Các chuyên gia bảo mật cảnh báo về một hình thức tấn công chiếm đoạt tài khoản cloud (ATO) tinh vi, trong đó tin tặc lạm dụng các ứng dụng OAuth nội bộ để duy trì quyền truy cập vĩnh viễn. Kỹ thuật này cho phép kẻ tấn công tiếp tục kiểm soát môi trường đám mây ngay cả khi nạn nhân đã thay đổi mật khẩu hoặc kích hoạt xác thực đa yếu tố (MFA).
Thay vì chỉ đánh cắp thông tin đăng nhập, tội phạm mạng đang chuyển hướng sang việc tạo ra các ứng dụng OAuth độc hại ngay bên trong môi trường cloud. Theo nghiên cứu từ Proofpoint, các nhóm tấn công chủ động khai thác và thậm chí đã được tự động hóa hoàn toàn để phục vụ các mục đích như do thám, đánh cắp dữ liệu và mở rộng tấn công.
Điểm mấu chốt của cuộc tấn công nằm ở việc phân biệt giữa ứng dụng nội bộ và ứng dụng bên thứ ba trong các môi trường như Microsoft Entra ID. Kẻ tấn công ưu tiên tạo ra các ứng dụng nội bộ vì chúng được đăng ký trực tiếp trong tenant của tổ chức và thừa hưởng sự tin cậy ngầm. Điều này giúp chúng dễ dàng qua mặt các cơ chế giám sát bảo mật vốn thường tập trung vào ứng dụng bên thứ ba như Zoom hay DocuSign.
Kịch bản tấn công thường bắt đầu bằng việc chiếm quyền truy cập ban đầu, chẳng hạn như qua các bộ công cụ phishing (reverse proxy toolkit). Sau khi xâm nhập thành công, kẻ tấn công sẽ sử dụng quyền của tài khoản bị chiếm đoạt để đăng ký một ứng dụng OAuth nội bộ mới, tùy chỉnh các quyền cho phép nó truy cập các tài nguyên quan trọng như email, tệp tin trên SharePoint hay OneDrive.
Kỹ thuật này là khả năng duy trì truy cập. Ứng dụng OAuth độc hại có cơ chế xác thực riêng (client secret và token) và hoạt động độc lập với tài khoản người dùng. Do đó, ngay cả khi mật khẩu của người dùng bị xâm nhập đã được reset, ứng dụng này vẫn giữ nguyên quyền truy cập và hoạt động như backdoor mà không bị phát hiện.
Proofpoint cũng ghi nhận một sự cố thực tế, trong đó kẻ tấn công sử dụng phishing Tycoon để chiếm tài khoản. Sau đó, chúng tạo một ứng dụng nội bộ tên test với quyền Mail.Read và offline_access. Dù mật khẩu của nạn nhân đã được thay đổi sau bốn ngày, ứng dụng độc hại vẫn tiếp tục hoạt động, cho thấy mối đe dọa này là hoàn toàn có thực.
