นักวิจัยจาก ZeroBEC พบแพลตฟอร์มใหม่ชื่อ Forg365 ที่มุ่งเป้าโจมตีบัญชี Microsoft 365 โดยเฉพาะ พร้อมนำ AI มาใช้ช่วยสร้างอีเมลปลอม ทำให้ผู้โจมตีสามารถสร้างแคมเปญ Phishing ได้รวดเร็ว และเข้าถึงเหยื่อได้ง่ายขึ้น
แพลตฟอร์มนี้ มีการเปิดให้ใช้งานในรูปแบบ Phishing-as-a-Service (PhaaS) หรือบริการเครื่องมือฟิชชิงแบบสำเร็จรูป ที่รวมทุกขั้นตอนของการโจมตีไว้ในแพลตฟอร์มเดียว ตั้งแต่สร้างอีเมลหลอก จัดการแคมเปญ ไปจนถึงควบคุมบัญชีที่ถูกเจาะได้สำเร็จ
ความน่ากังวลไม่ได้มีแค่การใช้ AI เพราะ Forg365 ยังนำบริการจากหลายแพลตฟอร์มมาใช้ร่วมกัน เพื่อให้อีเมลและเว็บไซต์ฟิชชิงดูน่าเชื่อถือและหลบเลี่ยงการตรวจจับได้ง่ายขึ้น เช่น
- Amazon SES สำหรับส่งอีเมล
- SendGrid สำหรับติดตามอีเมล
- Cloudflare Pages สำหรับโฮสต์เว็บไซต์ฟิชชิง
- Gophish สำหรับจัดการแคมเปญฟิชชิง
นอกจากนี้ แพลตฟอร์มยังมีระบบ AntiBot ที่ช่วยหลบเลี่ยงการวิเคราะห์จากนักวิจัยและระบบรักษาความปลอดภัย โดยสามารถตรวจจับบอท เครื่องมือวิเคราะห์ และสภาพแวดล้อมทดสอบ (Sandbox) ได้ รวมถึงเปลี่ยนเส้นทางผู้ที่เชื่อมต่อผ่าน VPN ไปยังเว็บไซต์ทั่วไป แทนการแสดงหน้าเว็บฟิชชิง เพื่อลดโอกาสถูกวิเคราะห์และเปิดเผยรูปแบบการโจมตีอีกด้วย
รูปแบบการโจมตี
นักวิจัยระบุว่า มีการรองรับการโจมตีหลัก 2 รูปแบบ ได้แก่ Device Code Phishing และ Adversary-in-the-Middle (AiTM) Phishing
วิธีแรกคือ หลอกให้เหยื่อกรอกรหัสยืนยันบนหน้า Microsoft ของจริง เพื่อหลอกให้ผู้ใช้อนุญาตสิทธิ์เข้าถึงบัญชี Microsoft 365 โดยไม่ต้องขโมยรหัสผ่าน ส่วนอีกวิธี จะใช้เว็บไซต์ปลอมเป็นตัวกลางเพื่อดักจับข้อมูลการเข้าสู่ระบบและ Session Cookie ทำให้ผู้โจมตียังคงเข้าใช้งานบัญชีได้ แม้เปิดใช้ MFA แล้วก็ตาม
เมื่อเจาะบัญชีได้สำเร็จ ก็ยังใช้ส่วนเสริมสำหรับเบราว์เซอร์ชื่อ ForgCookie เพื่อรีเฟรช Session Cookie ของ Microsoft โดยอัตโนมัติ ช่วยให้ผู้โจมตียังคงเข้าถึงบริการต่าง ๆ ที่เชื่อมกับบัญชีของเหยื่อได้ต่อเนื่อง ทำให้การรักษาการเข้าถึงบัญชีทำได้ยาวนานขึ้น
ข้อแนะนำสำหรับผู้ใช้งาน Microsoft 365
- ปิดหรือจำกัด Device Code Authentication หากองค์กรไม่ได้ใช้งาน
- ตรวจสอบ Microsoft Entra Logs เพื่อค้นหาการเข้าสู่ระบบที่ผิดปกติ
- เฝ้าระวังการอนุมัติ OAuth, การสร้าง Mailbox Rules และการเข้าสู่ระบบจากอุปกรณ์ใหม่
- หากสงสัยว่าบัญชีถูกโจมตี ให้เพิกถอน Token และ Session ทั้งหมด พร้อมบังคับให้ผู้ใช้ลงชื่อเข้าใช้งานใหม่
เมื่อเครื่องมือโจมตีถูกพัฒนาให้ใช้งานง่ายขึ้น องค์กรก็ยิ่งต้องให้ความสำคัญกับการตั้งค่าความปลอดภัยและการเฝ้าระวังบัญชีผู้ใช้งานมากกว่าเดิม
hostatom พร้อมช่วยวางระบบและดูแล Microsoft 365 ให้เหมาะกับการใช้งานขององค์กรคุณ
ที่มา: Bleeping Computer


