Các nhóm tấn công mạng đang lạm dụng công cụ HTTP client như Axios kết hợp với tính năng Direct Send của Microsoft để hình thành một “chuỗi tấn công hiệu quả cao” trong các chiến dịch lừa đảo gần đây, theo phát hiện mới nhất từ ReliaQuest.
Theo báo cáo, “hoạt động của user agent Axios đã tăng vọt 241% chỉ trong giai đoạn từ tháng 6 đến tháng 8/2025, vượt xa mức tăng 85% của tất cả các user agent đáng ngờ khác cộng lại. Trong 32 user agent bị gắn cờ, Axios chiếm tới 24,44% toàn bộ hoạt động.”
Trước đó, Proofpoint cũng đã cảnh báo về việc lạm dụng Axios vào tháng 1/2025, khi các chiến dịch sử dụng HTTP client này để gửi/nhận yêu cầu HTTP nhằm thực hiện các cuộc tấn công chiếm quyền truy cập tài khoản (ATO) trên môi trường Microsoft 365.
ReliaQuest cho biết chưa có bằng chứng cho thấy hai chuỗi tấn công này có liên quan, nhưng khẳng định Axios đang bị khai thác phổ biến song song với nhiều bộ công cụ phishing. “Tính linh hoạt và dễ sử dụng của Axios gần như đảm bảo rằng công cụ này sẽ bị áp dụng bởi mọi loại hình tác nhân đe dọa, bất kể trình độ hay động cơ,” công ty nhận định.
Song song đó, nhiều chiến dịch lừa đảo cũng đang gia tăng việc lạm dụng tính năng hợp pháp Direct Send trong Microsoft 365 để giả mạo người dùng tin cậy và phát tán email độc hại.
Khi kết hợp Axios với Direct Send, kẻ tấn công có thể lợi dụng kênh truyền đáng tin cậy nhằm qua mặt các cổng email bảo mật và đưa email lừa đảo trực tiếp đến hộp thư người dùng. Thực tế cho thấy các chiến dịch phối hợp này đã đạt tỷ lệ thành công tới 70%, vượt xa các chiến dịch không dùng Axios.
Chiến dịch mà ReliaQuest quan sát được khởi phát từ tháng 7/2025, ban đầu nhắm vào các lãnh đạo cấp cao trong lĩnh vực tài chính, y tế và sản xuất, sau đó mở rộng tấn công sang toàn bộ người dùng. ReliaQuest đánh giá đây là một “cuộc chơi thay đổi cục diện” vì không chỉ vượt qua các lớp phòng thủ truyền thống với độ chính xác cao, mà còn cho phép triển khai các chiến dịch phishing ở quy mô chưa từng có.
Trong các cuộc tấn công này, Axios được sử dụng để chặn, chỉnh sửa và phát lại các yêu cầu HTTP, cho phép kẻ tấn công thu thập token phiên, mã xác thực đa yếu tố (MFA) theo thời gian thực hoặc khai thác SAS token trong quy trình xác thực Azure để truy cập vào dữ liệu nhạy cảm.
“Kẻ tấn công lợi dụng lỗ hổng giám sát này để vượt qua MFA, chiếm quyền session token và tự động hóa toàn bộ quy trình phishing,” ReliaQuest cho biết. “Khả năng tùy biến của Axios giúp chúng dễ dàng giả lập các quy trình hợp pháp, khiến việc phát hiện càng khó khăn.”
Email lừa đảo thường sử dụng các “mồi nhử” liên quan đến bồi thường hoặc lợi ích nhân sự, đính kèm file PDF chứa mã QR độc hại. Khi người dùng quét mã, họ sẽ bị dẫn đến trang đăng nhập giả mạo Microsoft Outlook để đánh cắp thông tin xác thực. Một số trang còn được lưu trữ trên Google Firebase, lợi dụng uy tín của nền tảng để tránh bị nghi ngờ.
Ngoài việc hạ thấp rào cản kỹ thuật cho các cuộc tấn công tinh vi, sự phổ biến của Axios trong môi trường doanh nghiệp và phát triển phần mềm còn giúp kẻ tấn công ẩn mình trong lưu lượng hợp pháp và “bay dưới radar” hệ thống phòng thủ.
Khuyến nghị phòng chống:
-
Vô hiệu hóa Direct Send nếu không thực sự cần thiết.
-
Cấu hình chính sách chống giả mạo trên cổng email.
-
Huấn luyện nhân viên nhận diện email lừa đảo.
-
Chặn các domain đáng ngờ liên quan đến chiến dịch phishing.
ReliaQuest nhấn mạnh: “Axios khuếch đại tác động của các chiến dịch phishing bằng cách thu hẹp khoảng cách từ giai đoạn truy cập ban đầu đến khai thác toàn diện. Khả năng thao túng quy trình xác thực và phát lại HTTP request cho phép kẻ tấn công vũ khí hóa thông tin đăng nhập bị đánh cắp một cách vừa quy mô vừa chính xác.”
Điều này cho thấy các chiến dịch lừa đảo hiện đại không còn dừng ở việc giả mạo email đơn giản, mà đã tiến đến mức tấn công trực tiếp vào API, hệ thống xác thực, và cơ chế bảo mật cốt lõi của doanh nghiệp – những nơi mà các giải pháp phòng thủ truyền thống khó lòng ngăn chặn.
Song song, Mimecast cũng phát hiện một chiến dịch lớn nhằm thu thập thông tin đăng nhập trong ngành khách sạn, giả mạo các nền tảng quản lý uy tín như Expedia Partner Central và Cloudbeds. Email lừa đảo thường chứa nội dung giả dạng thông báo đặt phòng hoặc cảnh báo quan trọng để buộc quản lý khách sạn phải tương tác ngay lập tức.
Bên cạnh đó, một xu hướng đáng lo ngại khác là sự xuất hiện của phishing-as-a-service (PhaaS), điển hình là bộ công cụ Salty 2FA. Bộ kit này cho phép tội phạm mạng đánh cắp tài khoản Microsoft và vượt qua MFA bằng cách giả lập tới 6 phương thức xác thực khác nhau: SMS, ứng dụng xác thực, cuộc gọi thoại, push notification, mã dự phòng và token phần cứng.
Chuỗi tấn công này thường bắt đầu từ các trang đích giả mạo OneDrive, được dựng trên dịch vụ hợp pháp như Aha[.]io, nhằm đánh lừa nạn nhân nhấp vào liên kết độc hại. Các trang phishing còn tích hợp bước kiểm tra Cloudflare Turnstile để lọc công cụ bảo mật tự động, đồng thời sử dụng các kỹ thuật nâng cao như:
-
Geofencing và lọc IP để chặn truy cập từ dải IP của các công ty bảo mật và nhà cung cấp cloud.
-
Vô hiệu hóa phím tắt mở Developer Tools trong trình duyệt.
-
Sinh subdomain mới cho từng phiên nạn nhân, khiến việc phân tích trở nên phức tạp hơn.
Những kỹ thuật này đã đưa phishing lên tầm “doanh nghiệp hóa”, với khả năng tùy biến, né tránh và mô phỏng MFA tinh vi. Theo Ontinue:
“Bộ kit Salty 2FA thậm chí duy trì một cơ sở dữ liệu giao diện thương hiệu để tự động tùy biến trang đăng nhập giả mạo theo domain email của nạn nhân, giúp tăng tính thuyết phục trong khâu social engineering.”
Điều này cho thấy tội phạm mạng hiện đang tiếp cận hạ tầng của mình với tư duy giống hệt cách mà các doanh nghiệp xây dựng hệ thống sản xuất, làm mờ ranh giới giữa lưu lượng hợp pháp và độc hại – thách thức nghiêm trọng cho mọi tổ chức.
