การแพร่กระจายของชุดเครื่องมือฟิชชิง Tycoon 2FA ถือเป็นภัยคุกคามร้ายแรงต่อองค์กรทั่วโลก เนื่องจากชุดเครื่องมือสำเร็จรูปลักษณะนี้ถูกออกแบบมาให้ใช้งานได้ง่าย แม้แต่ผู้ที่ไม่มีความเชี่ยวชาญก็สามารถใช้เพื่อ Bypass ระบบยืนยันตัวตนหลายปัจจัย (MFA) และแอปยืนยันตัวตนที่องค์กรต่าง ๆ ใช้อยู่ ซึ่งปัจจุบันพบการนำมาใช้งานอย่างแพร่หลาย

จนถึงปีนี้ มีการติดตามการโจมตีไปแล้วมากกว่า 64,000 ครั้ง โดยหลายครั้งมุ่งเป้าไปที่ Microsoft 365 และ Gmail เพราะแพลตฟอร์มเหล่านี้คือเส้นทางที่ง่าย และรวดเร็วที่สุดในการเจาะเข้าสู่องค์กร

ฟิชชิงแบบ Service พร้อมใช้ ไม่ต้องมีทักษะใด ๆ

ความสามารถของ Tycoon 2FA อยู่ที่การไม่ต้องใช้ทักษะทางเทคนิค เนื่องจากมันเป็นชุดเครื่องมือ "Phishing as a Service" ที่พร้อมใช้งาน ฟังก์ชันครบถ้วน และเป็นระบบอัตโนมัติ แม้แต่ผู้ที่ไม่มีพื้นฐานการเขียนโค้ดก็สามารถใช้งานได้ ชุดเครื่องมือนี้จะแนะนำผู้ใช้ตั้งแต่การตั้งค่า การจัดเตรียมหน้าล็อกอินปลอม ไปจนถึงการเปิดเซิร์ฟเวอร์ reverse proxy ให้พร้อมใช้งาน

ชุดเครื่องมือจะทำทุกอย่างที่ยุ่งยากแทนผู้โจมตีทั้งหมด เหลือเพียงให้ผู้โจมตีส่งลิงก์ไปยังเหยื่อ แล้วรอแค่คนใดคนหนึ่งถูกหลอกเท่านั้น

Real-Time MFA Relay และการขโมยเซสชัน

Tycoon 2FA จะดำเนินการทันทีที่เหยื่อหลงกล โดยระบบจะดักจับชื่อผู้ใช้ และรหัสผ่านแบบเรียลไทม์, จัดเก็บ session cookies, และทำหน้าที่เป็นพร็อกซีในขั้นตอนที่ MFA ถูกส่งไปยัง Microsoft หรือ Google เหยื่อจะเข้าใจว่าตนเองกำลังดำเนินการยืนยันตัวตนตามปกติ แต่ในความเป็นจริงแล้ว พวกเขากำลังยืนยันตัวตนให้กับผู้โจมตี

ส่วนที่อันตรายที่สุดคือผู้ใช้ที่ได้รับการฝึกอบรมมาอย่างดีก็ยังอาจตกเป็นเหยื่อได้ เพราะทุกอย่างดูสมจริง หน้าเว็บเป็นแบบไดนามิก และสามารถแสดงผลข้อมูล responses จากเซิร์ฟเวอร์จริงได้

ตัวอย่างเช่น หาก Microsoft ขอให้กรอกรหัส หน้าเว็บก็จะอัปเดตทันที หรือถ้า Google ส่งข้อความแจ้ง (prompt) มันก็จะปรากฏขึ้นตามที่ควรจะเป็น

ไม่มีอะไรแตกต่างให้สังเกตเห็นได้ ไม่มีร่องรอยใด ๆ และไม่มีวิธีการใดที่ MFA แบบเดิม หรือแอปยืนยันตัวตนจะสามารถป้องกันการโจมตีนี้ได้ เนื่องจาก Tycoon ถูกออกแบบมาให้เป็นผู้โจมตีแบบ Man-in-the-Middle โดยตรง

ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับ

Tycoon 2FA มาพร้อมกับชั้นของการป้องกันการตรวจจับที่เทียบเท่ากับมัลแวร์ระดับสูงหลายตัว โดยใช้เทคนิคต่าง ๆ เช่น การเข้ารหัส Base64, การบีบอัดแบบ LZ string, เทคนิค DOM vanishing, การทำให้โค้ดอ่านไม่ออกด้วย CryptoJS, ระบบกรอง Bot อัตโนมัติ, CAPTCHA และการตรวจจับเครื่องมือ Debugging

ชุดเครื่องมือนี้จะซ่อนพฤติกรรมตัวเองจากเครื่องมือ Scan และนักวิจัยทุกวิถีทาง มันจะแสดงพฤติกรรมจริงก็ต่อเมื่อเป้าหมายเป็นมนุษย์จริง ๆ เท่านั้น และเมื่อมันทำขั้นตอนการยืนยันตัวตนสำเร็จ ผู้โจมตีก็จะได้สิทธิ์เข้าถึงเซสชันเต็มรูปแบบภายใน Microsoft 365 หรือ Gmail

จากจุดเริ่มต้นนั้น ผู้โจมตีสามารถขยายผลการโจมตีไปยังระบบต่าง ๆ ได้อย่างกว้างขวาง เช่น SharePoint, OneDrive, อีเมล, Teams, ระบบ HR, ระบบการเงิน และอื่น ๆ อีกมากมาย การฟิชชิงที่ประสบความสำเร็จเพียงครั้งเดียวอาจนำไปสู่การถูกเจาะระบบทั้งหมดได้

MFA แบบดั้งเดิมอาจไม่เพียงพอแล้ว

สาเหตุที่ MFA แบบดั้งเดิมไม่เพียงพอ เพราะรหัส SMS, การแจ้งเตือนแบบกดอนุมัติ (push) และแอป TOTP ล้วนมีจุดอ่อนเดียวกัน เนื่องจากขึ้นอยู่กับพฤติกรรมของผู้ใช้ และความคาดหวังว่าผู้ใช้จะสังเกตเห็นสิ่งผิดปกติด้วยตนเอง

ระบบเหล่านี้ใช้กลไกที่ผู้โจมตีสามารถดักจับ ส่งต่อ หรือนำมาใช้ซ้ำได้ Tycoon 2FA และเครื่องมืออีกนับสิบชนิดโจมตีจากช่องโหว่นี้ตรง ๆ พวกมันเปลี่ยนผู้ใช้ให้กลายเป็นช่องทางโจมตี และแม้แต่ passkey ก็เริ่มถูกเจาะได้แล้ว เมื่อมีการซิงก์ผ่านบัญชีคลาวด์ หรือมีช่องทางกู้คืน (recovery) ที่สามารถขโมยข้อมูลแบบ social engineering ได้

ผู้โจมตีเข้าใจเรื่องนี้ดีมาก กลุ่มอาชญากรรมอย่าง Scattered Spider, Octo Tempest และ Storm 1167 ใช้ชุดเครื่องมือเหล่านี้ทุกวัน มันคือวิธีโจมตีที่เพิ่มขึ้นเร็วที่สุดในโลก เพราะใช้ง่าย ขยายผลได้มาก และไม่ต้องการทักษะใด ๆ

หลายบริษัทเร่งนำระบบยืนยันตัวตนแบบหลายปัจจัย (MFA) และแอปยืนยันตัวตนมาใช้ แต่กลับพบว่าระบบเหล่านี้อาจไม่เพียงพอเมื่อเจอกับชุดเครื่องมือฟิชชิงที่ออกแบบมาโดยเฉพาะ หากผู้โจมตีสามารถหลอกให้ผู้ใช้งานกรอกรหัส หรืออนุมัติคำขอได้ ผู้โจมตีก็จะประสบความสำเร็จ ซึ่ง Tycoon ทำสิ่งนี้ได้อย่างแม่นยำ

ขั้นต่อไป MFA ที่ฟิชชิงไม่ได้จริง ๆ

ยังมีวิธีการแก้ไขที่ชัดเจน และสามารถเริ่มใช้งานได้รวดเร็ว นั่นคือระบบยืนยันตัวตนที่ป้องกันฟิชชิงด้วยข้อมูล biometric บนฮาร์ดแวร์ FIDO2 โดยใช้การยืนยันตัวตนแบบ proximity based, domain bound และไม่สามารถถูกรีเลย์ หรือปลอมแปลงได้ ระบบที่ไม่มีรหัสให้กรอก ไม่มีการอนุมัติแจ้งเตือน ไม่มี shared secrets ที่ถูกดักจับได้ และไม่มีวิธีใดที่หลอกให้ผู้ใช้งานช่วยผู้โจมตีได้อีกต่อไป

ระบบที่ปฏิเสธเว็บไซต์ปลอมโดยอัตโนมัติ ระบบที่บังคับให้มีการยืนยันแบบไบโอเมตริกซ์บนอุปกรณ์จริง ซึ่งต้องอยู่ใกล้คอมพิวเตอร์ที่กำลังล็อกอินเท่านั้น

ทั้งหมดนี้เปลี่ยนเกมไปอย่างสิ้นเชิง เพราะมันนำผู้ใช้ออกจากกระบวนการตัดสินใจ แทนที่จะหวังให้คนรู้ทันหน้าเว็บปลอม ตัวอุปกรณ์ยืนยันตัวตนจะตรวจสอบแหล่งที่มาแบบเข้ารหัสเอง

แทนที่จะหวังว่าผู้ใช้จะปฏิเสธการแจ้งเตือนที่เป็นอันตราย อุปกรณ์ยืนยันตัวตนจะไม่มีทางได้รับแจ้งเตือนแบบนั้นตั้งแต่แรก

โมเดลของโทเคน

นี่คือโมเดลที่อยู่เบื้องหลัง Token Ring และ Token BioStick ซึ่งป้องกันฟิชชิงด้วยสถาปัตยกรรม บังคับใช้ไบโอเมตริกซ์เป็นค่าเริ่มต้น อิงตาม Proximity based และผูกกับโดเมนผ่านการเข้ารหัส

การโจมตีจะไม่สำเร็จ เพราะไม่มีโค้ดให้ขโมย ไม่มีการอนุมัติให้หลอกลวง และไม่มีขั้นตอนกู้คืนบัญชีให้มิจฉาชีพใช้โจมตีได้เลย ต่อให้ผู้ใช้พลาดคลิกลิงก์น่าสงสัย หรือแม้แต่บอกรหัสผ่านออกไป (ถ้ายังมีรหัส) หรือโดน Social Engineering ที่แอบอ้างเป็นฝ่ายไอทีโทรมาหลอก การยืนยันตัวตนก็จะไม่สำเร็จอยู่ดี เพราะระบบจะตรวจสอบว่าโดเมนไม่ตรง และไม่มีการยืนยันไบโอเมตริกซ์บนอุปกรณ์จริง

องค์กรที่ใช้อุปกรณ์เหล่านี้พบว่าพนักงานยอมรับได้ง่ายมากกับโซลูชันไร้รหัสผ่านลักษณะนี้ การยืนยันตัวตนทำได้เร็ว (เพียง 2 วินาที) ไม่ต้องจำอะไร ไม่ต้องพิมพ์อะไร ไม่ต้องกดยืนยันอะไร มอบประสบการณ์ผู้ใช้ที่ดีกว่า และสร้างมาตรการความปลอดภัยที่แข็งแกร่งยิ่งกว่าเดิมมาก

ความจริงที่ทุกองค์กรต้องยอมรับ

ทุกองค์กรต้องยอมรับว่าผู้โจมตีได้พัฒนาไปอีกขั้นแล้ว และระบบป้องกันก็ต้องพัฒนาตามให้ทัน การยืนยันตัวตนแบบหลายปัจจัย (MFA) แบบเดิม ๆ รวมถึงแอปยืนยันตัวตน (Authenticator Apps) และแม้แต่ Passkey ก็ไม่อาจป้องกันภัยคุกคามนี้ได้ ดังที่ Tycoon 2FA ได้แสดงให้เห็นว่า ระบบใดก็ตามที่ยังต้องการให้ผู้ใช้ "กรอก" หรือ "กดอนุมัติ" จะสามารถถูกเจาะระบบได้ภายในเวลาไม่กี่วินาที

ที่มา : bleepingcomputer

แฮ็กเกอร์รัสเซียใช้วิธีการ Social engineering แอบอ้างเป็นเจ้าหน้าที่กระทรวงการต่างประเทศสหรัฐฯ เพื่อ Bypass MFA และเข้าถึงบัญชี Gmail โดยอาศัย app-specific passwords โดยแฮ็กเกอร์กลุ่มนี้มีเป้าหมายเป็นนักวิชาการ และนักวิจารณ์รัฐบาลรัสเซีย โดยใช้เทคนิคที่มีความซับซ้อน ปรับแต่งเฉพาะบุคคล และไม่ใช้วิธีการกดดันให้เหยื่อรีบดำเนินการอย่างใดอย่างหนึ่ง (more…)

เหล่าอาชญากรไซเบอร์หันมาใช้แพลตฟอร์มฟิชชิ่งรูปแบบใหม่ที่ชื่อว่า "Tycoon 2FA" ซึ่งเป็นบริการฟิชชิ่งสำเร็จรูป (PhaaS) มากขึ้น เพื่อมุ่งเป้าโจมตีบัญชี Microsoft 365 และ Gmail โดยชุดเครื่องมือนี้สามารถ bypass การยืนยันตัวตนแบบ 2 ขั้นตอน (2FA) ได้อีกด้วย

Tycoon 2FA ถูกพบโดยนักวิเคราะห์จาก Sekoia ในเดือนตุลาคม 2023 ระหว่างการตรวจสอบภัยคุกคามตามปกติ แต่ชุดเครื่องมือนี้มีการใช้งานมาตั้งแต่เดือนสิงหาคม 2023 เป็นอย่างน้อยโดยกลุ่ม Saad Tycoon ซึ่งให้บริการผ่านช่องทาง Telegram ส่วนตัว

ชุดเครื่องมือ PhaaS นี้ มีความคล้ายคลึงกับแพลตฟอร์ม AitM (Adversary-in-the-Middle) อื่น ๆ เช่น Dadsec OTT ซึ่งแสดงให้เห็นว่าอาจมีการนำโค้ดมาใช้ซ้ำ หรือเป็นการทำงานร่วมกันระหว่างนักพัฒนา

ในปี 2024 Tycoon 2FA ได้เปิดตัวเวอร์ชันใหม่ที่แอบแฝงได้แนบเนียนยิ่งขึ้น ซึ่งแสดงให้เห็นถึงความพยายามอย่างต่อเนื่องในการพัฒนาชุดเครื่องมือฟิชชิ่งนี้ให้มีประสิทธิภาพมากขึ้น ปัจจุบันบริการนี้มีโดเมนที่ใช้งานมากกว่า 1,100 โดเมน และถูกนำไปใช้ในการโจมตีฟิชชิ่งหลายพันครั้ง

 

การโจมตี Tycoon 2FA

การโจมตีด้วย Tycoon 2FA เป็นกระบวนการหลายขั้นตอนที่ผู้โจมตีทำการขโมยคุกกี้เซสชันโดยใช้เซิร์ฟเวอร์ reverse proxy ซึ่งทำหน้าที่เป็นโฮสต์เว็บฟิชชิ่ง เว็บฟิชชิ่งเหล่านี้จะดักจับข้อมูลที่ผู้เสียหายกรอกเข้าไป และส่งต่อข้อมูลนั้นไปยังบริการที่ถูกต้อง

บริษัท Sekoia อธิบายว่า "เมื่อผู้ใช้ผ่านการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำเร็จ เซิร์ฟเวอร์ reverse proxy จะทำการขโมยคุกกี้เซสชันของผู้ใช้งานไป" ด้วยวิธีนี้ผู้โจมตีสามารถนำเซสชันของผู้ใช้ไปใช้ต่อได้อีกครั้ง ส่งผลให้สามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้

รายงานของ Sekoia แบ่งการโจมตีด้วย Tycoon 2FA ออกเป็น 7 ขั้นตอน ดังนี้:

Stage 0 : ผู้โจมตีจะกระจายลิงก์เว็บฟิชชิ่งไปยังเหยื่อผ่านทางอีเมลที่ฝัง URL หรือรหัส QR โดยปลอมแปลงเป็นองค์กรที่น่าเชื่อถือ
Stage 1 : ผู้โจมตีใช้ระบบกรองความเป็นมนุษย์ (CAPTCHA) แบบพิเศษอย่าง Cloudflare Turnstile เพื่อกรองโปรแกรม Bot ออก ให้เหลือเฉพาะผู้ใช้งานจริงเท่านั้นที่จะเข้าถึงเว็บฟิชชิ่งได้
Stage 2 : สคริปต์เบื้องหลังของเว็บฟิชชิ่ง จะทำการดึงข้อมูลอีเมลของเหยื่อจาก URL เพื่อปรับแต่งสำหรับการโจมตีแบบฟิชชิ่ง
Stage 3 : เหยื่อจะถูกนำไปยังอีกส่วนหนึ่งของเว็บฟิชชิ่งโดยที่ไม่รู้ตัว ซึ่งการกระทำนี้จะพาเหยื่อเข้าใกล้หน้าเข้าสู่ระบบปลอมมากขึ้น
Stage 4 : ในขั้นตอนนี้จะแสดงหน้าเข้าสู่ระบบปลอมของ Microsoft เพื่อขโมยข้อมูลรับรอง (credentials) โดยใช้ WebSockets ในการแอบส่งข้อมูลออกไป
Stage 5 : ชุดเครื่องมือนี้จะเลียนแบบการยืนยันตัวตนแบบสองปัจจัย (2FA) โดยดักจับรหัสโทเค็น หรือการตอบสนองของ 2FA เพื่อ bypass การรักษาความปลอดภัย
Stage 6 : ในที่สุด เหยื่อจะถูกนำทางไปยังหน้าเว็บที่ดูเหมือนเป็นหน้าเว็บที่ถูกต้อง เพื่อซ่อนความสำเร็จของการโจมตีฟิชชิ่ง

ภาพรวมของการโจมตีอธิบายไว้ด้วยแผนภาพด้านล่างนี้ซึ่งรวมถึงขั้นตอนทั้งหมดของกระบวนการ

พัฒนาการ และขอบเขตของเว็บฟิชชิ่ง

บริษัท Sekoia รายงานว่า Tycoon 2FA ซึ่งเป็นชุดเครื่องมือฟิชชิ่งเวอร์ชันล่าสุดที่เปิดตัวในปีนี้ มีการปรับปรุงเปลี่ยนแปลงอย่างมาก ช่วยยกระดับประสิทธิภาพในการฟิชชิ่ง และหลีกเลี่ยงการตรวจจับ

การเปลี่ยนแปลงสำคัญประกอบด้วย การปรับปรุงโค้ด JavaScript และ HTML, การเปลี่ยนลำดับการดึงข้อมูล และการกรองข้อมูลที่เข้มงวดขึ้นเพื่อบล็อกการเข้าถึงเว็บไซต์จากบอท และเครื่องมือวิเคราะห์

ตัวชุดเครื่องมือตอนนี้เลื่อนการโหลดการเข้าถึงหน้าฟิชชิ่งไปจนกระทั่งหลังจากที่ผ่านการตรวจสอบจาก Cloudflare Turnstile โดยใช้ชื่อ URL ที่เป็นเลขสุ่มเพื่อปิดการทำงาน

นอกจากนี้ ระบบรักษาความปลอดภัยยังสามารถระบุ traffic จาก Tor network ที่เชื่อมโยงกับศูนย์ข้อมูลได้ดียิ่งขึ้น ในขณะเดียวกันก็มีการบล็อกการเข้าถึงเว็บไซต์จากโปรแกรมโดยอิงตาม user-agent strings ที่เฉพาะเจาะจง

เกี่ยวกับขอบเขตของการดำเนินการ Sekoia รายงานว่ามีขนาดใหญ่อย่างมากเนื่องจากมีหลักฐานแสดงถึงผู้ใช้งานหลากหลายที่มีพฤติกรรมในลักษณะที่กำลังใช้ Tycoon 2FA สำหรับการดำเนินการฟิชชิ่ง

กระเป๋า Bitcoin ที่เชื่อมโยงกับผู้ดำเนินการ มีธุรกรรมมากกว่า 1,800 รายการตั้งแต่ตุลาคม 2019 โดยมีจำนวนธุรกรรมเพิ่มขึ้นอย่างเห็นได้ชัดตั้งแต่เดือนสิงหาคม 2023 ซึ่งเป็นช่วงเวลาที่เครื่องมือนี้เปิดตัว

มีธุรกรรมมากกว่า 530 รายการที่มีมูลค่าเกิน 120 ดอลลาร์ ซึ่งเป็นราคาเริ่มต้นสำหรับลิงก์การโจมตีฟิชชิ่งในระยะเวลา 10 วัน โดยถึงกลางเดือนมีนาคม 2024 กระเป๋าเงินของผู้โจมตีได้รับเงินสดรวมมูลค่า 394,015 ดอลลาร์

Tycoon 2FA เป็นเพียงการพัฒนาล่าสุดใน PhaaS ที่มีตัวเลือกมากมายสำหรับอาชญากรไซเบอร์ แพลตฟอร์มที่มีชื่อเสียงอื่นที่สามารถหลบหลีกการป้องกัน 2FA ได้ เช่น LabHost, Greatness, และ Robin Banks

Sekoia ให้ข้อมูลเกี่ยวกับ indicators of compromise (IoCs) ที่เชื่อมโยงกับการทำงานของ Tycoon 2FA ที่มีรายการมากกว่า 50 รายการ

https://github.