นักวิจัยด้านความปลอดภัยจาก ReliaQuest เปิดเผยการพบ Phishing Kit ตัวใหม่ 2 ชุด ได้แก่ Jalisco และ OmegaLord ที่ถูกนำมาใช้โจมตีบัญชี Microsoft 365 โดยทั้งสองเครื่องมือถูกออกแบบมาเพื่อหลีกเลี่ยงการป้องกันด้วย Multi-Factor Authentication (MFA) ผ่านเทคนิคที่แตกต่างกัน ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีของเหยื่อและขโมยข้อมูลสำคัญได้อย่างรวดเร็ว
Jalisco ใช้ Device Code Phishing หลอกเหยื่ออนุมัติอุปกรณ์ของแฮกเกอร์
Phishing Kit ตัวแรกที่ชื่อ Jalisco จะใช้เทคนิค Device Code Phishing ซึ่งเป็นการนำขั้นตอน OAuth 2.0 Device Authorization Grant มาใช้ในทางที่ผิด โดยการโจมตีจะมีขั้นตอนเป็น
- ผู้โจมตีเริ่มกระบวนการล็อกอิน Microsoft 365 เพื่อสร้าง Device Authorization Code
- หลอกให้เหยื่อเข้าสู่หน้าเข้าสู่ระบบ Microsoft ของจริง
- ให้เหยื่อกรอกรหัส Device Code ที่ผู้โจมตีส่งมา
- เมื่อเหยื่อยืนยันเรียบร้อย อุปกรณ์ของผู้โจมตีจะได้รับสิทธิ์เข้าถึงบัญชีทันที โดยไม่ต้องรู้รหัสผ่านของเหยื่อเลย
จุดที่น่ากังวลก็คือ Jalisco สามารถสร้าง Device Code ใหม่แบบเรียลไทม์ทุกครั้งที่มีผู้เข้าเว็บไซต์ฟิชชิง ช่วยหลีกเลี่ยงข้อจำกัดที่ Microsoft กำหนดให้รหัสมีอายุเพียง 15 นาที
นอกจากนี้ยังมีแผงควบคุมสำหรับบริหารบัญชีที่ถูกเจาะ ไปจนถึงสามารถลงทะเบียนอุปกรณ์ปลอมหลายเครื่องในบัญชีเดียว โดยตั้งชื่ออุปกรณ์ให้ดูคล้าย Microsoft หรือ Windows เพื่อไม่ให้ผู้ใช้งานสงสัยได้อีกด้วย
OmegaLord ปลอมเป็นโปรแกรมอ่าน PDF เพื่อขโมยข้อมูล
อีกหนึ่ง Phishing Kit คือ OmegaLord ตัวนี้จะใช้วิธีที่คุ้นเคยกันมากกว่า โดยสร้างหน้าเว็บปลอมที่เลียนแบบ PDF Reader ขึ้นมา และเมื่อเหยื่อกรอกข้อมูล ระบบจะขโมยข้อมูลอีเมล รหัสผ่าน หมายเลขโทรศัพท์ ซึ่งการเก็บหมายเลขโทรศัพท์อาจถูกนำไปใช้ในการดักรับหรือหลอกขอรหัสยืนยัน MFA รวมถึงใช้โจมตีด้วย Social Engineering ในขั้นตอนต่อ ๆ ไป
สิ่งที่แฮกเกอร์จะทำหลังยึดบัญชีได้
หลังจากเข้าควบคุมบัญชี Microsoft 365 ได้แล้ว ผู้โจมตีจะรีบค้นหาข้อมูลสำคัญในบริการต่าง ๆ เช่น
- SharePoint
- บริการ SaaS ภายในองค์กร
- เอกสารภายใน
- ข้อมูลลูกค้า
- ข้อมูลพนักงาน
- ข้อมูลทางการเงิน
การขโมยข้อมูลเหล่านี้อาจใช้เวลาเพียงประมาณ 6 นาที ก่อนที่ทีมรักษาความปลอดภัยจะตรวจพบความผิดปกติ จากนั้นผู้โจมตีมักส่งข้อความเรียกค่าไถ่และขู่ว่าจะเผยแพร่ข้อมูลที่ขโมยมา
วิธีลดความเสี่ยงจากการโจมตี
- ลดจำนวนอุปกรณ์ที่ผู้ใช้สามารถลงทะเบียนใน Microsoft Entra ID จากค่าเริ่มต้น 50 เครื่อง ให้เหลือเพียง 1–2 เครื่อง
- พิจารณาปิดหรือจำกัดการใช้งาน Device Code Authentication ผ่าน Microsoft Entra Conditional Access หากไม่จำเป็น
- จำกัดการใช้งาน OAuth Device Authorization ในระบบที่รองรับ เช่น Okta
- ตรวจสอบและลบ App Registration ที่ไม่ได้ใช้งาน
- เฝ้าระวังการลงทะเบียนอุปกรณ์ใหม่หรือการเข้าสู่ระบบที่ผิดปกติ
- อบรมผู้ใช้งานว่า ไม่ควรกรอก Device Code ที่ได้รับจากผู้อื่น หากไม่ได้เป็นผู้เริ่มต้นการเข้าสู่ระบบด้วยตนเอง
การปรากฏตัวของ Jalisco และ OmegaLord ได้แสดงให้เห็นว่า ผู้โจมตีกำลังพัฒนาเครื่องมือฟิชชิงให้สามารถหลีกเลี่ยง MFA ได้มากขึ้น โดยไม่ได้อาศัยเพียงการขโมยรหัสผ่านเหมือนในอดีต แต่ใช้ช่องทางการยืนยันตัวตนที่ถูกต้องของ Microsoft มาหลอกผู้ใช้แทน ดังนั้น องค์กรก็ยิ่งต้องให้ความสำคัญกับการตั้งค่าความปลอดภัยและการเฝ้าระวังบัญชีผู้ใช้งานให้มากขึ้นกว่าเดิม
หากต้องการใช้งาน Microsoft 365 พร้อมคำแนะนำด้านความปลอดภัย hostatom พร้อมช่วยดูแลและให้คำปรึกษา
ที่มา: Bleeping Computer


