FBI ออกประกาศแจ้งเตือนเกี่ยวกับแพลตฟอร์ม Phishing-as-a-Service (PhaaS) ที่ชื่อว่า Kali365 ซึ่งถูกนำมาใช้ในการโจมตีเพื่อเข้าควบคุมบัญชีของผู้ใช้ Microsoft 365 โดยการอาศัยช่องโหว่ OAuth device code เพื่อขโมย Session tokens และ Bypass ระบบการยืนยันตัวตนแบบ MFA
FBI ระบุว่า Kali365 ถูกพบครั้งแรกในเดือนเมษายนปี 2026 และถูกเผยแพร่ผ่านช่องทาง Telegram สำหรับอาชญากรทางไซเบอร์ที่กำลังมองหาวิธีที่ง่ายกว่าในการโจมตีเพื่อเข้าควบคุมบัญชี Microsoft 365 โดยไม่ต้องขโมยรหัสผ่าน หรือดักจับ MFA codes
แพลตฟอร์มดังกล่าวใช้วิธี Device code phishing ซึ่งเป็นวิธีการที่ได้รับความนิยมเพิ่มขึ้นเรื่อย ๆ โดยอาศัยการนำระบบ OAuth 2.0 Device Authorization grant flow ของ Microsoft ไปใช้ในการโจมตี เพื่อทำการเข้าถึงบัญชีของผู้ใช้ Microsoft Entra และ Microsoft 365
วิธีการยืนยันตัวตนนี้ถูกสร้างขึ้นมาเพื่อให้อุปกรณ์ที่มีข้อจำกัดในการป้อนข้อมูล เช่น Smart TVs, ระบบในห้องประชุม, อุปกรณ์ Streaming, Printers และอุปกรณ์ IoT สามารถยืนยันตัวตนผ่านอุปกรณ์อื่นได้ โดยใช้ Short code นำไปกรอกที่หน้า Login portal ด้วย device code ของ Microsoft ([http://microsoft[.]com[/]devicelogin)]
เมื่อเดือนกุมภาพันธ์ที่ผ่านมา BleepingComputer ได้รายงานว่ากลุ่มผู้ไม่หวังดี ซึ่งรวมถึงกลุ่มอาชญากรทางไซเบอร์ ShinyHunters ได้มุ่งเป้าการโจมตีไปยังบัญชีของผู้ใช้ Microsoft Entra ผ่านทางช่องโหว่ Device-code และ Voice phishing ไปแล้วเช่นกัน
ในการโจมตีเหล่านี้ ผู้ไม่หวังดีจะเริ่มกระบวนการ Device authorization เพื่อสร้างรหัสขึ้นมา จากนั้นจึงหลอกล่อให้เป้าหมายนำรหัสดังกล่าวไปกรอกในหน้า Login ของ Microsoft ผ่านวิธีการ Phishing และ Social Engineering
เมื่อเหยื่อกรอกรหัส และผ่านการยืนยันตัวตนแบบ MFA เสร็จแล้ว Microsoft จะออก OAuth access token ซึ่งจะทำให้ผู้ไม่หวังดีสามารถเข้าถึงบัญชีของเหยื่อได้อย่างเต็มรูปแบบ โดยที่พวกเขาไม่ต้องผ่านการตรวจสอบ MFA ใด ๆ อีกเลย
ผู้ไม่หวังดีจะสามารถเข้าถึงแอปพลิเคชันทั้งหมดที่ผู้ใช้สามารถเข้าถึงได้ตามปกติผ่านบัญชีแบบ Single-Sign-On ได้อย่างเต็มรูปแบบ ซึ่งรวมถึง Microsoft 365, Salesforce หรือแพลตฟอร์ม Cloud SaaS อื่น ๆ ที่จะถูกนำไปใช้เพื่อขโมยข้อมูลต่อไป
FBI แจ้งเตือนว่า Kali365 ช่วยให้แม้แต่ผู้โจมตีที่มีทักษะระดับต่ำก็สามารถทำ Phishing ขั้นสูงได้ ซึ่งรวมถึง Phishing lures ที่สร้างด้วย AI, Templates สำหรับสร้างแคมเปญแบบอัตโนมัติ, Dashboards สำหรับติดตามเหยื่อแบบ Real-time และฟังก์ชันการดักจับ Token
นักวิจัยด้านความปลอดภัยจาก Arctic Wolf ได้รายงานถึงความเคลื่อนไหวของ Kali365 เมื่อเดือนเมษายนที่ผ่านมา หลังจากพบเห็นแคมเปญการโจมตีเป็นวงกว้างที่มุ่งเป้าไปยังองค์กรต่าง ๆ ทั่วโลก
นักวิจัยระบุว่า แคมเปญดังกล่าวมุ่งเป้าไปที่สภาพแวดล้อมของ Microsoft 365 เป็นหลัก โดยใช้อีเมล Phishing เพื่อให้เหยื่อเข้าไปยังหน้า Login portal ด้วย Device code ของ Microsoft หากเหยื่อได้เผลอกดอนุญาตจะทำให้ผู้โจมตีสามารถเข้าถึงบัญชีของเหยื่อได้โดยที่เหยื่อจะไม่รู้ตัวเลย
นักวิจัยระบุว่า การโจมตีที่เกิดขึ้นส่งผลให้แฮ็กเกอร์สามารถเข้าถึง Mailboxes ของเหยื่อได้ โดยพวกเขาจะสร้าง Inbox rules ซึ่งออกแบบมาเพื่อซ่อนความเคลื่อนไหวของตนเอง
ในการโจมตีบางกรณี ผู้โจมตียังได้ลงทะเบียนอุปกรณ์ใหม่เข้าไปในสภาพแวดล้อม Microsoft ของเหยื่อ ซึ่งช่วยขยายขอบเขตการเข้าถึงเครือข่ายที่ถูกโจมตีให้กว้างยิ่งขึ้น
Arctic Wolf พบว่า Kali365 ดำเนินงานในรูปแบบของธุรกิจ โดยมีผู้ดูแลระบบที่คอยจัดการด้านการพัฒนาผลิตภัณฑ์, ตัวแทนจำหน่ายที่นำบริการไปโปรโมตให้กับผู้ไม่หวังดีกลุ่มอื่น ๆ และเครือข่ายผู้ร่วมดำเนินการที่ทำหน้าที่ลงมือโจมตีด้วย Phishing
นักวิจัยระบุว่าแพลตฟอร์มนี้มีโหมดการโจมตีแยกกัน 2 โหมด โดยโหมดแรกคือ Device code phishing และโหมดที่สองคือ Adversary-in-the-Middle (AitM) ที่มีชื่อว่า "Cookie Link"
Cookie Link จะทำหน้าที่เป็น Proxy เชื่อมต่อเหยื่อผ่านโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตี ซึ่งจะดักจับ Browser sessions ที่ผ่านการยืนยันตัวตนแล้ว, Session cookies และ Tokens หลังจากที่เป้าหมายทำการล็อกอิน และผ่านการตรวจสอบ MFA เสร็จสิ้น
FBI แนะนำให้บริษัทต่าง ๆ จำกัด หรือบล็อกกระบวนการยืนยันตัวตนด้วย Device code โดยผ่านการใช้ Policy การเข้าถึงแบบมีเงื่อนไขในกรณีที่สามารถทำได้ พร้อมทั้งตรวจสอบการใช้งาน Device code ที่มีอยู่ในปัจจุบัน และบล็อก Policy การถ่ายโอนการยืนยันตัวตนที่อนุญาตให้ Authentication sessions สามารถย้ายข้ามไปมาระหว่างอุปกรณ์ได้
นอกจากนี้ หน่วยงานยังเรียกร้องให้องค์กรที่ได้รับผลกระทบรายงานเหตุการณ์ที่เกิดขึ้นไปยังศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (Internet Crime Complaint Center) และเก็บรักษาอีเมล Phishing, ข้อมูลการล็อกอินที่น่าสงสัย รวมถึงการลงทะเบียนอุปกรณ์ที่ไม่ได้รับอนุญาตเอาไว้เป็นหลักฐาน
Device code phishing ถูกนำมาใช้ในการโจมตีอย่างแพร่หลายมากขึ้นในปี 2026 โดยมีกลุ่มผู้ไม่หวังดีและแพลตฟอร์มอื่น ๆ นำวิธีนี้ไปใช้เป็นส่วนหนึ่งในแคมเปญ และการโจมตีด้วย Phishing ของตนเองแล้ว
เทคนิคดังกล่าวยังถูกนำไปใช้โดยแพลตฟอร์ม PhaaS อย่าง EvilTokens และ Tycoon2FA ที่กำลังใช้วิธีการดังกล่าวในการโจมตีเพื่อเข้าควบคุมบัญชีของผู้ใช้ Microsoft 365 และ Entra เช่นเดียวกัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.