ผู้ใช้งาน Microsoft 365 ตกเป็นเป้าหมายของการโจมตีแบบ Vishing เพื่อหลอกให้ลงทะเบียน Entra Passkey ใหม่

กลุ่มผู้ไม่หวังดีกำลังมุ่งเป้าทำการโจมตีองค์กรในหลายภาคส่วน ด้วยการหลอกลวงผ่านทางโทรศัพท์โดยอ้างเรื่องความปลอดภัย เพื่อขอให้ผู้ใช้งาน Microsoft 365 ลงทะเบียน Entra Passkey ใหม่

ผู้โจมตีใช้ประโยชน์จากฟีเจอร์ใหม่ที่ Microsoft เพิ่งเปิดให้ผู้ดูแลระบบใช้งานเมื่อเดือนพฤษภาคมที่ผ่านมา ซึ่งอนุญาตให้ผู้ดูแลระบบสามารถสร้าง "แคมเปญ Passkey registration" เพื่อให้ผู้ใช้งานหันมาลงทะเบียน Passkeys ซึ่งใช้เป็นการยืนยันตัวตนที่ปลอดภัยยิ่งขึ้น

การโจมตีนี้ดำเนินมาตั้งแต่เดือนเมษายนที่ผ่านมา โดยใช้วิธีโทรศัพท์หาผู้ใช้งานที่เป็นเป้าหมาย และพยายามโน้มน้าวให้พวกเขาลงทะเบียน Passkey ใหม่ ซึ่งจะตกอยู่ภายใต้การควบคุมของผู้โจมตี

เพื่อความแนบเนียน แฮ็กเกอร์จะหลอกให้เหยื่อเข้าไปยังชุดเครื่องมือ Phishing ที่สร้างหน้าตาเลียนแบบขั้นตอนการลงทะเบียน Passkey ที่ถูกต้องจาก Microsoft

Okta บริษัทผู้ให้บริการระบบ Identity and access management (IAM) บน Cloud ระบุว่า กิจกรรมดังกล่าวเป็นฝีมือของกลุ่มแฮ็กเกอร์ที่ใช้ชื่อว่า O-UNC-066 ซึ่งเป็นกลุ่มเดียวกับที่อยู่เบื้องหลังกลุ่มเรียกค่าไถ่ที่ชื่อว่า Pink

Okta เปิดเผยเพิ่มเติมว่า กลุ่ม O-UNC-066 ได้มุ่งเป้าโจมตีผู้ใช้งานในองค์กรต่าง ๆ ทั้งในอุตสาหกรรมอาหาร และเครื่องดื่ม, เทคโนโลยี, สาธารณสุข, ยานยนต์, ก่อสร้าง และการบิน

กลลวงที่แอบอ้างเรื่องการอัปเกรดความปลอดภัย

ในระหว่างการโจมตีนี้ พนักงานที่เป็นเป้าหมายจะได้รับการติดต่อทางโทรศัพท์โดยอ้างเหตุผลด้านความปลอดภัยว่า พวกเขาจะต้องลงทะเบียน Microsoft Entra Passkey ใหม่ และจะถูกส่งไปยัง Phishing URL ที่มีคำว่า "passkey" อยู่ในชื่อโดเมน

เว็บไซต์ที่เป็นอันตรายเหล่านี้จะแสดงโลโก้องค์กรของเหยื่อ และเลียนแบบหน้า Portal ลงทะเบียน Entra Passkey ที่ถูกต้อง

ชุดเครื่องมือนี้ต่างจาก Proxy แบบ Adversary-in-the-Middle (AiTM) ที่พบได้ทั่วไปตรงที่ มันเป็น PHP panel ที่ผู้โจมตีเป็นคนควบคุมคอยหลอกเหยื่อให้ทำตามขั้นตอน Phishing แบบ Real-time โดยจะปรับเปลี่ยนรูปแบบไปตามวิธีการยืนยันตัวตนแบบ MFA ที่เหยื่อกำลังใช้งานอยู่

Okta อธิบายว่า "ชุดเครื่องมือ Phishing นี้ เป็น PHP panel ที่ผู้ไม่หวังดีใช้ควบคุม และนำทางเหยื่อให้ผ่านขั้นตอนการยืนยันตัวตนต่าง ๆ ในลักษณะที่เกือบจะ Real-time โดยใช้กลไกการส่งสัญญาณตรวจสอบ (Heartbeat polling) ทุก ๆ 1 วินาที"

"ผู้โจมตีสามารถใช้ชุดเครื่องมือนี้เพื่อปรับเปลี่ยนหน้าจอการใช้งานให้เข้ากับข้อกำหนดการทำ MFA ของเหยื่อแต่ละราย (เช่น TOTP, การแจ้งเตือนแบบ Push ที่ต้องจับคู่ตัวเลข หรือ SMS OTP) ได้แบบ Real-time ในระหว่าง Session นั้นเลย"

ข้อมูล Credentials และรหัส MFA ที่เหยื่อกรอกลงในหน้าจอของชุดเครื่องมือ จะถูกส่งต่อไปยังผู้โจมตี ซึ่งจะนำข้อมูลเหล่านี้ไปใช้ในการเข้าสู่ระบบบัญชี Microsoft ของเหยื่อ

ดังนั้น ในขณะที่เหยื่อเชื่อว่าตนเองกำลังลงทะเบียน Passkey ใหม่ให้กับบัญชี แต่ในความเป็นจริงแล้ว ผู้โจมตีกำลังลงทะเบียน Passkey ที่พวกเขาเป็นคนควบคุมอยู่

หลังจากเข้าถึงระบบได้แล้ว เว็บไซต์ Phishing จะแสดงหน้าลงทะเบียน Passkey ปลอมที่เลียนแบบหน้าเว็บของ Microsoft โดยจะสร้าง Prompt เพื่อหลอกให้เหยื่อทำการบันทึก Recovery phrase มาตรฐาน BIP-39 ปลอม และบังคับให้ยืนยันคำศัพท์หนึ่งคำจากชุดคำดังกล่าว

Okta ตั้งข้อสังเกตว่า Seed phrase ตามมาตรฐาน BIP-39 นั้นไม่มีส่วนเกี่ยวข้องใด ๆ กับขั้นตอนการลงทะเบียน Microsoft Entra Passkey ที่ถูกต้องเลย แต่น่าจะถูกนำมาใช้เพื่อเป็นเครื่องมือเบี่ยงเบนความสนใจของผู้ใช้งานที่ไม่คุ้นเคยกับขั้นตอนดังกล่าวเท่านั้น

กลุ่มอาชญากรไซเบอร์เรียกค่าไถ่ Pink

ตามข้อมูลจาก Unit 42 ของ Palo Alto Networks ระบุว่า Pink เป็นกลุ่มผู้โจมตีหน้าใหม่ที่เชื่อมโยงกับเครือข่ายภัยคุกคามแบบ Decentralized ที่รู้จักกันในชื่อ The Com (ย่อมาจาก The Community)

ผู้ไม่หวังดีกลุ่มนี้เป็นที่รู้จักจากการใช้วิธี Vishing (การหลอกลวงผ่านทางโทรศัพท์) และการแอบอ้างเป็นเจ้าหน้าที่ไอที เพื่อรวบรวมข้อมูล Credentials และ Multi-factor authentication (MFA) ซึ่งจะถูกนำไปใช้ในการโจมตีเพื่อขโมยข้อมูลของบริษัท

กลุ่มผู้ไม่หวังดี Pink ได้เปิดตัวเว็บไซต์เรียกค่าไถ่เมื่อวันที่ 31 พฤษภาคม โดยพวกเขาได้นำตัวอย่างข้อมูลที่ขโมยมาไปเผยแพร่เพื่อกดดันให้เหยื่อที่ถูกโจมตีระบบยอมจ่ายเงินค่าไถ่

นักวิจัยระบุว่า หลังจากสามารถเข้าถึงบัญชีของเหยื่อได้แล้ว กลุ่ม Pink จะลงมืออย่างรวดเร็วในการลักลอบดึงข้อมูลออกจากบริการ SharePoint และ OneDrive

Brad Duncan หัวหน้านักวิจัยด้านภัยคุกคามจาก Unit 42 ของ Palo Alto Networks ได้ตั้งข้อสังเกตเมื่อต้นเดือนมิถุนายนว่า โดเมน Phishing บางส่วนที่กลุ่ม Pink ใช้นั้นมีคำว่า "passkey" รวมอยู่ด้วย

Okta แนะนำให้องค์กรต่าง ๆ กำหนดวิธีการตรวจสอบยืนยันตัวตนของเจ้าหน้าที่แผนก Helpdesk ให้ดียิ่งขึ้นเมื่อต้องติดต่อกับผู้ใช้งาน รวมถึงให้ปฏิเสธคำขอการเข้าถึงที่มาจากพื้นที่ที่บริษัทไม่ได้มีการเปิดให้บริการ

ที่มา : bleepingcomputer