Microsoft แจ้งเตือนการพบกลุ่มผู้โจมตีที่มีเป้าหมายทางด้านการเงิน กำลังใช้งานระบบยืนยันตัวตน และตรวจสอบสิทธิ์มาตรฐาน (Open Authorization - OAuth) ในการโจมตีผ่านทางอีเมลในรูปแบบ Business Email Compromised - BEC และทำการฟิชชิ่ง สแปม รวมไปถึงสร้าง Virtual Machines สำหรับขุดคริปโตแบบอัตโนมัติ
โดย OAuth คือระบบยืนยันตัวตน (Authentication) และตรวจสอบสิทธิ์ (Authorization) เพื่อให้ผู้ใช้งานสามารถอนุญาตให้แอปพลิเคชันเข้าถึงข้อมูลผู้ใช้งานที่มีอยู่บนฐานข้อมูลอีกเว็บไซต์ หรือแอปพลิเคชันอีกหลายแห่ง ผ่านรูปแบบโทเคนโดยไม่ต้องเปิดเผยรหัสผ่าน
หลังจากการตรวจสอบเหตุการณ์ที่เกิดขึ้น ทีมผู้เชี่ยวชาญภัยคุกคามทางไซเบอร์ของ Microsoft (Microsoft Threat Intelligence) เปิดเผยว่า กลุ่มผู้โจมตีมุ่งเป้าไปที่ผู้ใช้งานที่มีความหละหลวมในการใช้งานระบบยืนยันตัวตนในการป้องกันการฟิชชิ่ง หรือ password-spraying เช่น ไม่ได้เปิดระบบการยืนยันตัวตนหลายขั้นตอน (Multifactor Authentication - MFA) เป็นต้น และโดยเฉพาะอย่างยิ่งเป้าหมายที่มีสิทธิ์ในการสร้าง หรือแก้ไข OAuth ในแอปพลิเคชันได้
แอคเคาท์ที่ถูกยึดโดยกลุ่มผู้โจมตีได้แล้วนั้น จะถูกนำมาใช้ในการสร้าง OAuth แอปพลิเคชันใหม่ เพื่อให้สามารถยกระดับสิทธิ์ที่สูงขึ้นให้แก่กลุ่มผู้โจมตีได้ ซึ่งจะสามารถทำให้การกระทำต่าง ๆ ของกลุ่มผู้โจมตีนี้ไม่ถูกพบว่าเป็นการกระทำที่ต้องสงสัย ถึงขนาดที่ว่าแอคเคาน์ที่ถูกยึดนั้นถูกลบไป ก็จะไม่ส่งผลต่อ OAuth ที่สร้างขึ้นใหม่เช่นกัน ซึ่งระบบ OAuth ที่มีสิทธิ์ระดับสูงนี้ สามารถนำมาใช้งานได้อย่างหลากหลายมาก ตั้งแต่สร้าง Virtual Machines เพื่อขุดคริปโตโดยเฉพาะ ทำให้ผู้โจมตีสามารถเข้าระบบได้ตลอดเวลาเพื่อดำเนินการโจมตีผ่านทางอีเมลในรูปแบบ BEC ไปจนถึงการสร้างสแปมแคมเปญเพื่อโจมตีโดเมนขององค์กรที่ถูกผู้โจมตีบุกรุกเข้ามาแล้วได้
มีรายงานเหตุการณ์สำคัญที่ระบุว่าเกี่ยวข้องกับกลุ่มผู้โจมตีที่ชื่อ Storm-1283 ซึ่งเป็นผู้สร้าง OAuth แอปพลิเคชัน สำหรับการขุดคริปโตผ่าน Virtual Machines ส่งผลให้องค์กรได้รับความเสียหายตั้งแต่ $10,000 ไปจนถึง $1.5M ทั้งนี้ขึ้นอยู่กับระยะเวลาที่องค์กรถูกโจมตี โดยมีรายละเอียดการโจมตีดังภาพด้านล่าง
อีกหนึ่งเหตุการณ์คือผู้โจมตีใช้ประโยชน์จาก OAuth แอปพลิเคชัน โดยใช้บัญชีที่ถูกบุกรุกเพื่อแฝงตัวอยู่ในระบบ และดำเนินการส่งฟิชชิ่ง โดยใช้วิธีการ adversary in the middle
ผู้โจมตีกลุ่มเดียวกันนี้ยังใช้แอคเคาท์ที่ถูกบุกรุกในการเก็บรวบรวมข้อมูล (reconnaissance) เพื่อเตรียมโจมตีผ่านทางอีเมลในรูปแบบ BEC โดยใช้ Microsoft Outlook Web Application - OWA ในการค้นหาข้อมูลที่เกี่ยวข้องกับการชำระเงิน และใบแจ้งหนี้ต่าง ๆ
ในบางกรณี ผู้โจมตีได้สามารถสร้างอีกหลายโปรไฟล์ของ OAuth เพื่อให้สามารถดำเนินการต่อไปได้ยาวนานขึ้นก่อนที่จะถูกตรวจพบ โดยการเพิ่มแอคเคาท์ ชื่อผู้ใช้งาน และรหัสผ่าน รวมไปถึงการอ่านอีเมล และส่งอีเมลฟิชชิ่งผ่าน Microsoft Graph API
Microsoft ยังระบุเพิ่มเติมอีกว่า ขณะที่ทำการตรวจสอบ และวิเคราะห์หาข้อมูลเพิ่มเติมนั้น พบว่ากลุ่มผู้โจมตีได้สร้าง tenant OAuth แอปพลิเคชันออกมากว่า 17,000 multitenant ครอบคลุม tenant หลายแบบที่แตกต่างกัน โดยใช้แอคเคาท์จำนวนมากที่ยึดมาได้ และจากข้อมูลอีเมลทั่วโลกของ Microsoft ที่ได้รวบรวมมานั้น พบว่า OAuth แอปพลิเคชันที่ต้องสงสัย ส่งอีเมลฟิชชิ่งไปแล้วกว่า 927,000 อีเมล ทั้งนี้ทางไมโครซอฟท์ได้มีการกำจัด OAuth แอปพลิเคชันที่ต้องสงสัยที่เกี่ยวข้องกับแคมเปญนี้ในช่วงระยะเวลาตั้งแต่กรกฏาคม ถึง พฤศจิกายน 2023 ทั้งหมดแล้ว
1 ใน 3 ของเหตุการณ์ที่เกิดขึ้นพบว่าเป็นฝีมือของกลุ่ม Storm-1286 ที่บุกรุกบัญชีผู้ใช้งานที่ไม่ได้มีการเปิดการป้องกันด้วยระบบยืนยันตัวตนหลายขั้นตอน ซึ่งเกี่ยวข้องกับแคมเปญการโจมตีในรูปแบบ password-spraying โดยที่แอคเคาท์ที่ถูกยึดไปได้นั้น จะถูกนำไปใช้ในการสร้าง OAuth แอปพลิเคชันใหม่ในองค์กรที่เป็นเป้าหมาย ซึงจะทำให้ผู้ที่โจมตีเข้ามานั้น สามารถส่งสแปมอีเมลได้ตลอดเวลาตั้งแต่ไม่กี่วัน ไปถึงขั้นหลักเดือนเลยทีเดียว
ในการป้องกันกลุ่มผู้โจมตีที่ใช้ช่องโหว่ OAuth แอปพลิเคชันนี้นั้น ทาง Microsoft แนะนำให้ใช้งานระบบ MFA เพื่อขัดขวางการการโจมตีแบบฟิชชิ่ง และการโจมตีที่ขโมยข้อมูลสำคัญมาแล้วนำไปใช้งานในระบบอื่น ๆ ด้วยวิธีการ Credential stuffing
คำแนะนำ
Security teams ควรเปิดใช้งาน conditional access policies เพื่อป้องกันการโจมตีที่ใช้ประโยชน์จากข้อมูลประจำตัวที่ถูกขโมย
ทำการตรวจสอบเงื่อนไขในการเข้าถึงข้อมูลอย่างสม่ำเสมอ เพื่อเพิกถอนการเข้าถึงของผู้ใช้โดยอัตโนมัติ หากตรงกับเงื่อนไขที่มีความเสี่ยงที่อาจเกิดขึ้น
ทำการตั้งค่า Azure Active Directory Security ให้มีการเปิดการใช้งานระบบ MFA เป็นค่าเริ่มต้น รวมไปถึงป้องกันการกระทำต่าง ๆ ที่ต้องใช้สิทธิ์ระดับสูง
ที่มา : bleepingcomputer