Việt Nam nằm trong chiến dịch tấn công Microsoft Exchange toàn cầu

[WhiteHat Team]

Hơn 70 máy chủ Microsoft Exchange tại nhiều quốc gia, trong đó có Việt Nam, đang trở thành mục tiêu trong một chiến dịch tấn công có chủ đích quy mô lớn. Tin tặc đã âm thầm cài cắm mã độc dạng keylogger trực tiếp vào trang đăng nhập Outlook Web Access (OWA), nhằm đánh cắp thông tin đăng nhập của người dùng một cách tinh vi và khó bị phát hiện.

Mã độc keylogger ẩn trong giao diện hợp pháp​

Theo báo cáo mới công bố của công ty an ninh mạng Positive Technologies, chiến dịch tấn công lợi dụng các lỗ hổng bảo mật cũ trong Microsoft Exchange để chèn mã JavaScript độc hại trực tiếp vào giao diện đăng nhập OWA – thành phần phổ biến trong các triển khai máy chủ Exchange. Đây là kỹ thuật nguy hiểm do mã độc được nhúng trực tiếp vào một phần hợp pháp của hệ thống, khiến quá trình khai thác rất khó bị phát hiện bằng các biện pháp giám sát thông thường.

Có hai biến thể mã độc được ghi nhận:

• Biến thể thứ nhất lưu trữ thông tin đăng nhập, cookie, User-Agent và thời gian truy cập vào một tệp cục bộ trên máy chủ, tệp này có thể được truy xuất từ bên ngoài qua Internet.
• Biến thể thứ hai gửi dữ liệu ngay lập tức ra ngoài qua các kênh như bot Telegram hoặc đường hầm DNS kết hợp HTTPS POST – cho phép vượt qua các lớp tường lửa và hệ thống phát hiện xâm nhập (IDS/IPS) truyền thống.

Khai thác các lỗ hổng cũ nhưng nguy hiểm​

Các máy chủ bị tấn công đều chưa được vá đầy đủ các lỗ hổng đã biết, nhiều trong số đó là các lỗ hổng nghiêm trọng có khả năng thực thi mã từ xa (RCE) hoặc bỏ qua các cơ chế bảo mật, điển hình như:

• CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065: Đây là nhóm lỗ hổng ProxyLogon cho phép tin tặc thực hiện các truy vấn SSRF (Server-Side Request Forgery), thực thi mã từ xa, leo thang đặc quyền và ghi tệp tuỳ ý trên máy chủ Exchange. Các lỗ hổng này từng bị khai thác rộng rãi trong các chiến dịch APT nhắm vào tổ chức chính phủ và doanh nghiệp lớn.
• CVE-2021-34473, CVE-2021-34523, CVE-2021-31207: Nhóm lỗ hổng này thuộc ProxyShell, ảnh hưởng đến dịch vụ Client Access Service (CAS) của Exchange. Kẻ tấn công có thể khai thác để thực thi mã từ xa thông qua chuỗi truy cập PowerShell mà không cần xác thực, từ đó chiếm toàn quyền kiểm soát máy chủ.
• CVE-2014-4078, CVE-2020-0796, CVE-2014-4078: Nhóm lỗ hổng bỏ qua tính năng bảo mật trong dịch vụ IIS, cho phép vượt qua chính sách phân quyền. CVE-2020-0796 là lỗ hổng nghiêm trọng trong giao thức SMBv3 (thường gọi là SMBGhost), cho phép thực thi mã từ xa trong cả môi trường máy trạm và máy chủ nếu khai thác thành công.

Việc không vá kịp thời các lỗ hổng này đã tạo điều kiện để tin tặc cài cắm mã độc trực tiếp vào giao diện xác thực, duy trì sự hiện diện lâu dài mà không bị phát hiện. Đặc biệt, khi được kết hợp với keylogger trên OWA, rủi ro bị rò rỉ thông tin đăng nhập là rất cao.

Việt Nam là một trong những mục tiêu chính​

Tính đến thời điểm hiện tại, Positive Technologies ghi nhận ít nhất 65 tổ chức tại 26 quốc gia đã trở thành nạn nhân, trong đó có 22 máy chủ thuộc các cơ quan chính phủ. Đáng chú ý, Việt Nam nằm trong nhóm 10 quốc gia bị ảnh hưởng nặng nề nhất, cùng với Nga, Đài Loan, Trung Quốc, Pakistan, Lebanon, Úc, Zambia, Hà Lan và Thổ Nhĩ Kỳ.

Theo chuyên gia WhiteHat, chiến dịch tấn công lần này cho thấy tin tặc đang mở rộng quy mô hoạt động sang khu vực châu Á – Thái Bình Dương, trong đó Việt Nam là một trong những điểm nóng bị nhắm đến. Không chỉ các doanh nghiệp công nghệ, mà cả tổ chức logistics, công nghiệp, giáo dục cũng nằm trong phạm vi bị ảnh hưởng.

Một điểm đáng lo ngại là nhiều máy chủ Microsoft Exchange tại Việt Nam vẫn đang được triển khai với cấu hình tiếp xúc trực tiếp Internet và chưa được vá đầy đủ các lỗ hổng đã biết. Điều này tạo điều kiện thuận lợi để tin tặc thực hiện các chiến dịch cài cắm mã độc tinh vi mà không bị phát hiện.

Chuyên gia WhiteHat cho biết: “Việc chèn mã JavaScript độc hại trực tiếp vào giao diện đăng nhập OWA là một kỹ thuật tinh vi, lợi dụng chính các thành phần hợp pháp để duy trì khả năng thu thập thông tin trong thời gian dài. Các hệ thống bảo mật thông thường rất khó phát hiện vì không có lưu lượng bất thường hoặc hành vi rõ rệt.”

Cũng theo chuyên gia, trong nhiều trường hợp các tổ chức bị tấn công không hề biết dữ liệu của mình đã bị rò rỉ cho đến khi tin tặc khai thác nó vào mục đích tiếp theo. Thực tế tại Việt Nam cho thấy, nhiều đơn vị vẫn chậm trễ trong việc triển khai bản vá hoặc không thực hiện giám sát định kỳ giao diện xác thực, đặc biệt là với các máy chủ đã tồn tại lâu năm.

Khuyến nghị cho các tổ chức sử dụng Microsoft Exchange​

WhiteHat khuyến cáo các tổ chức, doanh nghiệp đang vận hành máy chủ Microsoft Exchange thực hiện các biện pháp sau:

• Rà soát toàn bộ hệ thống máy chủ Exchange, đặc biệt là giao diện OWA, để phát hiện mã JavaScript bất thường.
• Cập nhật ngay các bản vá bảo mật mới nhất, đặc biệt là các lỗ hổng liên quan đến ProxyLogon và ProxyShell.
• Theo dõi lưu lượng mạng, đặc biệt là các kết nối bất thường tới Telegram, DNS không chuẩn hoặc các yêu cầu HTTPS POST ra ngoài.
• Thay đổi mật khẩu toàn bộ tài khoản người dùng, trong trường hợp phát hiện có khả năng bị thu thập.
• Triển khai xác thực đa yếu tố (MFA) để giảm thiểu rủi ro mất quyền kiểm soát tài khoản.
• Cô lập các máy chủ nghi ngờ nhiễm mã độc khỏi hệ thống mạng chung để điều tra sâu hơn.

Trong bối cảnh tin tặc ngày càng sử dụng các kỹ thuật tinh vi để nhắm vào hạ tầng cốt lõi như Microsoft Exchange, việc duy trì cập nhật bản vá, giám sát liên tục và rà soát thủ công không còn là lựa chọn mà là yêu cầu bắt buộc. Tuy nhiên, để thực sự ứng phó hiệu quả với các mối đe dọa có chủ đích và mang tính kéo dài, các tổ chức cần vượt ra khỏi tư duy phòng thủ thụ động. Đây là thời điểm cần đầu tư nghiêm túc vào các chiến lược phòng thủ chủ động, kết hợp với việc nâng cao năng lực phát hiện và ứng phó sự cố, đồng thời xây dựng mô hình vận hành an ninh mạng có tính bền vững trong dài hạn.

Theo The Hacker News và WhiteHat​