พบแคมเปญ Phishing ที่มุ่งเป้าหมายการโจมตีไปยังบริษัทผู้ผลิตยานยนต์ เคมีภัณฑ์ และอุตสาหกรรมในเยอรมนี และสหราชอาณาจักร โดยใช้ HubSpot เพื่อขโมย credentials ของบัญชี Microsoft Azure

โดยกลุ่ม Hacker ได้ใช้ลิงก์ HubSpot Free Form Builder และ PDF ที่เลียนแบบ DocuSign เพื่อเปลี่ยนเส้นทางของเหยื่อไปยังเว็บไซต์ Phishing เพื่อขโมยข้อมูล credentials

ตามรายงานของทีมนักวิจัย Unit 42 ของ Palo Alto Networks พบแคมเปญ Phishing ดังกล่าวมาตั้งแต่เดือนมิถุนายน 2024 และยังคงดำเนินการอยู่จนถึงเดือนกันยายน 2024 ซึ่งขโมย Azure account ไปแล้วประมาณ 20,000 บัญชี

ใช้ HubSpot เพื่อรวบรวมข้อมูล Credentials
**

HubSpot เป็นแพลตฟอร์มการจัดการลูกค้าสัมพันธ์ (CRM) ซึ่งถูกใช้ในระบบการตลาดอัตโนมัติ, การขาย, การบริการลูกค้า, การวิเคราะห์ และการสร้างเว็บไซต์ และ landing pages
**

Form Builder เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้สามารถสร้างแบบฟอร์มออนไลน์ที่กำหนดเองเพื่อรวบรวมข้อมูลจากผู้เยี่ยมชมเว็บไซต์

นักวิจัย Unit 42 พบว่า Hacker ได้ใช้ HubSpot Form Builder เพื่อสร้างแบบฟอร์มหลอกลวงอย่างน้อย 17 แบบ เพื่อล่อลวงเหยื่อให้กรอกข้อมูล credentials ที่มีความสำคัญในโดเมน '.buzz' ซึ่งเลียนแบบหน้าเข้าสู่ระบบของ Microsoft Outlook Web App และ Azure

รวมถึง Hacker ยังใช้เว็บไซต์ที่เลียนแบบระบบการจัดการเอกสารของ DocuSign สำนักงานรับรองเอกสารของฝรั่งเศส และพอร์ทัลการเข้าสู่ระบบเฉพาะองค์กรในการโจมตีด้วย

โดยต่อมาเหยื่อจะถูกส่งต่อไปยังหน้าเว็บไซต์เหล่านั้นโดย phishing messages ที่มีโลโก้ DocuSign ซึ่งมี links ไปยัง HubSpot โดยเป็น PDF ที่แนบมา หรือ HTML ที่ฝังไว้ในเมล์

เนื่องจากอีเมลทั่วไปมองว่าการแนบ links ไปยัง HubSpot ไม่เป็นอันตราย จึงทำให้ email security tools จะไม่ระบุว่า links เหล่านั้น มีแนวโน้มที่จะเป็น Phishing Email ทำให้จะสามารถเข้าถึงกล่องจดหมายของเป้าหมายได้มากกว่า เนื่องจากไม่ผ่านการตรวจสอบจาก Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) และ Domain-based Message Authentication, Reporting, และ Conformance (DMARC)

สิ่งที่เกิดขึ้นหลังการโจมตีสำเร็จ

นักวิจัย Unit 42 พบว่าหลังจากโจมตีด้วย Phishing Campaign สำเร็จ Hacker จะใช้ VPN เพื่อทำให้ดูเหมือนว่าตั้งอยู่ในประเทศขององค์กรที่ตกเป็นเหยื่อ และหากฝ่ายไอทีพยายามกลับมาควบคุมบัญชีดังกล่าว Hacker ก็จะเริ่มต้นการรีเซ็ตรหัสผ่านทันทีเพื่อพยายามที่จะเข้าควบคุมบัญชีอีกครั้ง

โดยทั้งนี้แม้ว่าเซิร์ฟเวอร์ส่วนใหญ่ที่ทำหน้าที่เป็น backbone ของแคมเปญ Phishing จะออฟไลน์ไปนานแล้ว แต่การดำเนินการดังกล่าวก็ยังนับว่าเป็นตัวอย่างของการโจมตีของแคมเปญที่พบ เนื่องจาก Hacker พยายามจะค้นหาช่องทางใหม่ ๆ เพื่อหลีกเลี่ยงเครื่องมือด้านความปลอดภัยอยู่เสมอ

ที่มา : bleepingcomputer

 

 

 

 

Microsoft กำลังใช้กลวิธีหลอกล่อกลุ่มผู้โจมตี Phishing โดยสร้าง Honeypot Tenants พร้อมสิทธิ์เข้าถึง Azure เพื่อรวบรวมข้อมูลเกี่ยวกับภัยคุกคามจากกลุ่ม Hacker ตั้งแต่ Hacker ที่มีทักษะน้อย ไปจนถึงกลุ่มประเทศที่กำหนดเป้าหมายไปที่โครงสร้างพื้นฐานของ Microsoft (more…)

Microsoft กำลังตรวจสอบข้อผิดพลาดใน Outlook ที่ทำให้แอปพลิเคชันบนเดสก์ท็อปเกิดการขัดข้อง, ใช้ทรัพยากรระบบสูง และทำให้ผู้ใช้งานไม่สามารถเข้าสู่ระบบบัญชีของตนได้ (more…)

Microsoft ออกมาเปิดเผยข้อมูลหลังเกิดเหตุการณ์บริการ Microsoft 365 และ Azure ทั่วโลกหยุดทำงานนานกว่าเก้าชั่วโมง โดยเป็นผลมาจากการโจมตีแบบ distributed denial-of-service (DDoS) (more…)

ตั้งแต่เดือนกรกฎาคมเป็นต้นไป Microsoft จะเริ่มบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับผู้ที่ลงทะเบียนเข้าใช้งาน Azure ทุกคน

(more…)

นักวิจัยพบเทคนิคการขุดคริปโตที่ไม่สามารถตรวจจับได้บน Azure Automation

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พัฒนาโปรแกรมขุดคริปโตบนคลาวด์ที่ไม่สามารถตรวจจับได้เป็นรายแรก โดยใช้บริการ Azure Automation ของ Microsoft โดยไม่ต้องเสียค่าใช้จ่ายใด ๆ (more…)

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบกลุ่ม Hacker ที่มีแรงจูงใจทางด้านการเงินในชื่อ 'UNC3944' ใช้การโจมตี แบบ phishing และ SIM swapping เพื่อขโมยบัญชีผู้ดูแลระบบ Microsoft Azure และเข้าถึง VM ของเป้าหมาย

จากนั้น Hacker จะใช้ Azure Serial Console ในการติดตั้งซอฟต์แวร์ Remote Management Software เพื่อฝังตัวในระบบ และใช้ Azure Extensions เพื่อเฝ้าระวังการตรวจจับ (more…)

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบกลุ่ม Hacker ที่มีแรงจูงใจทางด้านการเงินในชื่อ 'UNC3944' ใช้การโจมตี แบบ phishing และ SIM swapping เพื่อขโมยบัญชีผู้ดูแลระบบ Microsoft Azure และเข้าถึง VM ของเป้าหมาย

จากนั้น Hacker จะใช้ Azure Serial Console ในการติดตั้งซอฟต์แวร์ Remote Management Software เพื่อฝังตัวในระบบ และใช้ Azure Extensions เพื่อเฝ้าระวังการตรวจจับ (more…)

นักวิจัยด้าน Ermetic บริษัทรักษาความปลอดภัยโครงสร้างพื้นฐานบนระบบคลาวด์ของอิสราเอล พบช่องโหว่ระดับ Critical บน Microsoft Azure ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) เพื่อเข้าควบคุมแอปพลิเคชันเป้าหมายได้

โดย Ermetic อธิบายช่องโหว่นี้ว่าเกิดจาก CSRF (cross-site request forgery) บน Kudu ซึ่งเป็นบริการ SCM ที่ใช้อย่างแพร่หลาย แล้วทำการส่งไฟล์ ZIP ที่ฝังเพย์โหลดอันตรายไปยังแอปพลิเคชัน Azure ของเป้าหมาย โดยได้เรียกวิธีการโจมตีนี้ว่า EmojiDeploy

Kudu คือเครื่องมือที่อยู่เบื้องหลังการทำงานของ Azure App Service ที่เกี่ยวข้องกับ source control based deployment เช่นเดียวกับ Dropbox และ OneDrive sync

การโจมตี

นักวิจัยได้อธิบายขั้นตอนการโจมตี ดังนี้

Hacker โจมตีผ่านช่องโหว่ CSRF ใน Kudu SCM panel ทำให้สามารถหลีกเลี่ยงการป้องกันและส่ง request ที่สร้างขึ้นเป็นพิเศษไปที่ "/api/zipdeploy" เพื่อส่งไฟล์ ZIP ที่เป็นอันตราย เช่น web shell และทำให้สามารถเข้าควบคุมระบบจากระยะไกลได้
ไฟล์ ZIP ที่เป็นอันตรายจะถูก encoded ในส่วนของ body ของ HTTP request เมื่อถูกเปิดขึ้นมา มันจะเรียกไปยังโดเมนที่ถูกควบคุมโดย Hacker ผ่าน web shell เพื่อหลบเลี่ยงการตรวจสอบ

การค้นพบนี้เกิดขึ้นหลังจาก Orca Security ได้เปิดเผยการโจมตี 4 ครั้งของการโจมตี server-side request forgery (SSRF) ที่ส่งผลกระทบต่อ Azure API Management, Azure Functions, Azure Machine Learning และ Azure Digital Twins หลังจากนั้น Microsoft ได้แก้ไขช่องโหว่ในวันที่ 6 ธันวาคม 2022 หลังจากการเปิดเผยช่องโหว่เมื่อวันที่ 26 ตุลาคม 2022 นอกจากนี้ Microsoft ยังได้มอบรางวัลให้แก่การรายงานช่องโหว่นี้เป็นมูลค่า 30,000 ดอลลาร์

การป้องกัน

ตรวจสอบการอนุญาตของแอปพลิเคชั่น และการกำหนดสิทธิในส่วนของการจัดการข้อมูลประจำตัว
จำกัดสิทธิ์การเข้าถึงให้น้อยที่สุดเพื่อความปลอดภัย

ที่มา : thehackernews

Orca บริษัทด้านความปลอดภัยไซเบอร์ได้ค้นพบช่องโหว่ที่เกี่ยวข้องกับบริการ Microsoft Azure โดยช่องโหว่ดังกล่าวถูกพบในช่วงระหว่างวันที่ 8 ตุลาคม 2022 ถึง 2 ธันวาคม 2022 ซึ่งส่งผลกระทบต่อ Azure API Management, Azure Functions, Azure Machine Learning และ Azure Digital Twins me ซึ่งทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และเข้าถึงข้อมูลบนเครื่องปลายทางได้

โดยปัจจุบันทาง Microsoft ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่เรียบร้อยแล้ว

ช่องโหว่บนบริการ Microsoft Azure มีดังนี้

ช่องโหว่ Unauthenticated SSRF บน Azure Digital Twins Explore โดยช่องโหว่อยู่ใน /proxy/blob endpoint ทำให้มีความเสี่ยงถูกโจมตีเพื่อรับ response จากบริการใดๆก็ตามที่ต่อท้ายด้วย "blob.