Duy Linh
Writer
Một chiến dịch tấn công mạng vì mục đích tài chính có tên Payroll Pirate đang nổi lên với phương thức hoạt động đặc biệt tinh vi. Nhóm tấn công sử dụng kỹ thuật lừa đảo kết hợp chiếm quyền phiên đăng nhập kiểu “kẻ trung gian” (Adversary-in-the-Middle - AiTM) để vượt qua xác thực đa yếu tố (MFA), từ đó chuyển hướng các khoản thanh toán lương mà không làm phát sinh những cảnh báo bảo mật thông thường.
Mục tiêu của chiến dịch là các cổng thông tin quản lý lương và nhân sự tại các doanh nghiệp vừa và lớn. Bằng cách đánh cắp thông tin đăng nhập, chiếm đoạt phiên xác thực trong thời gian thực và âm thầm thay đổi hồ sơ thanh toán, tin tặc có thể rút tiền khỏi hệ thống mà rất khó bị phát hiện.
Giai đoạn đầu thường bắt đầu bằng hoạt động thu thập thông tin và kỹ thuật xã hội. Các nguồn công khai như trang tuyển dụng doanh nghiệp và LinkedIn bị khai thác để xác định nhân sự phụ trách tiền lương hoặc nhân sự. Tin tặc thậm chí còn sử dụng giọng nói giả mạo hoặc tin nhắn SMS deepfake nhằm tăng độ tin cậy cho các yêu cầu tiếp theo.
Những email và trang web lừa đảo được thiết kế giống hệt các thông báo tiền lương hợp pháp. Chúng thường được lưu trữ trên các tên miền có tên gần giống với tên miền thật hoặc sử dụng cơ sở hạ tầng tồn tại trong thời gian ngắn để tránh bị phát hiện.
Khi nạn nhân tương tác với trang giả mạo, máy chủ proxy AiTM sẽ chuyển tiếp trực tiếp quá trình xác thực tới hệ thống hợp pháp. Trong lúc đó, công cụ này âm thầm thu thập mã OTP hoặc thông tin xác thực WebAuthn ngay khi người dùng nhập vào.
Theo BushidoToken Threat Intel, khác với các cuộc tấn công phát lại thông thường, kỹ thuật AiTM cho phép tin tặc sử dụng yếu tố xác thực thứ hai trong thời gian thực để thiết lập một phiên đăng nhập hợp lệ từ thiết bị ở xa.
Sau khi sở hữu phiên làm việc hợp lệ, chúng nhanh chóng truy cập quy trình xử lý lương, tạo hoặc chỉnh sửa người nhận thanh toán, thay đổi thông tin chuyển khoản ngân hàng và lên lịch các khoản thanh toán ngoài chu kỳ.
Các đối tượng vận hành Payroll Pirate thể hiện sự kỷ luật cao trong việc lựa chọn thời điểm tấn công. Chúng thường hành động ngay trước kỳ trả lương và sử dụng các giao dịch giá trị nhỏ nhằm tránh các cơ chế giám sát dựa trên ngưỡng giao dịch.
Sau khi hoàn tất giao dịch, nhóm tấn công tiếp tục xóa bỏ dấu vết bằng cách đổi tên người nhận gian lận, xóa email thông báo hoặc lợi dụng các tính năng của ứng dụng để lưu trữ nhật ký kiểm toán. Dòng tiền sau đó được chuyển qua nhiều tài khoản trung gian và các sàn giao dịch tiền điện tử nhằm gây khó khăn cho quá trình truy vết và thu hồi.
Việc chiếm đoạt phiên trong thời gian thực cũng cho thấy các doanh nghiệp cần tăng cường xác thực đối với các hành động có rủi ro cao. Những thay đổi liên quan đến tài khoản ngân hàng nhận lương hoặc các khoản thanh toán ngoài chu kỳ cần được xác minh bổ sung thay vì chỉ dựa vào phiên đăng nhập ban đầu.
Hoạt động phát hiện cũng cần vượt ra ngoài việc theo dõi lỗi xác thực. Các nhóm bảo mật nên tập trung vào những dấu hiệu bất thường như thiết bị lạ thực hiện hành động nhạy cảm, các phiên đăng nhập đồng thời từ những vị trí địa lý khác nhau hoặc việc thay đổi cấu hình bảng lương ngay sau khi đăng nhập thành công.
Các biện pháp giảm thiểu được khuyến nghị gồm áp dụng xác thực chống lừa đảo khi có thể, triển khai WebAuthn dựa trên xác thực nguồn gốc máy chủ và yêu cầu khóa bảo mật phần cứng đối với tài khoản quản trị.
Doanh nghiệp cũng nên triển khai các chính sách truy cập có điều kiện, áp dụng kiểm tra vị trí địa lý để phát hiện hoặc chặn các phiên có tín hiệu thiết bị không phù hợp. Đồng thời cần thiết lập cơ chế phê duyệt kép cho các giao dịch có rủi ro cao, kiểm soát chặt chẽ các thay đổi liên quan đến bảng lương và duy trì nhật ký kiểm toán bất biến để phát hiện hành vi giả mạo.
Ngoài ra, đội ngũ bảo mật cần theo dõi các chỉ báo liên quan đến AiTM như chuyển hướng HTTP 302 bất thường, chuỗi chứng chỉ TLS không khớp hoặc sự xuất hiện của các tên miền trung gian trong luồng xác thực. Các hoạt động bất thường trên những tài khoản thuộc bộ phận tiền lương cũng cần được ưu tiên giám sát.
Cảnh báo mới này liên quan đến nghiên cứu trong Ma trận Công cụ Mã độc tống tiền (RTM) và Ma trận Lỗ hổng Mã độc tống tiền (RVM). Đây là những nguồn tham khảo quan trọng giúp các nhà nghiên cứu chuyển từ phát hiện sang săn lùng mối đe dọa và vá lỗi có mục tiêu.
Việc bổ sung gần đây các nhóm như TheGentlemen, DragonForce và WarLock cho thấy nhiều tác nhân đe dọa đang tái sử dụng công cụ hợp pháp, khai thác thiết bị đầu cuối và áp dụng kỹ thuật BYOVD để vượt qua các cơ chế bảo vệ.
Các chuyên gia khuyến nghị doanh nghiệp cần đối chiếu chiến thuật và bộ công cụ của các nhóm này với các kịch bản phát hiện liên quan đến hệ thống trả lương, đồng thời ưu tiên vá lỗi cho các công cụ quản trị được kết nối Internet.
Trong ngắn hạn, các tổ chức nên ưu tiên triển khai MFA chống lừa đảo cho quản trị viên hệ thống trả lương, áp dụng quy trình xác minh tăng cường đối với mọi thay đổi thanh toán và chủ động săn tìm các dấu hiệu bất thường của phiên đăng nhập AiTM trong nhật ký xác thực.
Kết hợp những biện pháp này với các cấu hình từ RTM và RVM sẽ giúp giảm đáng kể nguy cơ trở thành nạn nhân của các chiến dịch như Payroll Pirate, đồng thời nâng cao khả năng chống chịu trước các kỹ thuật đánh cắp thông tin đăng nhập ngày càng tinh vi.
Mục tiêu của chiến dịch là các cổng thông tin quản lý lương và nhân sự tại các doanh nghiệp vừa và lớn. Bằng cách đánh cắp thông tin đăng nhập, chiếm đoạt phiên xác thực trong thời gian thực và âm thầm thay đổi hồ sơ thanh toán, tin tặc có thể rút tiền khỏi hệ thống mà rất khó bị phát hiện.
Cách Payroll Pirate vượt qua MFA để chiếm đoạt tiền lương
Quy trình tấn công được xây dựng rất bài bản. Kẻ tấn công trước tiên nhắm vào quản trị viên hệ thống trả lương thông qua các chiến dịch lừa đảo có chủ đích. Sau khi thu thập được mã xác thực đa yếu tố thông qua máy chủ proxy AiTM, chúng chiếm quyền phiên đăng nhập hợp lệ, sửa đổi hướng dẫn thanh toán hoặc thêm các tài khoản nhà cung cấp giả mạo rồi che giấu dấu vết bằng cách hoàn tác những thay đổi hiển thị hoặc thao túng nhật ký hoạt động.Giai đoạn đầu thường bắt đầu bằng hoạt động thu thập thông tin và kỹ thuật xã hội. Các nguồn công khai như trang tuyển dụng doanh nghiệp và LinkedIn bị khai thác để xác định nhân sự phụ trách tiền lương hoặc nhân sự. Tin tặc thậm chí còn sử dụng giọng nói giả mạo hoặc tin nhắn SMS deepfake nhằm tăng độ tin cậy cho các yêu cầu tiếp theo.
Những email và trang web lừa đảo được thiết kế giống hệt các thông báo tiền lương hợp pháp. Chúng thường được lưu trữ trên các tên miền có tên gần giống với tên miền thật hoặc sử dụng cơ sở hạ tầng tồn tại trong thời gian ngắn để tránh bị phát hiện.
Khi nạn nhân tương tác với trang giả mạo, máy chủ proxy AiTM sẽ chuyển tiếp trực tiếp quá trình xác thực tới hệ thống hợp pháp. Trong lúc đó, công cụ này âm thầm thu thập mã OTP hoặc thông tin xác thực WebAuthn ngay khi người dùng nhập vào.
Theo BushidoToken Threat Intel, khác với các cuộc tấn công phát lại thông thường, kỹ thuật AiTM cho phép tin tặc sử dụng yếu tố xác thực thứ hai trong thời gian thực để thiết lập một phiên đăng nhập hợp lệ từ thiết bị ở xa.
Sau khi sở hữu phiên làm việc hợp lệ, chúng nhanh chóng truy cập quy trình xử lý lương, tạo hoặc chỉnh sửa người nhận thanh toán, thay đổi thông tin chuyển khoản ngân hàng và lên lịch các khoản thanh toán ngoài chu kỳ.
Các đối tượng vận hành Payroll Pirate thể hiện sự kỷ luật cao trong việc lựa chọn thời điểm tấn công. Chúng thường hành động ngay trước kỳ trả lương và sử dụng các giao dịch giá trị nhỏ nhằm tránh các cơ chế giám sát dựa trên ngưỡng giao dịch.
Sau khi hoàn tất giao dịch, nhóm tấn công tiếp tục xóa bỏ dấu vết bằng cách đổi tên người nhận gian lận, xóa email thông báo hoặc lợi dụng các tính năng của ứng dụng để lưu trữ nhật ký kiểm toán. Dòng tiền sau đó được chuyển qua nhiều tài khoản trung gian và các sàn giao dịch tiền điện tử nhằm gây khó khăn cho quá trình truy vết và thu hồi.
Những dấu hiệu cần theo dõi và biện pháp giảm thiểu rủi ro
Các chuyên gia cảnh báo rằng tấn công AiTM có thể vượt qua nhiều hình thức MFA không gắn kết thông tin xác thực với thiết bị hoặc kênh truyền thông. So với cơ chế OTP truyền thống, các triển khai WebAuthn có xác thực nguồn gốc và yêu cầu thông tin đăng nhập thường trú sẽ giúp giảm thiểu đáng kể nguy cơ này.Việc chiếm đoạt phiên trong thời gian thực cũng cho thấy các doanh nghiệp cần tăng cường xác thực đối với các hành động có rủi ro cao. Những thay đổi liên quan đến tài khoản ngân hàng nhận lương hoặc các khoản thanh toán ngoài chu kỳ cần được xác minh bổ sung thay vì chỉ dựa vào phiên đăng nhập ban đầu.
Hoạt động phát hiện cũng cần vượt ra ngoài việc theo dõi lỗi xác thực. Các nhóm bảo mật nên tập trung vào những dấu hiệu bất thường như thiết bị lạ thực hiện hành động nhạy cảm, các phiên đăng nhập đồng thời từ những vị trí địa lý khác nhau hoặc việc thay đổi cấu hình bảng lương ngay sau khi đăng nhập thành công.
Các biện pháp giảm thiểu được khuyến nghị gồm áp dụng xác thực chống lừa đảo khi có thể, triển khai WebAuthn dựa trên xác thực nguồn gốc máy chủ và yêu cầu khóa bảo mật phần cứng đối với tài khoản quản trị.
Doanh nghiệp cũng nên triển khai các chính sách truy cập có điều kiện, áp dụng kiểm tra vị trí địa lý để phát hiện hoặc chặn các phiên có tín hiệu thiết bị không phù hợp. Đồng thời cần thiết lập cơ chế phê duyệt kép cho các giao dịch có rủi ro cao, kiểm soát chặt chẽ các thay đổi liên quan đến bảng lương và duy trì nhật ký kiểm toán bất biến để phát hiện hành vi giả mạo.
Ngoài ra, đội ngũ bảo mật cần theo dõi các chỉ báo liên quan đến AiTM như chuyển hướng HTTP 302 bất thường, chuỗi chứng chỉ TLS không khớp hoặc sự xuất hiện của các tên miền trung gian trong luồng xác thực. Các hoạt động bất thường trên những tài khoản thuộc bộ phận tiền lương cũng cần được ưu tiên giám sát.
Cảnh báo mới này liên quan đến nghiên cứu trong Ma trận Công cụ Mã độc tống tiền (RTM) và Ma trận Lỗ hổng Mã độc tống tiền (RVM). Đây là những nguồn tham khảo quan trọng giúp các nhà nghiên cứu chuyển từ phát hiện sang săn lùng mối đe dọa và vá lỗi có mục tiêu.
Việc bổ sung gần đây các nhóm như TheGentlemen, DragonForce và WarLock cho thấy nhiều tác nhân đe dọa đang tái sử dụng công cụ hợp pháp, khai thác thiết bị đầu cuối và áp dụng kỹ thuật BYOVD để vượt qua các cơ chế bảo vệ.
Các chuyên gia khuyến nghị doanh nghiệp cần đối chiếu chiến thuật và bộ công cụ của các nhóm này với các kịch bản phát hiện liên quan đến hệ thống trả lương, đồng thời ưu tiên vá lỗi cho các công cụ quản trị được kết nối Internet.
Trong ngắn hạn, các tổ chức nên ưu tiên triển khai MFA chống lừa đảo cho quản trị viên hệ thống trả lương, áp dụng quy trình xác minh tăng cường đối với mọi thay đổi thanh toán và chủ động săn tìm các dấu hiệu bất thường của phiên đăng nhập AiTM trong nhật ký xác thực.
Kết hợp những biện pháp này với các cấu hình từ RTM và RVM sẽ giúp giảm đáng kể nguy cơ trở thành nạn nhân của các chiến dịch như Payroll Pirate, đồng thời nâng cao khả năng chống chịu trước các kỹ thuật đánh cắp thông tin đăng nhập ngày càng tinh vi.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
