ผู้ไม่หวังดีหลายกลุ่มกำลังโจมตีบัญชี Microsoft 365 ผ่านการโจมตีแบบ phishing ที่อาศัยกลไกการยืนยันตัวตนด้วย Device code ของ OAuth (OAuth device code authorization)
ผู้โจมตีจะหลอกล่อให้เหยื่อนำ Device code ไปกรอกในหน้าล็อกอินจริงของ Microsoft ซึ่งส่งผลให้เหยื่อจะเผลออนุญาตให้แอปพลิเคชันที่ผู้โจมตีควบคุมอยู่สามารถเข้าถึงบัญชีได้โดยไม่รู้ตัว วิธีนี้ทำให้ผู้โจมตีเข้าถึงบัญชีเป้าหมายได้โดยไม่จำเป็นต้องขโมยรหัสผ่าน หรือโจมตีผ่านระบบยืนยันตัวตนแบบ MFA
แม้ว่าวิธีการนี้จะไม่ใช่เรื่องใหม่ แต่ Proofpoint บริษัทด้านความปลอดภัยทางอีเมลระบุว่า การโจมตีรูปแบบนี้มีปริมาณเพิ่มสูงขึ้นอย่างมีนัยสำคัญตั้งแต่เดือนกันยายนที่ผ่านมา โดยมีทั้งอาชญากรทางไซเบอร์ที่มุ่งหวังผลประโยชน์ทางการเงินอย่างกลุ่ม TA2723 และกลุ่มผู้ไม่หวังดีที่มีความเกี่ยวข้องกับรัฐบาล
Proofpoint เตือนว่า "ทีมวิจัยภัยคุกคามของ Proofpoint พบกลุ่มภัยคุกคามหลายกลุ่มใช้การ Phishing ด้วย Device code เพื่อหลอกผู้ใช้ให้มอบสิทธิ์การเข้าถึงบัญชี Microsoft 365 แก่ผู้ไม่หวังดี" พร้อมเสริมว่าการพบแคมเปญการโจมตีลักษณะนี้แพร่ระบาดในวงกว้างถือเป็นเรื่องที่ผิดปกติเป็นอย่างมาก
เครื่องมือ และแคมเปญการโจมตี
รูปแบบการโจมตีที่ Proofpoint ตรวจพบในแคมเปญเหล่านี้มีความแตกต่างกันเพียงเล็กน้อย แต่ทั้งหมดล้วนใช้วิธีหลอกล่อให้เหยื่อนำ Device code ไปกรอกลงในหน้า Portal สำหรับล็อกอินอุปกรณ์ของจริงของ Microsoft
ในบางกรณี Device code ดังกล่าวจะถูกอ้างว่าเป็นรหัสผ่านแบบ OTP ในขณะที่บางกรณีอาจใช้อุบายหลอกว่าเป็นการแจ้งเตือนให้ทำการยืนยันสิทธิ์ของ Token ใหม่
ทีมนักวิจัยพบชุดเครื่องมือ Phishing จำนวน 2 รายการที่ถูกนำมาใช้ในการโจมตีครั้งนี้ ได้แก่ SquarePhish (เวอร์ชัน 1 และ 2) และ Graphish ซึ่งเครื่องมือเหล่านี้ช่วยให้ขั้นตอนการทำ Phishing ทำได้ง่ายขึ้น
SquarePhish เป็นเครื่องมือสำหรับ Red Teaming (การจำลองการโจมตีเพื่อทดสอบความปลอดภัย) ที่เปิดให้ใช้งานได้ทั่วไป โดยมุ่งเป้าโจมตีกระบวนการอนุญาตสิทธิ์อุปกรณ์ของ OAuth ผ่านการใช้ QR Code ซึ่งจะเลียนแบบหน้าการตั้งค่า MFA หรือ TOTP ของจริงจาก Microsoft
Graphish เป็นชุดเครื่องมือ Phishing ที่เป็นอันตราย ซึ่งถูกแชร์กันในเว็บบอร์ดใต้ดิน โดยรองรับทั้งการละเมิดสิทธิ์ OAuth, การลงทะเบียนแอปพลิเคชันบน Azure และการโจมตีแบบ Adversary-in-the-Middle (AiTM)
สำหรับแคมเปญการโจมตีที่ Proofpoint ตรวจพบนั้น นักวิจัยได้เน้นถึง 3 กรณีศึกษาสำคัญไว้ในรายงาน โดยมีรายละเอียดดังนี้
- การโจมตีโดยอ้างเรื่องโบนัส และเงินเดือน - เป็นแคมเปญที่ใช้อุบายเรื่องการแชร์เอกสาร และใช้ตราสัญลักษณ์ของบริษัทให้ดูสมจริงเพื่อหลอกลวงให้ผู้รับอีเมลคลิกลิงก์ไปยังเว็บไซต์ของผู้โจมตี จากนั้นเหยื่อจะได้รับคำแนะนำให้ทำขั้นตอนการยืนยันตัวตนที่ปลอดภัย (secure authentication) ให้เสร็จสิ้น โดยการนำรหัสที่ได้รับมากรอกลงในหน้าล็อกอินจริงของ Microsoft ซึ่งการทำเช่นนี้จะเป็นการอนุญาตให้แอปพลิเคชันของผู้โจมตีสามารถเข้าถึงบัญชีได้
- การโจมตีโดยกลุ่ม TA2723 - ผู้โจมตีกลุ่มนี้มีประวัติเกี่ยวกับการ Phishing เพื่อขโมยข้อมูลการเข้าสู่ระบบในปริมาณมาก และเป็นที่รู้จักจากการปลอมแปลงหน้าเว็บของ Microsoft OneDrive, LinkedIn และ DocuSign โดยกลุ่มนี้เริ่มหันมาใช้วิธี Phishing ด้วย OAuth device code ตั้งแต่เดือนตุลาคม ทาง Proofpoint ประเมินว่าในช่วงแรกของแคมเปญน่าจะมีการใช้เครื่องมือ SquarePhish2 และในการโจมตีระลอกหลัง ๆ อาจเปลี่ยนไปใช้ชุดเครื่องมือ Graphish แทน
- กิจกรรมที่มีความเชื่อมโยงเกี่ยวกับรัฐบาล - ตั้งแต่เดือนกันยายน 2025 ทาง Proofpoint ตรวจพบผู้ไม่หวังดีที่ใช้ชื่อกลุ่มว่า UNK_AcademicFlare ซึ่งสงสัยว่ามีความเชื่อมโยงกับรัฐบาลรัสเซีย ได้ใช้ช่องโหว่ของการอนุญาตสิทธิ์ OAuth device code เพื่อเข้าควบคุมบัญชี โดยกลุ่มนี้จะใช้บัญชีอีเมลของหน่วยงานรัฐบาล และกองทัพที่ถูกโจมตีแล้ว มาใช้ตีสนิทสร้างความคุ้นเคย ก่อนจะส่งลิงก์ที่ปลอมเป็น OneDrive เพื่อหลอกพาเหยื่อเข้าสู่ขั้นตอน device code phishing โดยเป้าหมายหลักของการโจมตีคือหน่วยงานภาครัฐ, สถาบันการศึกษา, กลุ่ม Think Tank และภาคการขนส่ง ในสหรัฐอเมริกา และยุโรป
เพื่อป้องกันการโจมตีเหล่านี้ Proofpoint แนะนำให้องค์กรต่าง ๆ เปิดใช้งาน Microsoft Entra Conditional Access ในจุดที่สามารถทำได้ และพิจารณากำหนด Policy ตรวจสอบแหล่งที่มาของการ sign-in เข้าใช้เพิ่มเติม
ที่มา : bleepingcomputer
You must be logged in to post a comment.