แฮ็กเกอร์ใช้เทคนิคใหม่ โดยผสมผสานลิงค์ office[.]com ที่ถูกต้องเข้ากับ Active Directory Federation Services (ADFS) เพื่อนำผู้ใช้งานไปยังหน้าฟิชชิ่ง (Phishing) ซึ่งถูกออกแบบมาเพื่อขโมยข้อมูลบัญชี Microsoft 365
วิธีการนี้ทำให้ผู้โจมตีสามารถ bypass ขั้นตอนการตรวจจับด้วยการวิเคราะห์ URL แบบดั้งเดิม (traditional URL-based detection) และ bypass กระบวนการยืนยันตัวตนแบบหลายขั้นตอน (MFA) ได้ โดยอาศัยโดเมนที่มีความน่าเชื่อถือ (Trusted Domain) ของโครงสร้างพื้นฐาน Microsoft สำหรับการเปลี่ยนโดเมนปลายทาง (Redirect) ในขั้นต้น
ความน่าเชื่อถือของการเปลี่ยนโดเมนปลายทาง (Legitimacy of a trusted redirect)
นักวิจัยจาก Push Security ซึ่งเป็นบริษัทที่ให้บริการด้านโซลูชันการป้องกันการโจมตีที่อาศัยการปลอมแปลงตัวตน (Identity-Based Attacks) ได้วิเคราะห์แคมเปญล่าสุดที่มุ่งเป้าไปที่ลูกค้าหลายรายของทางบริษัท โดยพบว่าพนักงานในองค์กรถูกเปลี่ยนโดเมนปลายทาง outlook[.]office[.]com ซึ่งเป็นโดเมนทางการที่ถูกต้อง ไปยังปลายทางที่เป็นเว็บไซต์ฟิชชิ่ง
ถึงแม้ว่าหน้าเพจฟิชชิ่งจะไม่ได้แสดงองค์ประกอบพิเศษใด ๆ ที่อาจสามารถป้องกันการตรวจพบ แต่กระบวนการส่งผ่านโครงสร้างพื้นฐานที่มีความน่าเชื่อถือ (Trusted Infrastructure) สามารถทำให้หลีกเลี่ยงการทำงานของระบบรักษาความปลอดภัย (Security Agent) ได้
Push Security ระบุว่า การโจมตีฟิชชิ่งครั้งนี้เริ่มต้นจากเหยื่อคลิกลิงก์ที่เป็นอันตรายในผลการค้นหาสำหรับคำว่า "Office 265" (คาดว่าเป็นการพิมพ์ผิด) ของ Google ที่ได้รับการโฆษณา (Sponsored)
เมื่อเหยื่อคลิกลิงก์อันตรายในผลการค้นหา จะถูกนำไปยังหน้า Microsoft Office ก่อนที่จะถูกเปลี่ยนโดเมนปลายทางไปยังอีกโดเมนหนึ่งคือ bluegraintours[.]com และถูกส่งต่อไปยังหน้าฟิชชิ่งที่ถูกสร้างขึ้นเพื่อขโมยข้อมูลบัญชีผู้ใช้
เมื่อดูเผิน ๆ การเข้าไปที่หน้าที่เป็นอันตรายดูเหมือนจะเป็นการเปลี่ยนโดเมนปลายทางจาก office[.]com ของ Microsoft โดยไม่มีอีเมลฟิชชิ่งเข้ามาเกี่ยวข้อง
โดยเมื่อมีการตรวจสอบแล้ว ทีมวิจัยจาก Push Security พบว่า "ผู้โจมตีได้ตั้งค่า Microsoft Tenant แบบกำหนดเอง พร้อมด้วยการเปิดใช้งาน Active Directory Federation Services (ADFS) ที่กำหนดค่าไว้แล้ว"
ADFS คือระบบโซลูชันสำหรับการยืนยันตัวตนเพียงครั้งเดียว (Single Sign-On, SSO) จาก Microsoft ที่อนุญาตให้ผู้ใช้งานสามารถเข้าถึงแอปพลิเคชันต่าง ๆ ทั้งภายใน และภายนอกระบบเครือข่ายขององค์กรด้วยชุดข้อมูลที่ใช้ในการยืนยันตัวตนชุดเดียวกัน
ถึงแม้ว่าบริการ ADFS ยังคงมีให้บริการบน Windows Server 2025 และยังไม่มีแผนการยกเลิกการให้บริการอย่างเป็นทางการ แต่ทาง Microsoft ได้แนะนำให้ลูกค้าย้ายไปใช้ Azure Active Directory (Azure AD) ซึ่งเป็นโซลูชันการบริการจัดการตัวตัน และการเข้าถึง (Identity and Access Management, IAM) บนคลาวด์
ด้วยการควบคุม Microsoft tenant เองของทางผู้โจมตีนั้น ทางผู้โจมตีสามารถใช้งาน ADFS ในการรับ authorization requests จากโดเมน bluegraintour[.]com ซึ่งถูกตั้งค่าให้ทำหน้าที่เป็น IAM provider เพื่ออนุญาตการยืนยันตัวตนบนหน้าฟิชชิ่งได้
เพื่อให้เว็บไซต์ bluegrainstours ถูกซ่อนจากเหยื่อจนไม่สามารถมองเห็นได้ระหว่างกระบวนการเปลี่ยนโดเมนปลายทาง ทางแฮ็กเกอร์ได้ดำเนินการเพิ่มบทความบนบล็อกโพสต์ปลอม และรายละเอียดต่าง ๆ ลงไป เพื่อสร้างความน่าเชื่อถือ และหลีกเลี่ยงการตรวจจับโดยระบบสแกนอัตโนมัติ
จากการวิเคราะห์เพิ่มเติมพบว่า ผู้โจมตีได้ตั้งค่า ข้อจำกัดการการโหลดแบบมีเงื่อนไข (Conditional Loading Restrictions) ที่ทำให้มีเพียงเป้าหมายเฉพาะที่ถูกกำหนดไว้ว่าเป็นผู้ใช้งานที่กำหนดไว้เท่านั้นที่สามารถเข้าถึงหน้าเว็บฟิชชิ่งได้เท่านั้น
นักวิจัยระบุว่า หากผู้ใช้งานไม่ได้มีคุณสมบัติตรงตามเงื่อนไขที่กำหนดไว้ ระบบจะเปลี่ยนโดเมนปลายทางผู้ใช้งานกลับไปยังเว็บไซต์ office[.]com ของ Microsoft ซึ่งเป็นเว็บไซต์ทางการโดยอัตโนมัติ
Jacques Louw ผู้ร่วมก่อตั้ง และประธานเจ้าหน้าที่ฝ่ายผลิตภัณฑ์ (CPO) ของบริษัท Push Security แจ้งกับทาง BleepingComputer ว่า การโจมตีเหล่านี้ดูเหมือนจะไม่ได้มุ่งเป้าเพียงอุตสาหกรรม หรือตำแหน่งงานเฉพาะเจาะจงใด ๆ และอาจเป็นเพียงผลการทดลองวิธีการโจมตีใหม่ ๆ เท่านั้น
"จากสิ่งที่พบนั้น ดูเหมือนว่ากลุ่มผู้โจมตีอยู่ระหว่างการทดลองใช้เทคนิคใหม่ ๆ เพื่อให้ผู้ใช้งานคลิกลิงก์ที่มีความน่าเชื่อถืออย่างสูง ซึ่งจะนำไปสู่หน้าเพจฟิชชิ่ง โดยถือเป็นชุดการโจมตีฟิชชิ่งตามมาตรฐานทั่วไป - คล้ายคลึงกับวิธีการโจมตีของกลุ่ม Shiny Hunters และ Scattered Spider ที่เคยมีการเปิดเผยก่อนหน้านี้"
ก่อนหน้านี้ ADFS ได้ถูกใช้งานในแคมเปญการโจมตีฟิชชิ่งมาแล้ว แต่จะแตกต่างกันที่ผู้โจมตีผู้โจมตีจะปลอมหน้าหน้าเข้าสู่ระบบ ADFS ขององค์กรเป้าหมายเพื่อโจรกรรมข้อมูลการเข้าสู่ระบบ
เพื่อป้องกันการโจมตีลักษณะนี้ ทางบริษัท Push Security ได้แนะนำมาตรการหลายอย่าง รวมถึงการเฝ้าระวังการเปลี่ยนแปลงโดเมนปลายทางของ ADFS ไปยังเว็บไซต์ที่เป็นอันตราย
ที่มา: bleepingcomputer
You must be logged in to post a comment.