
การโจมตี Phishing-as-a-Service (PhaaS) รูปแบบใหม่ที่ชื่อ Forg365 มุ่งเป้าไปที่การขโมยบัญชีผู้ใช้ Microsoft 365 โดยใช้วิธีการ Adversary-in-the-Middle (AiTM) และการใช้ Device Code เข้ากับการสร้างเนื้อหาหลอกลวงด้วย AI-assisted
แพลตฟอร์มนี้ยังมี Browser Extension เพื่อให้สามารถเข้าถึงบริการต่าง ๆ ของ Microsoft ที่เชื่อมโยงกับบัญชีที่ถูกโจมตีได้อย่างต่อเนื่อง โดยไม่จำเป็นต้องยืนยันตัวตนใหม่
นักวิจัยจากบริษัทรักษาความปลอดภัยอีเมล ZeroBEC ระบุว่า ฟีเจอร์หลายอย่างใน Forg365 นั้นพบได้ในแพลตฟอร์ม PhaaS ชื่อดังอื่น ๆ เช่น Kali365 และ Sneaky2FA แม้ว่าพวกเขาจะยังไม่สามารถระบุความเชื่อมโยงระหว่างแพลตฟอร์มเหล่านี้ได้ก็ตาม
การสืบสวนของพวกเขาเริ่มต้นจากการวิเคราะห์อีเมล Phishing ที่ปลอมตัวเป็นเอกสารทางธุรกิจ ซึ่งถูกสร้างขึ้นมาอย่างแนบเนียนเพื่อเลียนแบบบริการที่น่าเชื่อถือ
ZeroBEC ระบุว่า "Sender domain ที่ตรวจพบนั้นใช้การจัดส่งผ่าน Amazon SES ในขณะที่เนื้อหาข้อความมีการใช้รูปภาพ หรือ tracking resources ที่ Hosted บน SendGrid"
การผสมผสานระหว่างบริการที่ถูกต้อง และโครงสร้างพื้นฐานสำหรับ Phishing นี้ แสดงให้เห็นถึงการโจมตีแบบ PhaaS ที่มีความพร้อม และสามารถสร้างข้อความหลอกลวงให้ปะปนไปกับการรับส่งอีเมลตามปกติได้
แพลตฟอร์มนี้มีฟีเจอร์เด่น ๆ ได้แก่ การทำ Phishing ด้วย Device-code, การทำ Phishing แบบ Adversary-in-the-Middle (AiTM), การสร้างเนื้อหาอีเมลด้วย AI, การจัดการ Token และ Cookie และปฏิบัติการหลังจากทำการโจมตีระบบได้สำเร็จ
เมื่อเจาะลึกลงไป นักวิจัยสามารถเข้าถึง Dashboard ของ Forg365 ซึ่งช่วยให้ผู้โจมตีสามารถสร้างแคมเปญ Phishing ใหม่ ๆ, การจัดการ Phishing links, การกำหนดค่าแอป OAuth และโปรไฟล์ SMTP, การจัดการ Tokens และสร้างอีเมล Phishing ด้วย AI-assisted ได้

แม้ว่าการใช้ AI เพื่อสร้างเหยื่อล่อ Phishing แบบ Custom เองจะไม่ใช่เรื่องใหม่ แต่นักวิจัยเน้นย้ำว่าฟีเจอร์นี้ถูกรวมเข้ากับ Panel ของ Forg365 โดยตรง ซึ่งช่วยให้ผู้ควบคุมสามารถสร้างอีเมลที่เป็นอันตราย, เตรียมข้อความ และปรับแต่งข้อความได้จาก Dashboard เดียวกันกับที่ใช้ควบคุมกิจกรรมหลังจากทำการโจมตีระบบได้สำเร็จ
นักวิจัยระบุว่า กระบวนการนี้ถือเป็นกลยุทธ์ที่สำคัญ เนื่องจาก "AI ช่วยลดต้นทุนในการพัฒนาเนื้อหา Phishing แบบ Custom เอง และยังช่วยลดต้นทุนในการสร้างแพลตฟอร์ม PhaaS แบบ Custom เองอีกด้วย"

Panel ดังกล่าวยังมี Dashboard ข้อมูลบัญชี และฟีเจอร์ Keyword Monitor ซึ่งจะสแกน Mailboxes ที่ถูกโจมตีเพื่อหาคำที่กำหนดไว้ล่วงหน้า และแจ้งเตือนผู้ควบคุมทุกครั้งที่พบคำที่ตรงกัน
ผู้ควบคุมจะได้รับ Browser extension ที่เรียกว่า ForgCookie ซึ่งรองรับการใช้งานกับ Google Chrome, Microsoft Edge และ Brave โดยได้รับการออกแบบมาโดยเฉพาะเพื่อรีเฟรชคุกกี้ Microsoft SSO โดยอัตโนมัติ
Extension นี้ทำงานโดยการ Request ข้อมูลบัญชีจากระบบ Backend ของ Forg365 จากนั้นจะล้าง Session cookies และเรียกใช้กระบวนการ OAuth แบบเงียบ ๆ เพื่อดักจับ Cookies ใหม่
กระบวนการนี้ทำให้ผู้โจมตีสามารถเข้าถึงบริการต่าง ๆ ของ Microsoft ที่เชื่อมโยงกับบัญชีของเหยื่อได้อย่างต่อเนื่อง และถาวร

ตามรายงานของ ZeroBEC แพลตฟอร์ม Forg365 รองรับช่องทางการโจมตีหลัก 2 รูปแบบ ได้แก่ Phishing ด้วย Device-code ที่กำลังเป็นที่นิยม และการทำ Phishing แบบ AiTM (Adversary-in-the-Middle) แบบดั้งเดิม
ในกรณีแรก เหยื่อจะเห็นหน้ารหัสยืนยันตัวตนที่ออกแบบมาให้เหมือนของ Microsoft และได้รับคำแนะนำให้ทำการยืนยันตัวตนให้เสร็จสิ้นโดยใช้กระบวนการ Device-code ของ Microsoft ซึ่งเดิมทีออกแบบมาสำหรับ Endpoint ที่มีข้อจำกัดในการป้อนข้อมูล (เช่น SmartTV, อุปกรณ์ IoT, เครื่องมือที่ไม่มี Browser)
แทนที่จะมุ่งเป้าไปที่รหัสผ่านของเหยื่อโดยตรง เหยื่อจะถูกหลอกให้ Authorize อุปกรณ์ที่ถูกควบคุมโดยผู้โจมตี ผ่านวิธีการยืนยันตัวตนด้วยกระบวนการ OAuth 2.0 Device-code ที่ถูกต้อง

สำหรับการทำ Phishing แบบ AiTM แพลตฟอร์มนี้จะใช้ Proxy เป็นตัวกลางสำหรับ Requests การยืนยันตัวตน และข้อมูลที่แลกเปลี่ยนระหว่างโครงสร้างพื้นฐานของ Microsoft กับบัญชีเป้าหมาย เพื่อดักจับ Session cookies ในระหว่างกระบวนการนั้น
เพื่อป้องกันไม่ให้นักวิจัยเข้าถึง Administration panel ระบบ Forg365 มีฟีเจอร์ AntiBot ที่ชูจุดเด่นเรื่อง "Redirectors ที่เข้ารหัสด้วย AES, การตรวจจับ Bot, กับดัก Debugger, การตรวจสอบ Sandbox และโค้ดแบบ Polymorphic"
นอกจากนี้ เมื่อระบบตรวจพบการเชื่อมต่อผ่าน VPN แพลตฟอร์มจะ Redirects ผู้ใช้ไปยังเนื้อหาทั่วไปที่ไม่มีอันตราย แทนที่จะเปิดเผยหน้าเว็บ Phishing
ZeroBEC รายงานว่า แพลตฟอร์มนี้ใช้ประโยชน์จาก Amazon SES ในการส่งอีเมล Phishing และใช้ Cloudflare Pages สำหรับสร้างหน้า Landing pages นอกจากนี้ยังใช้โครงสร้างพื้นฐานของ Gophish สำหรับการจัดส่งแคมเปญอีกด้วย
ขอแนะนำให้ผู้ใช้งานจำกัด หรือปิดการใช้งานการยืนยันตัวตนด้วย Device-code ของ Microsoft หากไม่มีความจำเป็น และควรเฝ้าระวัง Logs การทำงานของ Microsoft Entra เพื่อตรวจหาเหตุการณ์ที่เกี่ยวกับการยืนยันตัวตนด้วย Device-code
นอกจากนี้ ยังควรตรวจสอบ Rules ของ Mailbox, การลงชื่อเข้าใช้อุปกรณ์ใหม่, กิจกรรมของ Microsoft Authentication Broker และการอนุญาตสิทธิ์ OAuth เพื่อค้นหารายการที่ผิดปกติ หรือไม่คาดคิด
หากสงสัยว่าบัญชีถูกโจมตี จะต้องทำการ Revoked และ Refresh tokens รวมถึง Sessions ทั้งหมดโดยเร็วที่สุด
ที่มา : Bleepingcomputer

You must be logged in to post a comment.