ชั้น 29 ออฟฟิศเศส แอท เซ็นทรัลเวิลด์

999/9 พระราม 1 กรุงเทพฯ 10330

บริการตลอด 24 ชั่วโมง

ทุกวัน ไม่เว้นวันหยุด

0-2107-3466

โทรเลยดิจะรออะไร

แฮกเกอร์ใช้ Phishing Kit ตัวใหม่เจาะ Microsoft 365 หลบ MFA ได้ เสี่ยงข้อมูลรั่วในไม่กี่นาที

Banner graphic with phishing-kit login mockups on a dark red background and Hostatom logo; warns of a new kit that bypasses MFA for Microsoft 365.

นักวิจัยด้านความปลอดภัยจาก ReliaQuest เปิดเผยการพบ Phishing Kit ตัวใหม่ 2 ชุด ได้แก่ Jalisco และ OmegaLord ที่ถูกนำมาใช้โจมตีบัญชี Microsoft 365 โดยทั้งสองเครื่องมือถูกออกแบบมาเพื่อหลีกเลี่ยงการป้องกันด้วย Multi-Factor Authentication (MFA) ผ่านเทคนิคที่แตกต่างกัน ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีของเหยื่อและขโมยข้อมูลสำคัญได้อย่างรวดเร็ว

Jalisco ใช้ Device Code Phishing หลอกเหยื่ออนุมัติอุปกรณ์ของแฮกเกอร์

Microsoft access prompt asking for a code (Code field, Next button); behind it a verification-code dialog with a Copy code button and Sign in to view.

Phishing Kit ตัวแรกที่ชื่อ Jalisco จะใช้เทคนิค Device Code Phishing ซึ่งเป็นการนำขั้นตอน OAuth 2.0 Device Authorization Grant มาใช้ในทางที่ผิด โดยการโจมตีจะมีขั้นตอนเป็น

  1. ผู้โจมตีเริ่มกระบวนการล็อกอิน Microsoft 365 เพื่อสร้าง Device Authorization Code
  2. หลอกให้เหยื่อเข้าสู่หน้าเข้าสู่ระบบ Microsoft ของจริง
  3. ให้เหยื่อกรอกรหัส Device Code ที่ผู้โจมตีส่งมา
  4. เมื่อเหยื่อยืนยันเรียบร้อย อุปกรณ์ของผู้โจมตีจะได้รับสิทธิ์เข้าถึงบัญชีทันที โดยไม่ต้องรู้รหัสผ่านของเหยื่อเลย

จุดที่น่ากังวลก็คือ Jalisco สามารถสร้าง Device Code ใหม่แบบเรียลไทม์ทุกครั้งที่มีผู้เข้าเว็บไซต์ฟิชชิง ช่วยหลีกเลี่ยงข้อจำกัดที่ Microsoft กำหนดให้รหัสมีอายุเพียง 15 นาที

นอกจากนี้ยังมีแผงควบคุมสำหรับบริหารบัญชีที่ถูกเจาะ ไปจนถึงสามารถลงทะเบียนอุปกรณ์ปลอมหลายเครื่องในบัญชีเดียว โดยตั้งชื่ออุปกรณ์ให้ดูคล้าย Microsoft หรือ Windows เพื่อไม่ให้ผู้ใช้งานสงสัยได้อีกด้วย

OmegaLord ปลอมเป็นโปรแกรมอ่าน PDF เพื่อขโมยข้อมูล

Password-protected document prompt with fields for Email, Password, and Phone Number, plus a View button.

อีกหนึ่ง Phishing Kit คือ OmegaLord ตัวนี้จะใช้วิธีที่คุ้นเคยกันมากกว่า โดยสร้างหน้าเว็บปลอมที่เลียนแบบ PDF Reader ขึ้นมา และเมื่อเหยื่อกรอกข้อมูล ระบบจะขโมยข้อมูลอีเมล รหัสผ่าน หมายเลขโทรศัพท์ ซึ่งการเก็บหมายเลขโทรศัพท์อาจถูกนำไปใช้ในการดักรับหรือหลอกขอรหัสยืนยัน MFA รวมถึงใช้โจมตีด้วย Social Engineering ในขั้นตอนต่อ ๆ ไป

สิ่งที่แฮกเกอร์จะทำหลังยึดบัญชีได้

หลังจากเข้าควบคุมบัญชี Microsoft 365 ได้แล้ว ผู้โจมตีจะรีบค้นหาข้อมูลสำคัญในบริการต่าง ๆ เช่น

  • SharePoint
  • บริการ SaaS ภายในองค์กร
  • เอกสารภายใน
  • ข้อมูลลูกค้า
  • ข้อมูลพนักงาน
  • ข้อมูลทางการเงิน

การขโมยข้อมูลเหล่านี้อาจใช้เวลาเพียงประมาณ 6 นาที ก่อนที่ทีมรักษาความปลอดภัยจะตรวจพบความผิดปกติ จากนั้นผู้โจมตีมักส่งข้อความเรียกค่าไถ่และขู่ว่าจะเผยแพร่ข้อมูลที่ขโมยมา

วิธีลดความเสี่ยงจากการโจมตี

  • ลดจำนวนอุปกรณ์ที่ผู้ใช้สามารถลงทะเบียนใน Microsoft Entra ID จากค่าเริ่มต้น 50 เครื่อง ให้เหลือเพียง 1–2 เครื่อง
  • พิจารณาปิดหรือจำกัดการใช้งาน Device Code Authentication ผ่าน Microsoft Entra Conditional Access หากไม่จำเป็น
  • จำกัดการใช้งาน OAuth Device Authorization ในระบบที่รองรับ เช่น Okta
  • ตรวจสอบและลบ App Registration ที่ไม่ได้ใช้งาน
  • เฝ้าระวังการลงทะเบียนอุปกรณ์ใหม่หรือการเข้าสู่ระบบที่ผิดปกติ
  • อบรมผู้ใช้งานว่า ไม่ควรกรอก Device Code ที่ได้รับจากผู้อื่น หากไม่ได้เป็นผู้เริ่มต้นการเข้าสู่ระบบด้วยตนเอง

การปรากฏตัวของ Jalisco และ OmegaLord ได้แสดงให้เห็นว่า ผู้โจมตีกำลังพัฒนาเครื่องมือฟิชชิงให้สามารถหลีกเลี่ยง MFA ได้มากขึ้น โดยไม่ได้อาศัยเพียงการขโมยรหัสผ่านเหมือนในอดีต แต่ใช้ช่องทางการยืนยันตัวตนที่ถูกต้องของ Microsoft มาหลอกผู้ใช้แทน ดังนั้น องค์กรก็ยิ่งต้องให้ความสำคัญกับการตั้งค่าความปลอดภัยและการเฝ้าระวังบัญชีผู้ใช้งานให้มากขึ้นกว่าเดิม

หากต้องการใช้งาน Microsoft 365 พร้อมคำแนะนำด้านความปลอดภัย hostatom พร้อมช่วยดูแลและให้คำปรึกษา

ที่มา: Bleeping Computer

  • สนใจติดตามข่าวสารกับทางโฮสอะตอมได้ที่ hostatom.com
Categories