ชั้น 29 ออฟฟิศเศส แอท เซ็นทรัลเวิลด์

999/9 พระราม 1 กรุงเทพฯ 10330

บริการตลอด 24 ชั่วโมง

ทุกวัน ไม่เว้นวันหยุด

0-2107-3466

โทรเลยดิจะรออะไร

Forg365 ภัยคุกคามใหม่ ใช้ AI สร้าง Phishing หลอกผู้ใช้ Microsoft 365

Banner about AI-generated phishing targeting Microsoft 365 users; shows two login screens and Thai title text in bold.

นักวิจัยจาก ZeroBEC พบแพลตฟอร์มใหม่ชื่อ Forg365 ที่มุ่งเป้าโจมตีบัญชี Microsoft 365 โดยเฉพาะ พร้อมนำ AI มาใช้ช่วยสร้างอีเมลปลอม ทำให้ผู้โจมตีสามารถสร้างแคมเปญ Phishing ได้รวดเร็ว และเข้าถึงเหยื่อได้ง่ายขึ้น

แพลตฟอร์มนี้ มีการเปิดให้ใช้งานในรูปแบบ Phishing-as-a-Service (PhaaS) หรือบริการเครื่องมือฟิชชิงแบบสำเร็จรูป ที่รวมทุกขั้นตอนของการโจมตีไว้ในแพลตฟอร์มเดียว ตั้งแต่สร้างอีเมลหลอก จัดการแคมเปญ ไปจนถึงควบคุมบัญชีที่ถูกเจาะได้สำเร็จ

New Forg365 phishing platform uses AI to target Microsoft 365 accounts
AI-assisted email content generation (Source: ZeroBec)

ความน่ากังวลไม่ได้มีแค่การใช้ AI เพราะ Forg365 ยังนำบริการจากหลายแพลตฟอร์มมาใช้ร่วมกัน เพื่อให้อีเมลและเว็บไซต์ฟิชชิงดูน่าเชื่อถือและหลบเลี่ยงการตรวจจับได้ง่ายขึ้น เช่น

  • Amazon SES สำหรับส่งอีเมล
  • SendGrid สำหรับติดตามอีเมล
  • Cloudflare Pages สำหรับโฮสต์เว็บไซต์ฟิชชิง
  • Gophish สำหรับจัดการแคมเปญฟิชชิง

นอกจากนี้ แพลตฟอร์มยังมีระบบ AntiBot ที่ช่วยหลบเลี่ยงการวิเคราะห์จากนักวิจัยและระบบรักษาความปลอดภัย โดยสามารถตรวจจับบอท เครื่องมือวิเคราะห์ และสภาพแวดล้อมทดสอบ (Sandbox) ได้ รวมถึงเปลี่ยนเส้นทางผู้ที่เชื่อมต่อผ่าน VPN ไปยังเว็บไซต์ทั่วไป แทนการแสดงหน้าเว็บฟิชชิง เพื่อลดโอกาสถูกวิเคราะห์และเปิดเผยรูปแบบการโจมตีอีกด้วย

New Forg365 phishing platform uses AI to target Microsoft 365 accounts
The Forg365 panel (Source: ZeroBec)

รูปแบบการโจมตี

นักวิจัยระบุว่า มีการรองรับการโจมตีหลัก 2 รูปแบบ ได้แก่ Device Code Phishing และ Adversary-in-the-Middle (AiTM) Phishing

วิธีแรกคือ หลอกให้เหยื่อกรอกรหัสยืนยันบนหน้า Microsoft ของจริง เพื่อหลอกให้ผู้ใช้อนุญาตสิทธิ์เข้าถึงบัญชี Microsoft 365 โดยไม่ต้องขโมยรหัสผ่าน ส่วนอีกวิธี จะใช้เว็บไซต์ปลอมเป็นตัวกลางเพื่อดักจับข้อมูลการเข้าสู่ระบบและ Session Cookie ทำให้ผู้โจมตียังคงเข้าใช้งานบัญชีได้ แม้เปิดใช้ MFA แล้วก็ตาม

New Forg365 phishing platform uses AI to target Microsoft 365 accounts
The device-code phishing method (Source: ZeroBec)

เมื่อเจาะบัญชีได้สำเร็จ ก็ยังใช้ส่วนเสริมสำหรับเบราว์เซอร์ชื่อ ForgCookie เพื่อรีเฟรช Session Cookie ของ Microsoft โดยอัตโนมัติ ช่วยให้ผู้โจมตียังคงเข้าถึงบริการต่าง ๆ ที่เชื่อมกับบัญชีของเหยื่อได้ต่อเนื่อง ทำให้การรักษาการเข้าถึงบัญชีทำได้ยาวนานขึ้น

New Forg365 phishing platform uses AI to target Microsoft 365 accounts
The ForgCookie extension (Source: ZeroBec)

ข้อแนะนำสำหรับผู้ใช้งาน Microsoft 365

  • ปิดหรือจำกัด Device Code Authentication หากองค์กรไม่ได้ใช้งาน
  • ตรวจสอบ Microsoft Entra Logs เพื่อค้นหาการเข้าสู่ระบบที่ผิดปกติ
  • เฝ้าระวังการอนุมัติ OAuth, การสร้าง Mailbox Rules และการเข้าสู่ระบบจากอุปกรณ์ใหม่
  • หากสงสัยว่าบัญชีถูกโจมตี ให้เพิกถอน Token และ Session ทั้งหมด พร้อมบังคับให้ผู้ใช้ลงชื่อเข้าใช้งานใหม่

เมื่อเครื่องมือโจมตีถูกพัฒนาให้ใช้งานง่ายขึ้น องค์กรก็ยิ่งต้องให้ความสำคัญกับการตั้งค่าความปลอดภัยและการเฝ้าระวังบัญชีผู้ใช้งานมากกว่าเดิม

hostatom พร้อมช่วยวางระบบและดูแล Microsoft 365 ให้เหมาะกับการใช้งานขององค์กรคุณ

ที่มา: Bleeping Computer

  • สนใจติดตามข่าวสารกับทางโฮสอะตอมได้ที่ hostatom.com
Categories