กลุ่มผู้โจมตีกำลังมุ่งเป้าไปที่องค์กรในกลุ่มเทคโนโลยี, การผลิต และการเงิน ด้วยแคมเปญที่ผสมผสานระหว่าง Device Code Phishing และ voice phishing (Vishing) เพื่อใช้ประโยชน์จากขั้นตอนการอนุญาตอุปกรณ์ OAuth 2.0 เพื่อเข้ายึดครองบัญชี Microsoft Entra
โดยแตกต่างจากการโจมตีครั้งก่อน ๆ ที่ใช้แอปพลิเคชัน OAuth ที่เป็นอันตรายเพื่อยึดบัญชี การโจมตีครั้งนี้มีการใช้ Client ID ของ Microsoft OAuth ที่ถูกต้องร่วมกับขั้นตอนการอนุญาตอุปกรณ์เพื่อหลอกล่อเหยื่อให้ยืนยันตัวตน
วิธีการนี้ช่วยให้ผู้โจมตีได้รับโทเค็นการยืนยันตัวตน ซึ่งสามารถใช้เข้าถึงบัญชีของเหยื่อได้โดยตรง โดยไม่ต้องพึ่งพาหน้าเว็บไซต์ฟิชชิงทั่วไปที่ใช้ขโมยรหัสผ่าน หรือการดักจับรหัส Multi-factor Authentication (MFA)
แหล่งข่าวรายหนึ่งระบุว่า กลุ่ม ShinyHunters อยู่เบื้องหลังการโจมตีแบบ Device Code Vishing ครั้งใหม่นี้ ซึ่งต่อมาทางกลุ่มผู้โจมตีก็ได้ออกมายืนยันด้วยตนเอง อย่างไรก็ตาม ยังไม่สามารถตรวจสอบข้อเท็จจริงนี้ได้อย่างสมบูรณ์
เมื่อไม่นานมานี้กลุ่ม ShinyHunters ถูกเชื่อมโยงกับการโจมตีแบบ vishing ที่ใช้ในการโจมตีบัญชี Okta และ Microsoft Entra SSO เพื่อขโมยข้อมูล
การโจมตีด้วยเทคนิค Device Code Social Engineering
เว็บไซต์ BleepingComputer ได้รับข้อมูลจากหลายแหล่งว่า กลุ่มผู้โจมตีได้เริ่มใช้การโจมตีแบบ vishing ซึ่งไม่จำเป็นต้องอาศัยโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมอยู่ แต่หันไปใช้ประโยชน์จากหน้าล็อกอินที่ถูกต้องของ Microsoft และขั้นตอนการยืนยันตัวตนด้วย Device Code แบบมาตรฐานเพื่อโจมตีเข้าไปในบัญชีขององค์กร
การโจมตีแบบ Device Code Phishing คือการใช้ช่องโหว่ของกระบวนการให้สิทธิ์การเข้าถึงอุปกรณ์ OAuth 2.0 ที่ถูกต้อง เพื่อขอรับโทเค็นการยืนยันตัวตนสำหรับบัญชี Microsoft Entra ของเหยื่อ
จากนั้นสามารถใช้ข้อมูลนี้เพื่อเข้าถึงทรัพยากรของผู้ใช้ และแอปพลิเคชัน SSO ที่เชื่อมต่ออยู่ เช่น Microsoft 365, Salesforce, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian และบริการอื่น ๆ
กระบวนการขอสิทธิ์นี้ถูกออกแบบมาเพื่อให้การเชื่อมต่ออุปกรณ์ที่ไม่มีตัวเลือกการป้อนข้อมูลที่เข้าถึงได้ง่าย เช่น อุปกรณ์ IoT, เครื่องพิมพ์, อุปกรณ์สตรีมมิง และสมาร์ททีวี
Microsoft ระบุว่า แพลตฟอร์มการระบุตัวตนของ Microsoft รองรับการให้สิทธิ์การเข้าถึงอุปกรณ์ ซึ่งช่วยให้ผู้ใช้สามารถลงชื่อเข้าใช้บนอุปกรณ์ที่มีข้อจำกัดด้านการป้อนข้อมูล เช่น สมาร์ททีวี อุปกรณ์ IoT หรือเครื่องพิมพ์
ในการใช้งานขั้นตอนนี้ อุปกรณ์จะให้ผู้ใช้เข้าไปยังหน้าเว็บผ่านเบราว์เซอร์บนอุปกรณ์เครื่องอื่นเพื่อลงชื่อเข้าใช้ และเมื่อผู้ใช้ลงชื่อเข้าใช้เรียบร้อยแล้ว อุปกรณ์ดังกล่าวก็จะสามารถรับ access tokens และ Refresh tokens ได้ตามต้องการ
ขั้นตอนการยืนยันตัวตนนี้คล้ายกับเวลาลงชื่อเข้าใช้บริการสตรีมมิง เช่น Netflix หรือ Apple TV ที่ตัวอุปกรณ์สตรีมมิงจะแสดงรหัสสั้น ๆ และแนะนำให้เข้าไปยังเว็บไซต์ผ่านโทรศัพท์ หรือคอมพิวเตอร์เพื่อทำการลงชื่อเข้าใช้ให้เสร็จสมบูรณ์
หลังจากที่ป้อนรหัส และยืนยันตัวตนแล้ว อุปกรณ์จะเชื่อมโยงกับบัญชีโดยอัตโนมัติ โดยไม่ต้องจัดการรหัสผ่านโดยตรง
ในการโจมตีแบบ Device-code Phishing นั้น กลุ่มผู้โจมตีจำเป็นต้องมี client_id ของแอปพลิเคชัน OAuth ที่มีอยู่แล้วก่อน ซึ่งอาจจะเป็นแอปที่สร้างขึ้นเอง หรือเป็นหนึ่งในแอปของ Microsoft ก็ได้
ผู้โจมตีใช้เครื่องมือโอเพนซอร์ส เพื่อสร้าง device_code และ user_code ซึ่งจะถูกส่งต่อไปยังเป้าหมายสำหรับแอป OAuth ที่ระบุไว้
จากนั้นผู้โจมตีจะติดต่อพนักงานที่เป็นเป้าหมาย และพยายามโน้มน้าวให้พวกเขากรอกรหัสผู้ใช้ที่สร้างขึ้นในหน้าการยืนยันตัวตนอุปกรณ์ของ Microsoft ที่ microsoft.com/devicelogin
เมื่อบุคคลเป้าหมายป้อนรหัส ระบบจะแจ้งให้พวกเขาเข้าสู่ระบบด้วยข้อมูล credentials และทำการตรวจสอบ MFA ให้เสร็จสมบูรณ์ เช่นเดียวกับการเข้าสู่ระบบตามปกติ และหลังจากยืนยันตัวตนเสร็จสิ้น Microsoft จะแสดงชื่อของแอปพลิเคชัน OAuth ที่ได้รับอนุญาต
อย่างไรก็ตาม เนื่องจากกลุ่มผู้โจมตีสามารถใช้งานแอปพลิเคชันที่ถูกต้องได้ แม้กระทั่งแอปของ Microsoft เอง ซึ่งอาจทำให้กระบวนการยืนยันตัวตนมีความน่าเชื่อถือมากขึ้น
เมื่อแอป OAuth เชื่อมต่อกับบัญชีเรียปร้อยแล้ว ผู้โจมตีจะสามารถใช้ device_code เพื่อดึงข้อมูล Refresh Token ของพนักงานที่เป็นเป้าหมายออกมาได้ ซึ่งโทเค็นนี้สามารถนำไปเปลี่ยนเป็น Access Tokens ต่อไปได้
Access Tokens เหล่านั้นช่วยให้ผู้โจมตีเข้าถึงบริการต่าง ๆ ของ Microsoft ในชื่อของพนักงานคนนั้นได้ โดยไม่ต้องผ่านการยืนยันตัวตนแบบ MFA ซ้ำอีกรอบ เนื่องจากขั้นตอน MFA ได้ถูกทำจนเสร็จสิ้นไปแล้วตั้งแต่ตอนล็อกอินครั้งแรก
ปัจจุบันผู้โจมตีสามารถยืนยันตัวตนในสิทธิ์ผู้ใช้ใน Microsoft Entra และเข้าถึงแอปพลิเคชัน SaaS ที่กำหนดค่าด้วย SSO ไว้ในองค์กรของเหยื่อ ซึ่งทำให้สามารถขโมยข้อมูลขององค์กรเพื่อเรียกค่าไถ่ได้
นอกจากนี้ KnowBe4 Threat Labs ยังได้ค้นพบแคมเปญล่าสุดที่ใช้ทั้งอีเมล และเว็บไซต์ฟิชชิ่งแบบเดิม ๆ ในการโจมตีด้วย device code
KnowBe4 แนะนำให้ผู้ดูแลบัญชี Microsoft 365 ทำการบล็อกโดเมน และ sender addresses ที่เป็นอันตราย รวมถึงตรวจสอบ และเพิกถอนการให้สิทธิ์แก่แอป OAuth ที่น่าสงสัย และตรวจสอบ Log การเข้าสู่ระบบของ Azure AD เพื่อหาการยืนยันตัวตนผ่าน device code ที่ผิดปกติ
ขอแนะนำให้ผู้ดูแลระบบ ปิดใช้งาน device code flow หากไม่มีความจำเป็นต้องใช้งาน และบังคับใช้ Conditional Access Policies
การหลอกลวงด้วย Device code phishing ไม่ใช่เรื่องใหม่ โดยที่ผ่านมามีกลุ่มผู้โจมตีหลายกลุ่มเคยใช้วิธีนี้ในการโจมตีเข้าสู่บัญชีมาแล้วในอดีต
ในเดือนกุมภาพันธ์ 2025 ศูนย์วิเคราะห์ภัยคุกคามของ Microsoft ได้ออกมาเตือนว่า ผู้โจมตีชาวรัสเซียกำลังมุ่งเป้าโจมตีบัญชี Microsoft 365 โดยใช้ Device code phishing
ต่อมาในเดือนธันวาคม Proofpoint ได้รายงานถึงการโจมตีในลักษณะเดียวกัน ซึ่งมีการใช้เครื่องมือ Phishing kit ที่คล้ายคลึงกับที่ KnowBe4 ตรวจพบเพื่อโจมตีเข้าสู่บัญชี Microsoft
ที่มา : bleepingcomputer
You must be logged in to post a comment.