แคมเปญฟิชชิ่งที่มุ่งเป้าไปที่ฝ่ายบริการช่วยเหลือ (help desk) ได้โจมตีบริการ Microsoft Active Directory Federation Services (ADFS) ขององค์กร โดยใช้หน้าเข้าสู่ระบบปลอมเพื่อขโมยข้อมูลการเข้าสู่ระบบ และ Bypass การยืนยันตัวตนหลายขั้นตอน (MFA)
เป้าหมายของแคมเปญนี้ ตามที่ Abnormal Security ซึ่งเป็นผู้ค้นพบได้ระบุไว้คือ องค์กรด้านการศึกษา, การดูแลสุขภาพ และรัฐบาล โดยมีเป้าหมายการโจมตีอย่างน้อย 150 เป้าหมาย
การโจมตีเหล่านี้มีจุดประสงค์เพื่อเข้าถึงบัญชีอีเมลขององค์กร เพื่อส่งอีเมลไปยังเหยื่อเพิ่มเติมภายในองค์กร หรือทำการโจมตีที่มีแรงจูงใจทางการเงิน เช่น business email compromise (BEC) ซึ่งการชำระเงินจะถูกโอนไปยังบัญชีของผู้ไม่หวังดีแทน
การปลอม Microsoft Active Directory Federation Services
Microsoft Active Directory Federation Services (ADFS) คือระบบการยืนยันตัวตนที่ช่วยให้ผู้ใช้งานสามารถเข้าสู่ระบบเพียงครั้งเดียว และเข้าถึงแอปพลิเคชัน และบริการหลายรายการได้โดยไม่ต้องกรอกข้อมูลเข้าสู่ระบบซ้ำ
โดยทั่วไปจะใช้ในองค์กรขนาดใหญ่เพื่อให้บริการการเข้าสู่ระบบครั้งเดียว (Single Sign-On หรือ SSO) สำหรับแอปพลิเคชันภายใน และแอปพลิเคชันที่อยู่บนคลาวด์
ผู้ไม่หวังดีจะส่งอีเมลไปยังเป้าหมายโดยปลอมเป็นทีม IT ของบริษัท โดยขอให้ผู้ใช้งานเข้าสู่ระบบเพื่ออัปเดตการตั้งค่าความปลอดภัย หรือยอมรับนโยบายใหม่
การคลิกที่ปุ่มที่ฝังอยู่ในอีเมลจะนำเหยื่อไปยังเว็บไซต์ฟิชชิ่งที่มีลักษณะเหมือนกับหน้าเข้าสู่ระบบ ADFS ขององค์กรจริง ๆ
หน้าฟิชชิ่งจะขอให้เหยื่อกรอกชื่อผู้ใช้, รหัสผ่าน และรหัส MFA หรือหลอกให้ยอมรับการแจ้งเตือนแบบ push
"Template ฟิชชิ่งยังมีแบบฟอร์มที่ออกแบบมาเพื่อดักจับข้อมูล MFA ที่จำเป็นในการยืนยันตัวตนของบัญชีเป้าหมาย โดยอ้างอิงจากการตั้งค่า MFA ขององค์กร"
"Abnormal พบว่า Templates ฟิชชิ่งมุ่งเป้าไปที่กลไก MFA ที่นิยมใช้งาน เช่น Microsoft Authenticator, Duo Security และการยืนยันตัวตนผ่าน SMS"
เมื่อเหยื่อกรอกข้อมูลทั้งหมดแล้ว พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบที่ถูกต้องเพื่อลดความน่าสงสัย และทำให้ดูเหมือนว่ากระบวนการเข้าสู่ระบบเสร็จสมบูรณ์แล้ว
ในขณะเดียวกัน ผู้ไม่หวังดีจะใช้ข้อมูลที่ขโมยมาทันทีในการเข้าสู่บัญชีของเหยื่อ, ขโมยข้อมูลที่มีค่า, สร้างฟิลเตอร์อีเมลใหม่ และพยายามขยายการฟิชชิ่งในระบบ
Abnormal ระบุว่า ผู้ไม่หวังดีในแคมเปญนี้ใช้ VPN ของ Private Internet Access เพื่อปิดบังตำแหน่งที่ตั้งของพวกเขา และกำหนดที่อยู่ IP ที่ใกล้เคียงกับองค์กรมากขึ้น
ถึงแม้ว่าแคมเปญฟิชชิ่งเหล่านี้จะไม่ได้เจาะระบบ ADFS โดยตรง และใช้การโจมตีแบบ social engineering เพื่อให้สำเร็จ แต่กลยุทธ์นี้ยังมีความน่าสนใจในด้านประสิทธิภาพที่เป็นไปได้ เพราะผู้ใช้งานหลายคนจะมีความไว้วางใจในกระบวนการเข้าสู่ระบบที่คุ้นเคย
Abnormal แนะนำว่าองค์กรควรย้ายไปใช้โซลูชันที่ทันสมัย และปลอดภัยกว่า เช่น Microsoft Entra และควรเพิ่มฟิลเตอร์อีเมลเพิ่มเติมพร้อมกับกลไกการตรวจจับพฤติกรรมที่ผิดปกติ เพื่อหยุดการโจมตีฟิชชิ่งตั้งแต่ในระยะแรก
ที่มา : bleepingcomputer
You must be logged in to post a comment.