Ngày 9/4/2026, các nhà nghiên cứu từ đội ngũ DART (Detection and Response Team) của Microsoft đã công bố phân tích về Storm-2755, một nhóm tin tặc mới có động cơ tài chính. Nhóm này đang thực hiện các cuộc tấn công “cướp lương” (payroll pirate) nhắm vào nhân viên, sử dụng kỹ thuật tinh vi để qua mặt cả xác thực đa yếu tố (MFA), chiếm đoạt tài khoản và chuyển hướng các khoản thanh toán lương, gây thiệt hại tài chính trực tiếp cho cá nhân và doanh nghiệp.
Điểm đặc biệt của chiến dịch này là việc sử dụng kỹ thuật adversary-in-the-middle (AiTM), cho phép tin tặc chiếm quyền các phiên đăng nhập đã được xác thực, từ đó vô hiệu hóa các biện pháp bảo vệ MFA truyền thống.
Chuỗi tấn công của Storm-2755
Phân tích của Microsoft cho thấy chiến dịch của Storm-2755 được xây dựng xoay quanh việc chiếm đoạt phiên làm việc (session hijacking) và lạm dụng các quy trình nghiệp vụ hợp pháp. Tin tặc kết hợp việc đánh cắp thông tin đăng nhập và token ban đầu với việc duy trì truy cập dai dẳng để tìm kiếm các quy trình liên quan đến bảng lương và nhân sự (HR) trong các tổ chức bị ảnh hưởng.
Giai đoạn 1: Lừa đảo chiếm quyền truy cập
Storm-2755 đã sử dụng kỹ thuật đầu độc kết quả tìm kiếm (SEO poisoning) và quảng cáo độc hại (malvertising) để đưa tên miền do chúng kiểm soát (bluegraintours[.]com) lên đầu kết quả tìm kiếm cho các từ khóa chung như “Office 365”.
Người dùng không nghi ngờ đã nhấp vào các liên kết này và bị chuyển hướng đến một trang đăng nhập Microsoft 365 giả mạo. Khi họ nhập thông tin, tin tặc không chỉ đánh cắp mật khẩu mà còn cả token xác thực thông qua kỹ thuật AiTM. Kỹ thuật này cho phép tin tặc sao chép toàn bộ luồng xác thực, lấy được cookie phiên và token truy cập OAuth, giúp chúng truy cập vào dịch vụ mà không cần nhập lại mật khẩu hay mã MFA.
Giai đoạn 2: Duy trì truy cập và tìm kiếm mục tiêu
Sau khi chiếm được token, Storm-2755 đã sử dụng một HTTP client tên là Axios (phiên bản 1.7.9) để liên tục làm mới phiên đăng nhập, thường là mỗi 30 phút. Điều này cho phép chúng duy trì quyền truy cập vào tài khoản nạn nhân một cách âm thầm.
Khi đã ở bên trong, tin tặc bắt đầu tìm kiếm trên intranet của tổ chức với các từ khóa như “payroll”, “HR”, “human resources”, “finance”, “admin” để xác định các quy trình và nhân sự liên quan đến việc trả lương.
Giai đoạn 3: Tránh bị phát hiện và gây thiệt hại
Để nạn nhân không phát hiện ra hành vi mờ ám, Storm-2755 đã tạo các quy tắc trong hộp thư (inbox rules) của người dùng. Các quy tắc này tự động chuyển những email chứa từ khóa “direct deposit” hoặc “bank” vào thư mục ẩn, đảm bảo nạn nhân không thấy được các email trao đổi từ bộ phận HR về yêu cầu thay đổi thông tin ngân hàng.
Sau đó, tin tặc mạo danh nhân viên để gửi email cho bộ phận HR hoặc tài chính, yêu cầu thay đổi thông tin tài khoản nhận lương.
Trong một số trường hợp, khi không thể thuyết phục HR qua email, tin tặc đã trực tiếp đăng nhập vào các phần mềm SaaS quản lý nhân sự như Workday bằng tài khoản bị chiếm đoạt để tự thay đổi thông tin ngân hàng. Kết quả là khoản lương của nhân viên đã bị chuyển vào tài khoản của kẻ tấn công.
Khuyến nghị từ Microsoft để phòng chống tấn công AiTM
Để bảo vệ tổ chức trước các chiến dịch tấn công AiTM tương tự như của Storm-2755, Microsoft khuyến nghị các doanh nghiệp thực hiện các biện pháp sau:
- Triển khai MFA kháng lừa đảo (Phishing-Resistant MFA): Các phương thức MFA truyền thống như mã SMS, OTP qua email hay thông báo đẩy (push notification) ngày càng kém hiệu quả. Doanh nghiệp nên chuyển sang các phương pháp mạnh mẽ hơn như FIDO2/WebAuthN để chống lại việc đánh cắp token.
- Sử dụng Chính sách Truy cập có điều kiện (Conditional Access Policies): Thiết lập các chính sách để quản lý vòng đời của phiên đăng nhập, yêu cầu người dùng xác thực lại khi có rủi ro, giúp hạn chế thời gian tồn tại của các token bị đánh cắp.
- Tận dụng Đánh giá Truy cập Liên tục (Continuous Access Evaluation – CAE): CAE cho phép các ứng dụng hỗ trợ đánh giá lại token truy cập gần như theo thời gian thực khi có thay đổi về rủi ro, giúp thu hồi quyền truy cập ngay lập tức khi phát hiện bất thường.
- Sử dụng các công cụ bảo mật tự động: Kích hoạt Microsoft Defender để tự động ngăn chặn các cuộc tấn công, thu hồi token theo thời gian thực và giám sát các hành vi bất thường. Microsoft Security Copilot cũng có thể hỗ trợ các đội ngũ bảo mật phân tích và ứng phó với sự cố hiệu quả hơn.
- Tăng cường giám sát và cảnh báo: Tạo các cảnh báo cho những hành vi đáng ngờ như việc tạo các quy tắc inbox mới, đặc biệt là các quy tắc tự động xóa hoặc di chuyển email.
- Nâng cao nhận thức người dùng: Tổ chức các chiến dịch diễn tập tấn công lừa đảo (phishing simulation) để cải thiện khả năng nhận biết và giảm thiểu nguy cơ bị đánh cắp thông tin đăng nhập của nhân viên.
