Microsoft ได้เปิดเผยการดำเนินการปิดใช้งานของบัญชี Microsoft Partner Network (MPN) ปลอม ที่ใช้สำหรับสร้างแอปพลิเคชัน OAuth ที่เป็นอันตราย ซึ่งถูกใช้ในแคมเปญ Phishing ที่มุ่งเป้าไปยังระบบคลาวด์ขององค์กรเพื่อขโมยอีเมล โดยการลอกเลียนแบบแอปยอดนิยมและหลอกให้เหยื่อกดยินยอมอนุญาตให้เข้าถึงสิทธิต่าง ๆ ซึ่งแอปปลอมเหล่านี้ได้ลงทะเบียนกับ OAuth ที่สร้างขึ้นใน Azure AD
Microsoft ได้พบการโจมตีครั้งแรกในวันที่ 6 ธันวาคม 2022 โดยพบเป็นแอป Zoom ที่ปลอมแปลงขึ้นเพื่อลอกลวงเป้าหมายให้กดให้สิทธิในการเข้าถึง ซึ่งมีกลุ่มเป้าหมายเป็น พนักงานการเงิน
การตลาด ผู้จัดการ และผู้บริหารระดับสูง หลังจากนั้นในวันที่ 15 ธันวาคม 2022 ได้แจ้งเตือนลูกค้าที่ได้รับผลกระทบทางอีเมล พร้อมทั้งพบว่า Hacker ได้ใช้สิทธิ์ที่ได้รับในการส่งอีเมลที่ขโมยข้อมูลออกไป
รวมถึง Proofpoint บริษัทด้านความปลอดภัยทางอีเมลได้วิเคราะห์แอป OAuth อันตราย พบว่า
แอปเหล่านี้มีการขอสิทธิการเข้าถึงต่าง ๆ มากมาย เช่น การอ่านอีเมล การปรับการตั้งค่ากล่องจดหมาย และการเข้าถึงไฟล์ และข้อมูลอื่น ๆ ที่เชื่อมโยงกับบัญชีของผู้ใช้งาน
นอกจากนี้ Microsoft ยังได้พบแอป OAuth อันตรายอีก 2 รายการ ที่ปลอมแปลงเป็นซอฟต์แวร์การประชุมผ่านวิดีโอที่มีชื่อว่า "Single Sign-on (SSO)" และ "Meeting" โดยแอป OAuth อันตรายทั้ง 3 รายการนี้ มีเป้าหมายไปที่องค์กรและใช้ประโยชน์จากโครงสร้างพื้นฐานบนระบบ
คลาวด์ขององค์กร ที่ถูกควบคุมโดย Hacker ซึ่งมีเป้าหมายหลักอยู่ที่สหราชอาณาจักร และไอร์แลนด์เป็นหลัก
ปัจจุบัน Microsoft ได้ทำการปิดใช้งานของบัญชี Microsoft Partner Network (MPN) ปลอมที่ใช้สำหรับสร้างแอปพลิเคชัน OAuth อันตรายลงแล้ว รวมทั้งเพิ่มมาตรการรักษาความปลอดภัย และปรับปรุงกระบวนการตรวจสอบที่เกี่ยวข้องกับ Microsoft Cloud Partner Program เพื่อลดโอกาสที่จะเกิดการโจมตีขึ้นในอนาคต
ที่มา : thehackernews
You must be logged in to post a comment.