ชุดเครื่องมือ Phishing Tycoon2FA ในปัจจุบัน รองรับการโจมตีแบบ Device-Code แล้ว และมีการใช้ประโยชน์จาก URL ติดตามการคลิกของ Trustifi เพื่อแฮ็กบัญชี Microsoft 365
แม้ว่าหน่วยงานบังคับใช้กฎหมายระหว่างประเทศจะสามารถทลายแพลตฟอร์ม Phishing ของ Tycoon2FA ไปได้เมื่อเดือนมีนาคมที่ผ่านมา การปฏิบัติการที่เป็นอันตรายนี้ก็ถูกสร้างขึ้นใหม่บนโครงสร้างพื้นฐานใหม่ และกลับมาดำเนินกิจกรรมในระดับปกติอย่างรวดเร็ว
เมื่อช่วงต้นเดือนนี้ Abnormal Security ได้ยืนยันว่า Tycoon2FA ได้กลับมาดำเนินการตามปกติแล้ว และยังเพิ่มชั้นการปกปิดใหม่เพื่อเสริมความแข็งแกร่งในการรับมือกับความพยายามในการขัดขวางครั้งใหม่
ในช่วงปลายเดือนเมษายนที่ผ่านมา มีการตรวจพบว่า Tycoon2FA ถูกนำไปใช้ในแคมเปญการโจมตีที่อาศัยกระบวนการยืนยันสิทธิ์ของอุปกรณ์ผ่าน OAuth 2.0 เพื่อเจาะบัญชี Microsoft 365 ซึ่งแสดงให้เห็นว่าผู้พัฒนายังคงเดินหน้าพัฒนาชุดเครื่องมือนี้อย่างต่อเนื่อง
การทำ Device-Code Phishing คือการโจมตีประเภทหนึ่งที่กลุ่มผู้ไม่หวังดีจะส่ง request ขออนุมัติอุปกรณ์ไปยังผู้ให้บริการของเป้าหมาย จากนั้นจะส่งรหัสที่ระบบสร้างขึ้นไปยังเหยื่อ เพื่อหลอกให้เหยื่อนำรหัสนั้นไปกรอกในหน้าเข้าสู่ระบบที่ถูกต้องของบริการนั้น
การดำเนินการดังกล่าวจะทำให้ผู้โจมตีได้รับสิทธิ์ในการลงทะเบียนอุปกรณ์ที่ไม่ได้รับอนุญาตเข้ากับบัญชี Microsoft 365 ของเหยื่อ ส่งผลให้พวกเขาสามารถเข้าถึงข้อมูล และบริการต่าง ๆ ของเหยื่อได้อย่างไม่มีข้อจำกัด ซึ่งรวมถึงอีเมล ปฏิทิน และพื้นที่จัดเก็บไฟล์บนคลาวด์
Push Security ได้ออกมาแจ้งเตือนว่าการโจมตีลักษณะนี้มีสถิติพุ่งสูงขึ้นถึง 37 เท่าในปีนี้ โดยได้รับการสนับสนุนจากแพลตฟอร์ม Phishing-as-a-Service (PhaaS) และชุดเครื่องมือส่วนตัวที่แตกต่างกันอย่างน้อย 10 แพลตฟอร์ม รายงานฉบับล่าสุดจาก Proofpoint ก็บันทึกสถิติการพุ่งสูงขึ้นอย่างรวดเร็วในลักษณะที่คล้ายกันของการใช้กลยุทธ์นี้
Tycoon2FA เพิ่มการโจมตีแบบ Device-Code Phishing
จากผลการวิจัยล่าสุดของ eSentire ผู้ให้บริการด้านการจัดการตรวจจับ และตอบสนองภัยคุกคามทางไซเบอร์ พบว่า Tycoon2FA ยืนยันว่าการโจมตีแบบ Device-Code Phishing ได้รับความนิยมอย่างมากในหมู่อาชญากรไซเบอร์
eSentire อธิบายว่า "การโจมตีจะเริ่มต้นขึ้นเมื่อเหยื่อคลิก URL ติดตามการคลิกของ Trustifi ที่แนบมาในอีเมลหลอกลวง และสิ้นสุดลงตรงที่เหยื่อให้สิทธิ์ OAuth tokens แก่อุปกรณ์ที่ควบคุมโดยผู้โจมตีโดยไม่รู้ตัว ผ่านกระบวนการเข้าสู่ระบบของอุปกรณ์ที่ถูกต้องของ Microsoft ที่หน้าเว็บไซต์ microsoft.com/devicelogin"
"จุดเชื่อมต่อระหว่าง endpoints ทั้งสองนี้คือ four-layer in-browser chain ซึ่งเทคนิคการยืนยันตัวตนแบบสองขั้นตอน (2FA) ของ Tycoon ในส่วนนี้แทบจะไม่มีการเปลี่ยนแปลงเลยเมื่อเทียบกับเวอร์ชัน Credential-Relay ที่ TRU เคยบันทึกไว้ในเดือนเมษายน 2025 และเวอร์ชันหลังการปราบปรามที่บันทึกไว้ในเดือนเมษายน 2026"
Trustifi เป็นแพลตฟอร์มรักษาปลอดภัยทางอีเมลที่ถูกต้อง ซึ่งให้บริการเครื่องมือต่าง ๆ ที่ผสานรวมเข้ากับบริการอีเมลที่หลากหลาย รวมถึงบริการจาก Microsoft และ Google อย่างไรก็ตาม eSentire ไม่ทราบว่าผู้โจมตีเข้าถึง Trustifi ได้อย่างไร
นักวิจัยระบุว่า การโจมตีนี้จะใช้อีเมล Phishing ที่มีรูปแบบคล้ายใบแจ้งหนี้ ซึ่งภายในมี URL ติดตามของ Trustifi ที่จะนำผู้ใช้งานไปยังหน้าเพจปลอมของ Microsoft ผ่านทาง Trustifi, Cloudflare Workers และ JavaScript ที่ถูกเข้ารหัสหลายชั้น
หน้า Phishing ดังกล่าวจะดึง Device-Code Microsoft OAuth มาจากระบบ backend ของผู้โจมตี และจะแนะนำให้เหยื่อคัดลอก และวางรหัสนั้นลงในหน้า microsoft.com/devicelogin ซึ่งหลังจากนั้นเหยื่อก็จะทำการยืนยันตัวตนแบบหลายปัจจัย (MFA) ในฝั่งของตนเองจนเสร็จสิ้น
เมื่อผ่านขั้นตอนดังกล่าวแล้ว Microsoft จะออก Access Token และ Refresh Token ของ OAuth ให้กับอุปกรณ์ที่ควบคุมโดยผู้โจมตีทันที
ชุดเครื่องมือ Phishing ของ Tycoon2FA มีระบบป้องกันอย่างหนาแน่นจากการตรวจสอบของนักวิจัย และการสแกนแบบอัตโนมัติ โดยสามารถตรวจจับระบบทดสอบอัตโนมัติอย่าง Selenium, Puppeteer, Playwright, Burp Suite รวมถึงบล็อกผู้ให้บริการด้านความปลอดภัย, VPN, Sandbox, AI crawler และผู้ให้บริการคลาวด์ ตลอดจนการใช้กลลวงดักจับเวลาของ Debugger
eSentire ระบุว่า request จากอุปกรณ์ที่คาดว่ามาจากระบบวิเคราะห์ จะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บของ Microsoft ที่ถูกต้องโดยอัตโนมัติ
นักวิจัยยังพบว่า ปัจจุบันรายการบล็อกของชุดเครื่องมือนี้ มีรายชื่อของผู้ให้บริการด้านความปลอดภัยอยู่ถึง 230 รายชื่อ และมีการอัปเดตอย่างต่อเนื่อง
eSentire แนะนำให้ปิดใช้งานขั้นตอนการตรวจสอบสิทธิ์ด้วย Device-Code OAuth เมื่อไม่จำเป็น, จำกัด OAuth consent permissions, กำหนดให้ต้องได้รับการอนุมัติจากผู้ดูแลระบบสำหรับแอปพลิเคชันของ Third-party, เปิดใช้งานการประเมินการเข้าถึงอย่างต่อเนื่อง (CAE) และบังคับใช้นโยบายการเข้าถึงอุปกรณ์ที่สอดคล้องกับข้อกำหนด
นอกจากนี้ นักวิจัยยังแนะนำให้คอยเฝ้าระวัง และตรวจสอบ Log ของ Entra เพื่อหาการยืนยันตัวตนแบบ deviceCode, การใช้งาน Microsoft Authentication Broker และ User Agent ของ Node.js
eSentire ได้เผยแพร่ข้อมูล IoCs สำหรับการโจมตีล่าสุดของ Tycoon2FA เพื่อช่วยให้ทีมผู้ดูแลความปลอดภัยสามารถนำไปใช้ปกป้องระบบของตนเองได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.