformed URLs)
Nhóm tấn công sử dụng URL có dấu gạch chéo ngược (backslash) thay vì dấu gạch chéo xuôi (forward slash) chuẩn, ví dụ: https:\\
thay vì https://
. Đây là một cách làm có chủ đích nhằm tạo ra các URL “bị lỗi cú pháp” mà các bộ lọc bảo mật email thông thường thường bỏ qua hoặc giảm mức ưu tiên kiểm tra.
Mặc dù vậy, các trình duyệt hiện đại vẫn có thể tự động xử lý và chuyển đổi các URL này thành dạng chuẩn, dẫn người dùng đến các trang phishing tinh vi. Do đó, phương pháp này tạo ra một điểm mù trong hệ thống bảo mật email, giúp kẻ tấn công né tránh việc bị phát hiện và việc bị chặn.
Kỹ thuật sử dụng Blob URI để tránh phát hiện
Ngoài ra, một kỹ thuật tiên tiến khác được phát hiện gần đây là việc lợi dụng Blob URI (Uniform Resource Identifier) — một dạng địa chỉ do trình duyệt tạo ra để tham chiếu tới dữ liệu cục bộ trong bộ nhớ trình duyệt, như các file hình ảnh, âm thanh hay video tạm thời.
Trong các chiến dịch phishing, thay vì dẫn trực tiếp đến trang web độc hại trên internet (dễ bị các hệ thống bảo mật phát hiện), email sẽ gửi người dùng đến một trang trung gian hợp pháp, ví dụ như onedrive.live.com. Trang trung gian này sau đó sẽ chuyển hướng người dùng sang một trang HTML do kẻ tấn công kiểm soát, trang này tạo ra một Blob URI chứa toàn bộ nội dung trang phishing ngay trong bộ nhớ trình duyệt của nạn nhân.
Hình 1. Một trang URI blob giả mạo trang đăng nhập OneDrive
Điểm đặc biệt là Blob URI chỉ tồn tại cục bộ trên trình duyệt, không thể truy cập hoặc quét từ xa bằng các công cụ bảo mật thông thường. Điều này làm cho việc phát hiện nội dung phishing trở nên rất khó khăn, bởi các công cụ phân tích tự động hoặc phần mềm quét email không thể xem trước nội dung của Blob URI. Người dùng sẽ thấy một trang đăng nhập giả mạo rất giống trang Microsoft hoặc OneDrive, dễ bị đánh lừa và nhập thông tin đăng nhập.
Hình 2. Chuỗi lây nhiễm của cuộc tấn công lừa đảo Blob URI
Sử dụng các nền tảng đám mây hợp pháp làm “hạ tầng dùng một lần”
Các trang phishing thường được lưu trữ trên các nền tảng đám mây uy tín như Microsoft Azure, Cloudflare Workers hoặc Google DoubleClick. Việc tận dụng các dịch vụ hợp pháp này khiến việc phát hiện và gỡ bỏ trở nên khó khăn hơn rất nhiều.
Chuỗi chuyển hướng phức tạp và mô phỏng dịch vụ đáng tin cậy
Email phishing thường gửi người dùng tới các trang trung gian hợp pháp nhằm tránh bị đánh dấu bởi hệ thống bảo mật. Từ đó, người dùng được chuyển tiếp đến các trang HTML do kẻ tấn công kiểm soát, có giao diện giống hệt các trang đăng nhập Microsoft 365 hoặc OneDrive.
Sử dụng tên miền giả mạo
Hạ tầng tấn công sử dụng tên miền và tên miền phụ rất giống với các dịch vụ chính thống, tăng tính thuyết phục và khả năng thành công của kỹ thuật xã hội (social engineering).
IOCs liên quan đến chiến dịch Tycoon2FA
IOC URL | Description |
hxxps[://]microsftmailonlinenyukmvdx2t[.]lgotsna[.]es/ | Typo-squatted domain targeting M365 users |
hxxps[://]googleads[.]g[.]doubleclick[.]net/pcs/click?adurl=%68%74%74%70%73%3A%2F%2F%34[…]%6E%65%74# | Redirect via encoded ad link |
hxxps[://]783784387348438743-fkhghccdfzc8e8cd[.]z02[.]azurefd[.]net/ | Azure-hosted phishing page |
hxxps[://]4839794398349343-g4eydqdkguhcdvgs[.]z02[.]azurefd[.]net | Azure-hosted credential harvesting site |
hxxps[://]sdnxk0t5-q[.]alt-bq-4o27qr9a[.]workers[.]dev | Cloudflare Workers disposable phishing |
hxxps[://]9kp6wgtaqr[.]cloudflareemail2109399[.]workers[.]dev | Cloudflare Workers disposable phishing |
Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch tấn công đặc biệt nguy hiểm này:
Cập nhật và nâng cấp hệ thống bảo mật email: Các tổ chức sử dụng Microsoft 365 cần cập nhật bộ lọc email để phát hiện và xử lý các URL bị lỗi cú pháp, cũng như các chuỗi chuyển hướng phức tạp thường được dùng trong các chiến dịch phishing hiện đại.
Tăng cường bảo vệ trình duyệt: Triển khai các cơ chế chặn truy cập tới các tên miền độc hại mới phát hiện và cảnh báo người dùng về các trang khả nghi.
Nâng cao nhận thức người dùng: Đào tạo người dùng cách nhận biết các email phishing, đặc biệt những email có yêu cầu xác thực 2FA hoặc cảnh báo bảo mật bất thường; hướng dẫn kiểm tra tính hợp pháp của URL trước khi nhập thông tin đăng nhập.
Phân tích hành vi và ứng dụng trí tuệ nhân tạo: Sử dụng các công cụ phân tích hành vi người dùng và AI để phát hiện sớm các dấu hiệu bất thường trong tương tác email và truy cập web.
Theo dõi và xử lý hạ tầng tấn công: Tăng cường giám sát các tên miền và nền tảng đám mây bị lợi dụng làm nơi lưu trữ nội dung phishing để có biện pháp ngăn chặn kịp thời.
Tham khảo
Subscribe to my newsletter
Read articles from Tran Hoang Phong directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by

Tran Hoang Phong
Tran Hoang Phong
Just a SOC Analyst ^^