Guardz Research พบแคมเปญการโจมตีทางไซเบอร์ที่มีความซับซ้อน และมีการประสานงานอย่างดี
การโจมตีมุ่งเป้าไปที่โปรโตคอลการยืนยันตัวตนแบบเก่าใน Microsoft Entra ID โดยใช้วิธีการที่ล้าสมัยเพื่อ Bypass มาตรการรักษาความปลอดภัยสมัยใหม่ เช่น การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication - MFA) และ Conditional Access
หัวใจสำคัญของการโจมตีนี้คือ BAV2ROPC (Basic Authentication Version 2, Resource Owner Password Credential) ซึ่งเป็นขั้นตอนการเข้าสู่ระบบที่ถูกยกเลิกไปแล้ว ซึ่งสามารถทำให้ผู้ไม่หวังดี Bypass ขั้นตอนการยืนยันตัวตนแบบที่ต้องมีการโต้ตอบจากผู้ใช้งาน เช่น MFA ได้ ด้วยการแลกเปลี่ยนชื่อผู้ใช้งาน และรหัสผ่าน เพื่อรับ access tokens โดยตรง
เนื่องจากไม่ต้องมีการแจ้งเตือน MFA หรือการโต้ตอบกับผู้ใช้งาน โปรโตคอลนี้จึงกลายเป็นช่องทางลับที่ใช้เข้าสู่ระบบอย่างเงียบ ๆ ทำให้เป็นเทคนิคที่ได้รับความนิยมในกลุ่มผู้ไม่หวังดี
แคมเปญที่กำหนดเป้าหมาย ปล่อยการโจมตีแบบอัตโนมัติ
ความสำเร็จของแคมเปญการโจมตีนี้เกิดจากการใช้การยืนยันตัวตนแบบเก่าอย่างต่อเนื่อง เช่น BAV2ROPC, SMTP AUTH, POP3 และ IMAP4 ซึ่งไม่มีฟีเจอร์ด้านความปลอดภัยที่แข็งแกร่งเทียบเท่ากับโปรโตคอลสมัยใหม่
แม้ว่า Microsoft จะพยายามยกเลิกการใช้งานโปรโตคอลเหล่านี้ แต่หลายองค์กรยังคงใช้งานต่อไป เนื่องจากระบบที่ล้าสมัย หรือความจำเป็นในการดำเนินธุรกิจอย่างต่อเนื่อง ซึ่งทำให้สภาพแวดล้อมขององค์กรยังคงมีความเสี่ยง
Guardz Research พบว่า ผู้ไม่หวังดีมีความเข้าใจระบบการยืนยันตัวตนเป็นอย่างดี โดยพวกเขาได้เปิดการโจมตีแบบอัตโนมัติ เช่น Credential Spraying และ Brute-Force ผ่านเครือข่ายที่กระจายตัวโดยใช้ IP จำนวนหลายแห่ง ซึ่งส่วนใหญ่มาจากภูมิภาคยุโรปตะวันออก และเอเชียแปซิฟิก
กลยุทธ์ของผู้ไม่หวังดีมีการทำงานอย่างเป็นระบบ โดยเริ่มจากการสแกนเบื้องต้นในปริมาณต่ำระหว่างวันที่ 18-20 มีนาคม ก่อนจะพัฒนาเป็นการโจมตีอย่างต่อเนื่องตั้งแต่วันที่ 21 มีนาคมถึง 3 เมษายน และไปถึงจุดพีคด้วยความพยายามเข้าสู่ระบบถึง 8,534 ครั้งในวันที่ 5 เมษายน และในช่วงของการเพิ่มความรุนแรงของการโจมตีอยู่ระหว่างวันที่ 4-7 เมษายน
มีความพยายามเข้าสู่ระบบ Exchange ที่น่าสงสัยมากกว่า 9,000 ครั้งในระยะเวลาสั้น ๆ สะท้อนถึงขนาด และความแม่นยำของปฏิบัติการครั้งนี้
โปรโตคอลแบบเก่า และช่องโหว่ที่ยังคงอยู่
ผู้ไม่หวังดี มุ่งเป้าไปที่ endpoint แบบเก่าโดยเฉพาะ เช่น Exchange Online และ Microsoft Authentication Library โดยกว่า 90% ของความพยายามทั้งหมดมุ่งโจมตีระบบที่สำคัญเหล่านี้
ผู้ไม่หวังดีใช้เทคนิคหลากหลายในการโจมตี เช่น OAuth legacy flows (12,221 ครั้ง), Password Authentication (28,150 ครั้ง), Basic Authentication (27,332 ครั้ง) และ Legacy Exchange Protocols (21,080 ครั้ง)
บัญชีผู้ดูแลระบบถูกโจมตีจำนวนมากเป็นพิเศษ โดยบัญชีหนึ่งถูกพยายามเข้าสู่ระบบเกือบ 10,000 ครั้งจาก IP ที่แตกต่างกันถึง 432 ราย ภายในเวลาเพียง 8 ชั่วโมง แสดงให้เห็นถึงระดับของระบบอัตโนมัติ
การโจมตีเหล่านี้ไม่ได้มีเป้าหมายเพียงแค่การเข้าถึงระบบเท่านั้น แต่ยังมุ่งเน้นไปที่การเก็บข้อมูลอีเมล, ข้อมูลระบุตัวตน และ session token เพื่อนำไปใช้ในการยกระดับสิทธิ์ หรือโจมตีต่อเนื่อง
การใช้ IP Rotation และโครงสร้างพื้นฐานแบบ Distributed ยังเพิ่มความซับซ้อนในการตรวจจับ ทำให้เห็นได้ชัดว่าเป็นความพยายามที่มีการวางแผน และประสานงานอย่างดีในการเจาะเป้าหมายที่มีมูลค่าสูง
Guardz Research เน้นย้ำว่า วิธีป้องกันเดียวที่มีประสิทธิภาพในแคมเปญนี้ คือการตั้งค่าระบบให้ "ปิดการใช้งานการยืนยันตัวตนแบบเก่าทั้งหมด"
องค์กรที่ยังคงอนุญาตให้ใช้โปรโตคอลแบบเก่า ยังคงตกเป็นเป้าหมายหลัก เนื่องจากผู้ไม่หวังดีสามารถใช้ช่องโหว่ที่ถูกมองข้ามเหล่านี้อย่างมีประสิทธิภาพ
เหตุการณ์นี้ถือเป็นสัญญาณเตือนอย่างชัดเจนถึงความจำเป็นเร่งด่วนในการปรับปรุงระบบการยืนยันตัวตนให้ทันสมัย และยกเลิกการใช้งานโปรโตคอลแบบเก่าเพื่อป้องกันองค์กรจากภัยคุกคามไซเบอร์ที่มีความซับซ้อนมากขึ้นเรื่อย ๆ
ที่มา : gbhackers
You must be logged in to post a comment.