ข้อผิดพลาดใน Microsoft Outlook ทำให้ไม่สามารถเข้าสู่ระบบอีเมลได้ และทำให้แอปพลิเคชันหยุดทำงาน

Microsoft กำลังตรวจสอบข้อผิดพลาดใน Outlook ที่ทำให้แอปพลิเคชันบนเดสก์ท็อปเกิดการขัดข้อง, ใช้ทรัพยากรระบบสูง และทำให้ผู้ใช้งานไม่สามารถเข้าสู่ระบบบัญชีของตนได้ (more…)

บริการใหม่ของ Mamba สามารถ Bypass 2FA โดยมุ่งเป้าไปที่บัญชี Microsoft 365

แพลตฟอร์ม phishing-as-a-service (PhaaS) ที่เกิดขึ้นใหม่ชื่อว่า Mamba 2FA ถูกตรวจพบว่ากำลังมุ่งเป้าไปที่บัญชี Microsoft 365 ในการโจมตีแบบAiTM โดยใช้หน้าเข้าสู่ระบบที่ออกแบบมาอย่างดี (more…)

Microsoft Exchange Online แจ้งเตือน Email ว่าเป็นมัลแวร์โดยผิดพลาด

Microsoft กำลังสืบสวนปัญหา false positive ของ Exchange Online ที่ทำให้อีเมลที่มีรูปภาพแนบ ถูกแจ้งเตือนว่าเป็นอันตราย และส่งไปยัง quarantine

โดย Microsoft ได้ระบุถึงการรับทราบปัญหาดังกล่าวแล้วใน Microsoft 365 admin center ว่า "ข้อความอีเมลของผู้ใช้ที่มีรูปภาพอาจถูกระบุว่าเป็นมัลแวร์ และถูก quarantine อย่างไม่ถูกต้อง บริษัทกำลังทำการตรวจสอบติดตามเพื่อหาสาเหตุที่แท้งจริง และพัฒนาแผนการแก้ไข"

ปัญหาดังกล่าวถูกติดตามในชื่อ EX873252 ซึ่งยังส่งผลกระทบต่อข้อความที่มีลายเซ็นเป็นรูปภาพด้วย รวมถึงปัญหาดังกล่าวจะส่งผลต่อการรับส่งข้อมูลขาออกเท่านั้น โดยเฉพาะสำหรับการตอบกลับ และส่งต่ออีเมลที่มาจากภายนอกก่อนหน้านี้เท่านั้น แต่ยังมีผู้ดูแลระบบบางคนที่พบว่าปัญหาดังกล่าวส่งผลกระทบทั้งขาเข้า และภายในองค์กร

ปัจจุบัน Microsoft ได้แก้ไขปัญหาดังกล่าวแล้ว และได้นำดำเนินมาตรการย้ายอีเมลที่ถูกติดแท็กผิดพลาด false positive ว่าเป็นอันตรายออกจาก quarantine ทั้งหมดแล้ว

Microsoft ยังไม่ได้เปิดเผยว่าภูมิภาคใดบ้างที่ได้รับผลกระทบจากปัญหานี้ และได้ให้คำแนะนำในการลดผลกระทบแก่ลูกค้าที่ได้รับผลกระทบแล้ว

ในเดือนตุลาคม 2023 ทาง Microsoft ได้แก้ไขปัญหาที่คล้ายคลึงกันนี้ ซึ่งเกิดจาก anti-spam rule ที่มีข้อบกพร่องทำให้กล่องจดหมายของผู้ดูแลระบบ Microsoft 365 เต็มไปด้วย blind carbon copies (BCC) ของอีเมลขาออกที่ถูกทำเครื่องหมายว่าเป็น spam โดยผิดพลาด

ที่มา : bleepingcomputer

ชุดเครื่องมือฟิชชิ่งแบบใหม่สามารถ Bypass MFA ได้ กำลังมุ่งเป้าไปที่บัญชี Microsoft 365 และ Gmail

เหล่าอาชญากรไซเบอร์หันมาใช้แพลตฟอร์มฟิชชิ่งรูปแบบใหม่ที่ชื่อว่า "Tycoon 2FA" ซึ่งเป็นบริการฟิชชิ่งสำเร็จรูป (PhaaS) มากขึ้น เพื่อมุ่งเป้าโจมตีบัญชี Microsoft 365 และ Gmail โดยชุดเครื่องมือนี้สามารถ bypass การยืนยันตัวตนแบบ 2 ขั้นตอน (2FA) ได้อีกด้วย

Tycoon 2FA ถูกพบโดยนักวิเคราะห์จาก Sekoia ในเดือนตุลาคม 2023 ระหว่างการตรวจสอบภัยคุกคามตามปกติ แต่ชุดเครื่องมือนี้มีการใช้งานมาตั้งแต่เดือนสิงหาคม 2023 เป็นอย่างน้อยโดยกลุ่ม Saad Tycoon ซึ่งให้บริการผ่านช่องทาง Telegram ส่วนตัว

ชุดเครื่องมือ PhaaS นี้ มีความคล้ายคลึงกับแพลตฟอร์ม AitM (Adversary-in-the-Middle) อื่น ๆ เช่น Dadsec OTT ซึ่งแสดงให้เห็นว่าอาจมีการนำโค้ดมาใช้ซ้ำ หรือเป็นการทำงานร่วมกันระหว่างนักพัฒนา

ในปี 2024 Tycoon 2FA ได้เปิดตัวเวอร์ชันใหม่ที่แอบแฝงได้แนบเนียนยิ่งขึ้น ซึ่งแสดงให้เห็นถึงความพยายามอย่างต่อเนื่องในการพัฒนาชุดเครื่องมือฟิชชิ่งนี้ให้มีประสิทธิภาพมากขึ้น ปัจจุบันบริการนี้มีโดเมนที่ใช้งานมากกว่า 1,100 โดเมน และถูกนำไปใช้ในการโจมตีฟิชชิ่งหลายพันครั้ง

 

การโจมตี Tycoon 2FA

การโจมตีด้วย Tycoon 2FA เป็นกระบวนการหลายขั้นตอนที่ผู้โจมตีทำการขโมยคุกกี้เซสชันโดยใช้เซิร์ฟเวอร์ reverse proxy ซึ่งทำหน้าที่เป็นโฮสต์เว็บฟิชชิ่ง เว็บฟิชชิ่งเหล่านี้จะดักจับข้อมูลที่ผู้เสียหายกรอกเข้าไป และส่งต่อข้อมูลนั้นไปยังบริการที่ถูกต้อง

บริษัท Sekoia อธิบายว่า "เมื่อผู้ใช้ผ่านการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำเร็จ เซิร์ฟเวอร์ reverse proxy จะทำการขโมยคุกกี้เซสชันของผู้ใช้งานไป" ด้วยวิธีนี้ผู้โจมตีสามารถนำเซสชันของผู้ใช้ไปใช้ต่อได้อีกครั้ง ส่งผลให้สามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้

รายงานของ Sekoia แบ่งการโจมตีด้วย Tycoon 2FA ออกเป็น 7 ขั้นตอน ดังนี้:

Stage 0 : ผู้โจมตีจะกระจายลิงก์เว็บฟิชชิ่งไปยังเหยื่อผ่านทางอีเมลที่ฝัง URL หรือรหัส QR โดยปลอมแปลงเป็นองค์กรที่น่าเชื่อถือ
Stage 1 : ผู้โจมตีใช้ระบบกรองความเป็นมนุษย์ (CAPTCHA) แบบพิเศษอย่าง Cloudflare Turnstile เพื่อกรองโปรแกรม Bot ออก ให้เหลือเฉพาะผู้ใช้งานจริงเท่านั้นที่จะเข้าถึงเว็บฟิชชิ่งได้
Stage 2 : สคริปต์เบื้องหลังของเว็บฟิชชิ่ง จะทำการดึงข้อมูลอีเมลของเหยื่อจาก URL เพื่อปรับแต่งสำหรับการโจมตีแบบฟิชชิ่ง
Stage 3 : เหยื่อจะถูกนำไปยังอีกส่วนหนึ่งของเว็บฟิชชิ่งโดยที่ไม่รู้ตัว ซึ่งการกระทำนี้จะพาเหยื่อเข้าใกล้หน้าเข้าสู่ระบบปลอมมากขึ้น
Stage 4 : ในขั้นตอนนี้จะแสดงหน้าเข้าสู่ระบบปลอมของ Microsoft เพื่อขโมยข้อมูลรับรอง (credentials) โดยใช้ WebSockets ในการแอบส่งข้อมูลออกไป
Stage 5 : ชุดเครื่องมือนี้จะเลียนแบบการยืนยันตัวตนแบบสองปัจจัย (2FA) โดยดักจับรหัสโทเค็น หรือการตอบสนองของ 2FA เพื่อ bypass การรักษาความปลอดภัย
Stage 6 : ในที่สุด เหยื่อจะถูกนำทางไปยังหน้าเว็บที่ดูเหมือนเป็นหน้าเว็บที่ถูกต้อง เพื่อซ่อนความสำเร็จของการโจมตีฟิชชิ่ง

ภาพรวมของการโจมตีอธิบายไว้ด้วยแผนภาพด้านล่างนี้ซึ่งรวมถึงขั้นตอนทั้งหมดของกระบวนการ

พัฒนาการ และขอบเขตของเว็บฟิชชิ่ง

บริษัท Sekoia รายงานว่า Tycoon 2FA ซึ่งเป็นชุดเครื่องมือฟิชชิ่งเวอร์ชันล่าสุดที่เปิดตัวในปีนี้ มีการปรับปรุงเปลี่ยนแปลงอย่างมาก ช่วยยกระดับประสิทธิภาพในการฟิชชิ่ง และหลีกเลี่ยงการตรวจจับ

การเปลี่ยนแปลงสำคัญประกอบด้วย การปรับปรุงโค้ด JavaScript และ HTML, การเปลี่ยนลำดับการดึงข้อมูล และการกรองข้อมูลที่เข้มงวดขึ้นเพื่อบล็อกการเข้าถึงเว็บไซต์จากบอท และเครื่องมือวิเคราะห์

ตัวชุดเครื่องมือตอนนี้เลื่อนการโหลดการเข้าถึงหน้าฟิชชิ่งไปจนกระทั่งหลังจากที่ผ่านการตรวจสอบจาก Cloudflare Turnstile โดยใช้ชื่อ URL ที่เป็นเลขสุ่มเพื่อปิดการทำงาน

นอกจากนี้ ระบบรักษาความปลอดภัยยังสามารถระบุ traffic จาก Tor network ที่เชื่อมโยงกับศูนย์ข้อมูลได้ดียิ่งขึ้น ในขณะเดียวกันก็มีการบล็อกการเข้าถึงเว็บไซต์จากโปรแกรมโดยอิงตาม user-agent strings ที่เฉพาะเจาะจง

เกี่ยวกับขอบเขตของการดำเนินการ Sekoia รายงานว่ามีขนาดใหญ่อย่างมากเนื่องจากมีหลักฐานแสดงถึงผู้ใช้งานหลากหลายที่มีพฤติกรรมในลักษณะที่กำลังใช้ Tycoon 2FA สำหรับการดำเนินการฟิชชิ่ง

กระเป๋า Bitcoin ที่เชื่อมโยงกับผู้ดำเนินการ มีธุรกรรมมากกว่า 1,800 รายการตั้งแต่ตุลาคม 2019 โดยมีจำนวนธุรกรรมเพิ่มขึ้นอย่างเห็นได้ชัดตั้งแต่เดือนสิงหาคม 2023 ซึ่งเป็นช่วงเวลาที่เครื่องมือนี้เปิดตัว

มีธุรกรรมมากกว่า 530 รายการที่มีมูลค่าเกิน 120 ดอลลาร์ ซึ่งเป็นราคาเริ่มต้นสำหรับลิงก์การโจมตีฟิชชิ่งในระยะเวลา 10 วัน โดยถึงกลางเดือนมีนาคม 2024 กระเป๋าเงินของผู้โจมตีได้รับเงินสดรวมมูลค่า 394,015 ดอลลาร์

Tycoon 2FA เป็นเพียงการพัฒนาล่าสุดใน PhaaS ที่มีตัวเลือกมากมายสำหรับอาชญากรไซเบอร์ แพลตฟอร์มที่มีชื่อเสียงอื่นที่สามารถหลบหลีกการป้องกัน 2FA ได้ เช่น LabHost, Greatness, และ Robin Banks

Sekoia ให้ข้อมูลเกี่ยวกับ indicators of compromise (IoCs) ที่เชื่อมโยงกับการทำงานของ Tycoon 2FA ที่มีรายการมากกว่า 50 รายการ

https://github.

W3LL phishing kit โจมตีบัญชี Microsoft 365 นับพันบัญชีด้วยการ bypasses MFA

แฮ็กเกอร์ที่รู้จักกันในชื่อ W3LL ได้พัฒนาชุดเครื่องมือฟิชชิงที่สามารถ bypass multi-factor authentication พร้อมกับเครื่องมืออื่น ๆ ที่ทำให้สามารถโจมตีบัญชี Microsoft 365 ขององค์กรมากกว่า 8,000 บัญชี

ในระยะเวลา 10 เดือน นักวิจัยด้านความปลอดภัยพบว่าเครื่องมือ และโครงสร้างพื้นฐานของ W3LL ถูกใช้ในการสร้างฟิชชิงประมาณ 850 ครั้ง ซึ่งกำหนดเป้าหมายไปที่ข้อมูลส่วนบุลคลของบัญชี Microsoft 365 มากกว่า 56,000 บัญชี

การเติบโตของธุรกิจ

ผู้โจมตีอย่างน้อย 500 รายได้ใช้เครื่องมือฟิชชิ่งแบบ custom ของ W3LL ในการโจมตีแบบ Business Email Compromise (BEC) ทำให้เกิดความสูญเสียทางการเงินหลายล้านดอลลาร์สหรัฐฯ

นักวิจัยระบุว่า W3LL ครอบคลุมเกือบทั้งหมดสำหรับการโจมตีแบบ BEC และสามารถใช้งานได้โดย "ผู้โจมตีที่มีทักษะทางเทคนิคในทุกระดับ"

ในรายงานจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Group-IB ได้ให้รายละเอียดเกี่ยวกับ W3LL ที่กลายมาเป็นหนึ่งในนักพัฒนามัลแวร์ขั้นสูงสำหรับกลุ่มผู้โจมตีที่มักใช้วิธี BEC

หลักฐานแรกในการดำเนินการของ W3LL ถูกพบครั้งแรกในปี 2017 เมื่อผู้พัฒนาเริ่มใช้เครื่องมือ custom สำหรับการส่งอีเมลจำนวนมากที่ชื่อว่า "W3LL SMTP Sender" ซึ่งถูกใช้สำหรับการส่งสแปม

ความนิยม และธุรกิจของกลุ่มแฮ็กเกอร์เริ่มเติบโตขึ้นเมื่อเริ่มมีการขายชุดเครื่องมือฟิชชิงแบบ custom ที่มุ่งเน้นไปที่บัญชีองค์กรของ Microsoft 365

นักวิจัยระบุว่า ในปี 2018 W3LL ได้เปิดตัว W3LL Store ซึ่งเป็นตลาดภาษาอังกฤษที่สามารถโปรโมต และขายเครื่องมือของตนให้กับ community ของอาชญากรทางไซเบอร์

"เครื่องมือหลักของ W3LL คือ W3LL Panel ซึ่งอาจถือเป็นหนึ่งในชุดเครื่องมือสำหรับการโจมตีแบบฟิชชิงที่ล้ำสมัยที่สุดในระดับเดียวกัน โดยมีฟังก์ชันการทำงานแบบ adversary-in-the-middle, API, การป้องกันซอร์สโค้ด และความสามารถเฉพาะทางอื่น ๆ"

ชุดเครื่องมือของ W3LL สำหรับการโจมตีแบบ BEC

นอกจาก W3LL Panel ซึ่งถูกออกแบบเพื่อ bypass multi-factor authentication (MFA) ผู้โจมตียังมีเครื่องมืออีก 16 รายการที่เตรียมไว้สำหรับการโจมตี BEC (Business Email Compromise) รวมถึง:

SMTP senders PunnySender และ W3LL Sender
เครื่องมือ link stager ที่เป็นอันตรายชื่อ W3LL Redirect
เครื่องมือสแกนช่องโหว่ชื่อ OKELO
เครื่องมือค้นหาบัญชีอัตโนมัติชื่อ CONTOOL
โปรแกรมตรวจสอบอีเมลชื่อ LOMPAT
สำหรับการโจมตี BEC มีขั้นตอนเริ่มต้นที่การเลือกเป้าหมาย, การโจมตีแบบฟิชชิงผ่านอีเมลที่ที่มีไฟล์แนบ (ค่าเริ่มต้น หรือปรับแต่งเองได้), ไปจนถึงการส่งอีเมลฟิชชิงเข้าไปในกล่องจดหมายของเหยื่อ

นักวิจัยระบุว่า W3LL เชี่ยวชาญมากพอที่จะปกป้องเครื่องมือของตนจากการถูกตรวจจับ หรือปิดกั้นได้ โดยการนำไปใช้งานบนโฮสต์เซิร์ฟเวอร์ และบริการที่โจมตีมาอีกที

อย่างไรก็ตาม ผู้ใช้งานยังมีตัวเลือกในการใช้เครื่องมือสแกน OKELO ของ W3LL เพื่อค้นหาระบบที่มีช่องโหว่ และเข้าถึงระบบได้ด้วยตนเอง

Bypassing filters และ security agents

บางเทคนิคที่ W3LL ใช้ คือการ bypass email filters และ security agents รวมถึงปลอมแปลงหัวเรื่องอีเมล และเนื้อหาในข้อความ (Punycode, แท็ก HTML, รูปภาพ, ลิงก์ที่มีเนื้อหาจากภายนอก)

phishing links ใช้วิธีการหลายอย่างเพื่อหลีกเลี่ยงการตรวจจับ หนึ่งในนั้นคือการแนบไฟล์ฟิชชิง แทนที่จะฝังไว้ในเนื้อหาของอีเมล

นักวิจัยพบว่าลิงก์นั้นถูกวางไว้ในไฟล์ HTML ที่แนบมา เมื่อเหยื่อเปิดไฟล์ HTML ที่เป็นอันตรายซึ่งอาจปลอมเป็นเอกสาร หรือข้อความเสียง เบราว์เซอร์จะเปิดขึ้นพร้อมกับการแสดงผลที่คล้ายกับ MS Outlook animation

ซึ่งนี่คือ W3LL Panel phishing page ที่พร้อมใช้งานสำหรับการเก็บข้อมูลของบัญชี Microsoft 365

ในการวิเคราะห์ไฟล์แนบจากการโจมตีแบบฟิชชิงจาก W3LL ที่พบ Group-IB ได้สังเกตว่าเป็นไฟล์ HTML ที่แสดงเว็ปไซต์ใน iframe โดยใช้ JavaScript ที่ถูกเข้ารหัส base64

ในเวอร์ชันใหม่ล่าสุด ซึ่งอัปเดตในช่วงปลายเดือนมิถุนายน W3LL ได้เพิ่ม การสร้างความสับสน และการเข้ารหัสแบบ multiple layers โดยจะโหลดสคริปต์โดยตรงจาก W3LL Panel แทนที่จะรวมไว้ในโค้ด HTML

ลำดับการทำงานสำหรับเวอร์ชันล่าสุดมีลักษณะดังนี้ :

การโจมตีบัญชีองค์กร Microsoft 365

นักวิจัยของ Group-IB อธิบายว่าลิงก์เริ่มต้นในการโจมตีฟิชชิงไม่ได้นำไปสู่หน้าการเข้าสู่ระบบ Microsoft 365 ที่ถูกปลอมแปลงใน W3LL Panel การเชื่อมต่อลักษณะดังกล่าวถูกกำหนดขึ้นเพื่อป้องกันการตรวจสอบหน้าฟิชชิงของ W3LL Panel

เพื่อที่ W3LL จะโจมตีบัญชี Microsoft 365 นั้นจะใช้เทคนิค Adversary/Man-in-the-middle (AitM/MitM) โดยการเชื่อมต่อระหว่างเหยื่อ และเซิร์ฟเวอร์ของ Microsoft จะผ่าน W3LL Panel และ W3LL Store ที่ทำหน้าที่เป็นระบบ backend

เป้าหมายคือการได้มาซึ่งคุกกี้เซสชันการ authentication ของเหยื่อ สำหรับวิธีนี้ W3LL Panel จำเป็นต้องดำเนินการหลายขั้นตอน ซึ่งรวมถึง:

ผ่านการตรวจสอบ CAPTCHA
ตั้งค่าหน้าการเข้าสู่ระบบที่ปลอมแปลงให้เหมือนจริง
ตรวจสอบบัญชีของเหยื่อ
ได้มาซึ่งอัตลักษณ์ขององค์กรเป้าหมาย (เช่น ชื่อแบรนด์, โลโก้ฯ)
รับคุกกี้สำหรับการเข้าสู่ระบบ
ระบุประเภทของบัญชี
ตรวจสอบรหัสผ่าน
รับรหัสผ่านแบบใช้ครั้งเดียว (OTP)
รับคุกกี้เซสชันที่ผ่านการ authentication
หลังจากที่ W3LL Panel ได้รับคุกกี้เซสชันที่ผ่านการ authentication แล้ว บัญชีจะถูกเข้าถึงได้ และเหยื่อจะเห็นเอกสาร PDF เพื่อทำให้ดูเหมือนการเข้าสู่ระบบนั้นถูกต้อง

ขั้นตอนการค้นหาบัญชี

เมื่อใช้ CONTOOL ผู้โจมตีสามารถทำให้การค้นหาอีเมล, เบอร์โทรศัพท์, ไฟล์แนบ, เอกสาร, หรือ URL ที่เหยื่อใช้โดยอัตโนมัติ ซึ่งอาจช่วยในการโจมตีไปยังระบบอื่น ๆ

เครื่องมือนี้ยังสามารถตรวจสอบ กรอง และแก้ไขอีเมลที่เข้ามาได้ รวมทั้งรับการแจ้งเตือนผ่านบัญชี Telegram โดยขึ้นอยู่กับ keywords ที่ระบุไว้

ตามรายงานของ Group-IB ผลลัพธ์ทั่วไปของการโจมตีคือ :

การขโมยข้อมูล
ใบแจ้งหนี้ปลอมที่มีข้อมูลการชำระเงินของผู้โจมตี
การปลอมตัวเป็นบริการเพื่อส่งคำขอชำระเงินปลอมให้กับลูกค้า
Classic BEC fraud - เพื่อเข้าถึงผู้บริหารระดับสูง และดำเนินการเพื่อสั่งให้พนักงานโอนเงิน หรือซื้อสินค้า
แพร่กระจายมัลแวร์
การทำเงินของกลุ่ม W3LL

รายงานของ Group-IB ได้ศึกษาลึกลงไปในฟังก์ชันของ W3LL Panel โดยอธิบายในระดับเทคนิคว่าคุณสมบัติบางอย่างทำงานอย่างไรเพื่อให้บรรลุเป้าหมายที่ตั้งไว้ ไม่ว่าจะเป็นการหลบเลี่ยงการตรวจจับ หรือการรวบรวมข้อมูล

โดยเป็นส่วนสำคัญที่มีค่าแก่ผู้พัฒนา และมีราคา 500 ดอลลาร์สหรัฐสำหรับการใช้งานระยะเวลา 3 เดือน และราคาต่ออายุ 150 ดอลลาร์สหรัฐฯ ต่อเดือน ซึ่งผู้ใช้จำเป็นต้องซื้อ license เพื่อเปิดใช้งานด้วยอีกด้วย

กลุ่มผู้โจมตี W3LL ก่อตั้งขึ้นเมื่อประมาณ 5 ปีที่แล้ว และมีแฮ็กเกอร์ใช้งานมากกว่า 500 คน โดยมีฟีเจอร์ให้เลือกใช้งานมากกว่า 12,000 รายการ

นอกจากเครื่องมือที่เกี่ยวข้องกับการโจมตีด้วยฟิชชิ่ง และ BEC ที่กล่าวมาแล้ว W3LL ยังให้บริการเข้าถึงบริการเว็ปไซต์ที่ถูกโจมตี (web shell, อีเมล, ระบบการจัดการเนื้อหา) และเซิร์ฟเวอร์ SSH และ RDP, บัญชีโฮสติ้ง และบริการคลาวด์, โดเมนอีเมลธุรกิจ, บัญชี VPN, และบัญชีอีเมลที่ถูกยึดครอง (hijacked email accounts) ให้บริการอีกด้วย

นักวิจัยจาก Group-IB รายงานว่า ระหว่างเดือนตุลาคม ปี 2022 ถึงกรกฎาคม ปี 2023 W3LL ขายเครื่องมือนี้ได้มากกว่า 3,800 รายการ โดยมีรายได้โดยประมาณมากกว่า 500,000 ดอลลาร์สหรัฐ

ที่มา : bleepingcomputer

พบการโจมตีฟิชชิ่งบน Microsoft 365 โดยใช้ข้อความ RPMSG ที่เข้ารหัส

พบผู้โจมตีกำลังใช้ไฟล์แนบ RPMSG ที่เข้ารหัส ซึ่งจะถูกส่งผ่านบัญชี Microsoft 365 เพื่อใช้ในการขโมยข้อมูล credentials ด้วยการโจมตีฟิชชิ่งแบบกำหนดเป้าหมาย ซึ่งถูกออกแบบมาเพื่อหลบเลี่ยงการตรวจจับโดยอีเมลเกตเวย์
ไฟล์ RPMSG (restricted permission message files) เป็นไฟล์แนบข้อความอีเมลเข้ารหัสที่สร้างขึ้นโดยใช้ Microsoft's Rights Management Services (RMS) เพื่อการป้องกันเพิ่มเติมสำหรับข้อมูลที่มีความสำคัญ โดยการจำกัดการเข้าถึงเฉพาะผู้รับที่ได้รับอนุญาตเท่านั้น

ผู้รับที่ต้องการอ่านอีเมล จะต้องถูกตรวจสอบสิทธิ์โดยใช้บัญชี Microsoft หรือขอรับ one-time passcode เพื่อถอดรหัส   โดย Trustwave พบว่า ข้อกำหนดสำหรับการตรวจสอบสิทธิ์ของ RPMSG กำลังถูกใช้เพื่อหลอกเป้าหมายให้ส่งข้อมูล credentials ของ Microsoft โดยใช้แบบฟอร์มเข้าสู่ระบบปลอม

ลักษณะการทำงาน

เริ่มต้นด้วยอีเมลที่จะถูกส่งมาจากบัญชี Microsoft 365 ที่ถูกโจมตี ในกรณีนี้มาจากบริษัท Talus Pay ซึ่งเป็นบริษัทประมวลผลการชำระเงิน
ผู้รับคือผู้ใช้งานในแผนกเรียกเก็บเงินของบริษัทผู้รับ ซึ่งอีเมลจะแสดงข้อความที่มีการเข้ารหัสจาก Microsoft
อีเมลของผู้โจมตีจะขอให้เป้าหมายคลิกปุ่ม "Read the message" เพื่อถอดรหัส และเปิดข้อความที่ได้รับการป้องกัน โดยจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บ Office 365 พร้อมกับคำขอให้ลงชื่อเข้าใช้บัญชี Microsoft
หลังจากผ่านการตรวจสอบสิทธิ์แล้ว ผู้รับก็จะเห็นอีเมลของผู้โจมตี ซึ่งหลังจากคลิกปุ่ม "Click here to Continue" ก็จะถูกนำไปสู่เอกสาร SharePoint ปลอม ที่อยู่บนบริการ InDesign ของ Adobe

จากนั้นเมื่อคลิก "Click Here to View Document" ก็จะถูกนำไปสู่หน้าว่าง และข้อความว่า "Loading.

พบกลุ่ม Hacker ในชื่อ ‘Greatness’ มุ่งเป้าหมายการโจมตี Phishing ไปยัง Microsoft 365 [EndUser]

นักวิจัยจาก Cisco Talos เปิดเผยการค้นพบกลุ่ม Hacker Phishing-as-a-Service (PhaaS) ในชื่อ 'Greatness' ที่พบการโจมตีเป็นจำนวนมากไปยังองค์กรเป้าหมายที่ใช้ Microsoft 365 ในสหรัฐอเมริกา แคนาดา สหราชอาณาจักร ออสเตรเลีย และแอฟริกาใต้ (more…)

Microsoft เปิดตัวฟีเจอร์ช่วยป้องกันข้อมูลรั่วไหล ด้วยการตั้งเวลาหมดอายุของ session บน Microsoft 365

Microsoft ประกาศในวันนี้ถึงความพร้อมใช้งานของฟีเจอร์การตั้งเวลาหมดอายุของ session ที่ไม่ได้มีการใช้งาน ของผู้ใช้งานทั่วไปสำหรับ Microsoft 365 เพื่อช่วยปกป้องข้อมูลสำคัญบนอุปกรณ์ที่มีการใช้ร่วมกัน หรืออุปกรณ์ที่ไม่ใช่ของบริษัทที่มีการเปิดทิ้งไว้โดยไม่มีผู้ดูแล

เมื่อมีการเปิดใช้งาน ฟีเจอร์ดังกล่าวจะช่วยป้องกันการรั่วไหลของข้อมูลหากพนักงานลืมล็อกเอาต์จากเครื่อง โดยหลังจากที่ผู้ดูแลระบบ Microsoft 365 หรือ Office 365 เปิดใช้งานฟีเจอร์ใหม่นี้ ผู้ใช้งานที่ถึงระยะเวลาที่กำหนดเมื่อไม่มีการใช้งาน (ในเว็บเบราว์เซอร์ทั้งหมดที่ทำงานอยู่บนทุกอุปกรณ์) จะได้รับการแจ้งเตือนว่ากำลังจะออกจากระบบโดยอัตโนมัติ

(more…)

พบผู้ไม่หวังดีพยายามขโมยข้อมูลบน Microsoft 365 และ Outlook โดยการส่งอีเมลฟิชชิงที่เป็นการแจ้งเตือนด้วยข้อความเสียง

ข้อมูลเบื้องต้น
ผู้เชี่ยวชาญจาก ThreatLabz ของ Zscaler ตรวจพบแคมเปญนี้ในเดือนพฤษภาคม โดยพบว่าการโจมตีในครั้งนี้มุ่งเป้าไปที่หน่วยงานต่างๆของสหรัฐอเมริกา นอกจากนี้ยังมีบริษัทด้านความปลอดภัยของซอฟต์แวร์ ผู้ให้บริการโซลูชันด้านความปลอดภัย การทหาร การดูแลสุขภาพ และเภสัชกรรมที่ตกเป็นเป้าหมายอีกด้วย
ซึ่ง Zscaler ที่เป็นบริษัทที่ตรวจพบแคมเปญนี้ก็เป็นหนึ่งในองค์กรเป้าหมายด้วยเช่นเดียวกัน

ลักษณะการโจมตี
1. การโจมตีเริ่มต้นจากการส่งอีเมลไปยังเป้าหมาย โดยระบุว่ามีข้อความเสียงอยู่ในไฟล์แนบ
2. เมื่อเป้าหมายเปิดไฟล์แนบ สคริป HTML จะทำงาน และเปลี่ยนเส้นทางไปยังหน้าใส่ CAPTCHA ซึ่งการใส่ CAPTCHA จะช่วยให้ผู้โจมตีสามารถหลบเลี่ยงเครื่องมือสแกน URL แบบอัตโนมัติได้
3. หลังจากใส่ CAPTCHA เสร็จมันจะเปลี่ยนเส้นทางเป็น Login Microsoft ปลอมที่เป็นชื่อของเอนทิตีเป้าหมาย และโดเมนของผู้โจมตีเพื่อให้ใส่อีเมล และรหัสผ่าน หากผู้ใช้งานใส่รหัสผ่านเสร็จ จะมีแจ้งเตือนขึ้นว่าไม่มีบัญชีผู้ใช้งานนี้

นอกจากนี้ยังพบว่าฟิลด์ "From" ของอีเมลจะถูกสร้างขึ้นให้สอดคล้องกับบริษัทของผู้รับ เช่น เมื่อมีการกำหนดเป้าหมายพนักงานของ Zscaler URL ของหน้าจะใช้รูปแบบ zscaler.

ฟีเจอร์ของ Microsoft Office 365 ทำให้แรนซัมแวร์เรียกค่าไถ่จากไฟล์บนคลาวด์ได้

พบฟังก์ชันบางอย่างบน Microsoft 365 ที่อาจทำให้ผู้โจมตีสามารถเข้ารหัสเพื่อเรียกค่าไถ่ไฟล์ที่จัดเก็บไว้ใน SharePoint และ OneDrive ได้

โดย Proofpoint ระบุว่าการโจมตีด้วยแรนซัมแวร์บน cloud ในครั้งนี้ อาจทำให้ผุ้โจมตีสามารถเข้ารหัสไฟล์ที่เก็บไว้ใน SharePoint และ OneDrive ในลักษณะที่ทำให้ไม่สามารถกู้คืนได้ หากไม่มีการสำรองข้อมูลไว้ภายนอก หรือกุญแจสำหรับถอดรหัสจากผู้โจมตี

การโจมตีสามารถทำได้โดยใช้ Microsoft APIs, command-line interface (CLI) scripts และ PowerShell scripts ซึ่งการโจมตีเกิดขึ้นได้จากฟีเจอร์ของ Microsoft 365 ที่เรียกว่า AutoSave ที่จะสร้างสำเนาของไฟล์เวอร์ชันเก่าเมื่อผู้ใช้แก้ไขไฟล์ที่จัดเก็บไว้ใน OneDrive หรือ SharePoint Online

โดยเริ่มต้นจากการที่ผู้โจมตีสามารถเข้าถึงบัญชี SharePoint Online หรือ OneDrive ของเหยื่อได้ ซึ่งหลักๆช่องทางที่พบการโจมตีได้บ่อยที่สุดที่จะทำให้ได้บัญชีของเหยื่อมานั้น จะเป็นการโจมตีบัญชีโดยตรงผ่านการโจมตีแบบ phishing หรือ brute-force attacks หรือหลอกให้เหยื่อให้สิทธิ์บนแอปพลิเคชัน OAuth แก่ผู้โจมตี หรือเข้าควบคุมเซสชันเว็บของผู้ใช้ที่เข้าสู่ระบบ จากนั้นจึงค่อยขโมยข้อมูลของเหยื่อ และเริ่มกระบวนการเข้ารหัสไฟล์

โดยบางองค์กรอาจมีการตั้งค่า limit เวอร์ชันของ AutoSave บน SharePoint Online หรือ OneDrive ไว้ ซึ่งเวอร์ชันที่เก่าที่สุดก็จะถูกลบทิ้งไปตามจำนวนที่ถูกกำหนดไว้ เช่นหากตั้งไว้ที่ 100 เวอร์ชัน เพื่อมีการสร้างเวอร์ชันที่ 101 เวอร์ชันที่ 1.0 ก็จะถูกลบออกไปเป็นต้น ซึ่งผู้โจมตีจะใช้วิธีการลดจำนวนเวอร์ชันที่จะถูก AutoSave ไว้บนระบบของ Microsoft 365 ลงมาเป็นค่าต่ำๆเช่น 1 เวอร์ชัน จากนั้นก็ทำการเข้ารหัสไฟล์ทั้งหมด 2 ครั้ง ดังนั้นไฟล์ปกติ(ที่ยังไม่ถูกเข้ารหัส) ก็จะถูกลบหายไปทั้งหมดแล้ว เมื่อถึงจุดนี้ผู้โจมตีก็สามารถเรียกค่าไถ่จากองค์กรได้

(more…)