อาชญากรไซเบอร์กำลังโปรโมตแอป Microsoft OAuth ที่เป็นอันตราย โดยปลอมตัวเป็นแอปของ Adobe และ DocuSign เพื่อติดตั้งมัลแวร์ และขโมยข้อมูล credentials ของบัญชี Microsoft 365

แคมเปญเหล่านี้ถูกพบโดยนักวิจัยจาก Proofpoint ซึ่งโพสต์ผ่านบน X โดยระบุว่า การโจมตีนี้เป็น "highly targeted" อย่างชัดเจน

แอป OAuth ที่เป็นอันตรายในแคมเปญนี้จะปลอมตัวเป็น Adobe Drive, Adobe Drive X, Adobe Acrobat และ DocuSign

แอปเหล่านี้จะขอการเข้าถึงสิทธิ์แบบ less sensitive permissions เช่น profile, email และ openid เพื่อหลีกเลี่ยงการถูกตรวจจับ และสร้างความสงสัย

หากได้รับอนุญาตให้เข้าถึงสิทธิ์เหล่านี้ ผู้โจมตีจะสามารถเข้าถึงข้อมูลต่อไปนี้

Profile : ชื่อ-นามสกุล, User ID, รูปโปรไฟล์, Username
Email : Email address หลัก (แต่ไม่สามารถเข้าถึงกล่องจดหมายได้)
Openid : ช่วยให้สามารถยืนยันตัวตนของผู้ใช้ และดึงข้อมูลรายละเอียดบัญชี Microsoft ได้

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า แคมเปญฟิชชิ่งเหล่านี้ถูกส่งจากองค์กรการกุศล หรือบริษัทขนาดเล็กที่ถูกโจมตีบัญชีอีเมล ซึ่งน่าจะเป็นบัญชี Office 365

อีเมลฟิชชิ่งเหล่านี้มุ่งเป้าไปยังหลายอุตสาหกรรมในสหรัฐอเมริกา และยุโรป รวมไปถึง government, healthcare, supply chain และ retail โดยอีเมลบางฉบับที่ Proofpoint พบ มีการใช้เทคนิคหลอกล่อผู้ใช้งาน เช่น RFPs และ สัญญาทางธุรกิจ เพื่อหลอกให้ผู้รับคลิกลิงก์

แม้ว่าสิทธิ์ที่ได้รับจากแอป Microsoft OAuth จะให้ข้อมูลกับผู้โจมตีเพียงบางส่วน แต่ข้อมูลดังกล่าวก็สามารถนำไปใช้ในการโจมตีแบบ targeted attacks ได้

นอกจากนี้ เมื่อผู้ใช้ให้สิทธิ์แอป OAuth แล้ว ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Landing Page ซึ่งอาจแสดงแบบฟอร์มฟิชชิ่งเพื่อขโมย Microsoft 365 credentials หรือแพร่กระจายมัลแวร์

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า "เหยื่อจะถูก redirect หลายครั้ง และหลายขั้นตอนหลังจากการอนุญาตแอป O365 OAuth ก่อนที่จะถูกนำไปยังการติดมัลแวร์ หรือหน้าเว็บฟิชชิ่งที่อยู่เบื้องหลัง"

ในบางกรณี เหยื่อถูกเปลี่ยนเส้นทางไปยังหน้า "O365 login" ปลอม ซึ่งโฮสต์อยู่บนโดเมนที่เป็นอันตราย และภายในเวลาไม่ถึงนาทีหลังจากการอนุญาตแอป OAuth ทาง Proofpoint พบว่าจะมีการ Login เข้าสู่ระบบที่น่าสงสัยในบัญชีของเหยื่อ

Proofpoint ระบุว่า ไม่สามารถระบุได้ว่ามัลแวร์ที่ถูกแพร่กระจายเป็นมัลแวร์แบบใด แต่พบว่าผู้โจมตีใช้เทคนิค ClickFix ซึ่งเป็นเทคนิคหนึ่งในการโจมตีแบบ Social Engineering ที่ได้รับความนิยมอย่างมากในช่วงปีที่ผ่านมา

การโจมตีเหล่านี้คล้ายกับเหตุการณ์ที่เคยถูกรายงานเมื่อหลายปีก่อน แสดงให้เห็นว่าแอป OAuth ยังคงเป็นวิธีที่มีประสิทธิภาพในการเข้าควบคุมบัญชี Microsoft 365 โดยไม่ต้องขโมยข้อมูล credentials

ขอแนะนำให้ผู้ใช้งานระมัดระวัง permission requests จากแอป OAuth และตรวจสอบแหล่งที่มา รวมถึงความน่าเชื่อถือของแอปก่อนที่จะอนุมัติการให้สิทธิ์

หากต้องการตรวจสอบการอนุมัติที่มีอยู่แล้ว ให้ไปที่ 'My Apps' (myapplications.

Microsoft แจ้งเตือนผู้ดูแลระบบ Microsoft 365 ว่าฟีเจอร์ใหม่ในการป้องกันการปลอมแปลงแบรนด์สำหรับ Teams Chat จะพร้อมใช้งานสำหรับลูกค้าทุกคนภายในกลางเดือนกุมภาพันธ์ 2025

เมื่อเปิดใช้งาน ฟีเจอร์นี้จะแสดงการแจ้งเตือนเมื่อตรวจพบการโจมตีฟิชชิ่งที่มุ่งเป้าไปยังองค์กรที่เปิดใช้งานการเข้าถึง Teams จากภายนอก (ซึ่งอนุญาตให้ผู้ไม่หวังดีส่งข้อความหาผู้ใช้จากโดเมนภายนอก) (more…)

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกคำสั่งปฏิบัติภาคบังคับ (Binding Operational Directive - BOD 25-01) เพื่อให้หน่วยงานของรัฐบาลกลางได้นำไปปฏิบัติเพื่อรักษาความปลอดภัยให้กับระบบคลาวด์ (more…)

Microsoft กำลังตรวจสอบข้อผิดพลาดใน Outlook ที่ทำให้แอปพลิเคชันบนเดสก์ท็อปเกิดการขัดข้อง, ใช้ทรัพยากรระบบสูง และทำให้ผู้ใช้งานไม่สามารถเข้าสู่ระบบบัญชีของตนได้ (more…)

แพลตฟอร์ม phishing-as-a-service (PhaaS) ที่เกิดขึ้นใหม่ชื่อว่า Mamba 2FA ถูกตรวจพบว่ากำลังมุ่งเป้าไปที่บัญชี Microsoft 365 ในการโจมตีแบบAiTM โดยใช้หน้าเข้าสู่ระบบที่ออกแบบมาอย่างดี (more…)

Microsoft กำลังสืบสวนปัญหา false positive ของ Exchange Online ที่ทำให้อีเมลที่มีรูปภาพแนบ ถูกแจ้งเตือนว่าเป็นอันตราย และส่งไปยัง quarantine

โดย Microsoft ได้ระบุถึงการรับทราบปัญหาดังกล่าวแล้วใน Microsoft 365 admin center ว่า "ข้อความอีเมลของผู้ใช้ที่มีรูปภาพอาจถูกระบุว่าเป็นมัลแวร์ และถูก quarantine อย่างไม่ถูกต้อง บริษัทกำลังทำการตรวจสอบติดตามเพื่อหาสาเหตุที่แท้งจริง และพัฒนาแผนการแก้ไข"

ปัญหาดังกล่าวถูกติดตามในชื่อ EX873252 ซึ่งยังส่งผลกระทบต่อข้อความที่มีลายเซ็นเป็นรูปภาพด้วย รวมถึงปัญหาดังกล่าวจะส่งผลต่อการรับส่งข้อมูลขาออกเท่านั้น โดยเฉพาะสำหรับการตอบกลับ และส่งต่ออีเมลที่มาจากภายนอกก่อนหน้านี้เท่านั้น แต่ยังมีผู้ดูแลระบบบางคนที่พบว่าปัญหาดังกล่าวส่งผลกระทบทั้งขาเข้า และภายในองค์กร

ปัจจุบัน Microsoft ได้แก้ไขปัญหาดังกล่าวแล้ว และได้นำดำเนินมาตรการย้ายอีเมลที่ถูกติดแท็กผิดพลาด false positive ว่าเป็นอันตรายออกจาก quarantine ทั้งหมดแล้ว

Microsoft ยังไม่ได้เปิดเผยว่าภูมิภาคใดบ้างที่ได้รับผลกระทบจากปัญหานี้ และได้ให้คำแนะนำในการลดผลกระทบแก่ลูกค้าที่ได้รับผลกระทบแล้ว

ในเดือนตุลาคม 2023 ทาง Microsoft ได้แก้ไขปัญหาที่คล้ายคลึงกันนี้ ซึ่งเกิดจาก anti-spam rule ที่มีข้อบกพร่องทำให้กล่องจดหมายของผู้ดูแลระบบ Microsoft 365 เต็มไปด้วย blind carbon copies (BCC) ของอีเมลขาออกที่ถูกทำเครื่องหมายว่าเป็น spam โดยผิดพลาด

ที่มา : bleepingcomputer

เหล่าอาชญากรไซเบอร์หันมาใช้แพลตฟอร์มฟิชชิ่งรูปแบบใหม่ที่ชื่อว่า "Tycoon 2FA" ซึ่งเป็นบริการฟิชชิ่งสำเร็จรูป (PhaaS) มากขึ้น เพื่อมุ่งเป้าโจมตีบัญชี Microsoft 365 และ Gmail โดยชุดเครื่องมือนี้สามารถ bypass การยืนยันตัวตนแบบ 2 ขั้นตอน (2FA) ได้อีกด้วย

Tycoon 2FA ถูกพบโดยนักวิเคราะห์จาก Sekoia ในเดือนตุลาคม 2023 ระหว่างการตรวจสอบภัยคุกคามตามปกติ แต่ชุดเครื่องมือนี้มีการใช้งานมาตั้งแต่เดือนสิงหาคม 2023 เป็นอย่างน้อยโดยกลุ่ม Saad Tycoon ซึ่งให้บริการผ่านช่องทาง Telegram ส่วนตัว

ชุดเครื่องมือ PhaaS นี้ มีความคล้ายคลึงกับแพลตฟอร์ม AitM (Adversary-in-the-Middle) อื่น ๆ เช่น Dadsec OTT ซึ่งแสดงให้เห็นว่าอาจมีการนำโค้ดมาใช้ซ้ำ หรือเป็นการทำงานร่วมกันระหว่างนักพัฒนา

ในปี 2024 Tycoon 2FA ได้เปิดตัวเวอร์ชันใหม่ที่แอบแฝงได้แนบเนียนยิ่งขึ้น ซึ่งแสดงให้เห็นถึงความพยายามอย่างต่อเนื่องในการพัฒนาชุดเครื่องมือฟิชชิ่งนี้ให้มีประสิทธิภาพมากขึ้น ปัจจุบันบริการนี้มีโดเมนที่ใช้งานมากกว่า 1,100 โดเมน และถูกนำไปใช้ในการโจมตีฟิชชิ่งหลายพันครั้ง

 

การโจมตี Tycoon 2FA

การโจมตีด้วย Tycoon 2FA เป็นกระบวนการหลายขั้นตอนที่ผู้โจมตีทำการขโมยคุกกี้เซสชันโดยใช้เซิร์ฟเวอร์ reverse proxy ซึ่งทำหน้าที่เป็นโฮสต์เว็บฟิชชิ่ง เว็บฟิชชิ่งเหล่านี้จะดักจับข้อมูลที่ผู้เสียหายกรอกเข้าไป และส่งต่อข้อมูลนั้นไปยังบริการที่ถูกต้อง

บริษัท Sekoia อธิบายว่า "เมื่อผู้ใช้ผ่านการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำเร็จ เซิร์ฟเวอร์ reverse proxy จะทำการขโมยคุกกี้เซสชันของผู้ใช้งานไป" ด้วยวิธีนี้ผู้โจมตีสามารถนำเซสชันของผู้ใช้ไปใช้ต่อได้อีกครั้ง ส่งผลให้สามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้

รายงานของ Sekoia แบ่งการโจมตีด้วย Tycoon 2FA ออกเป็น 7 ขั้นตอน ดังนี้:

Stage 0 : ผู้โจมตีจะกระจายลิงก์เว็บฟิชชิ่งไปยังเหยื่อผ่านทางอีเมลที่ฝัง URL หรือรหัส QR โดยปลอมแปลงเป็นองค์กรที่น่าเชื่อถือ
Stage 1 : ผู้โจมตีใช้ระบบกรองความเป็นมนุษย์ (CAPTCHA) แบบพิเศษอย่าง Cloudflare Turnstile เพื่อกรองโปรแกรม Bot ออก ให้เหลือเฉพาะผู้ใช้งานจริงเท่านั้นที่จะเข้าถึงเว็บฟิชชิ่งได้
Stage 2 : สคริปต์เบื้องหลังของเว็บฟิชชิ่ง จะทำการดึงข้อมูลอีเมลของเหยื่อจาก URL เพื่อปรับแต่งสำหรับการโจมตีแบบฟิชชิ่ง
Stage 3 : เหยื่อจะถูกนำไปยังอีกส่วนหนึ่งของเว็บฟิชชิ่งโดยที่ไม่รู้ตัว ซึ่งการกระทำนี้จะพาเหยื่อเข้าใกล้หน้าเข้าสู่ระบบปลอมมากขึ้น
Stage 4 : ในขั้นตอนนี้จะแสดงหน้าเข้าสู่ระบบปลอมของ Microsoft เพื่อขโมยข้อมูลรับรอง (credentials) โดยใช้ WebSockets ในการแอบส่งข้อมูลออกไป
Stage 5 : ชุดเครื่องมือนี้จะเลียนแบบการยืนยันตัวตนแบบสองปัจจัย (2FA) โดยดักจับรหัสโทเค็น หรือการตอบสนองของ 2FA เพื่อ bypass การรักษาความปลอดภัย
Stage 6 : ในที่สุด เหยื่อจะถูกนำทางไปยังหน้าเว็บที่ดูเหมือนเป็นหน้าเว็บที่ถูกต้อง เพื่อซ่อนความสำเร็จของการโจมตีฟิชชิ่ง

ภาพรวมของการโจมตีอธิบายไว้ด้วยแผนภาพด้านล่างนี้ซึ่งรวมถึงขั้นตอนทั้งหมดของกระบวนการ

พัฒนาการ และขอบเขตของเว็บฟิชชิ่ง

บริษัท Sekoia รายงานว่า Tycoon 2FA ซึ่งเป็นชุดเครื่องมือฟิชชิ่งเวอร์ชันล่าสุดที่เปิดตัวในปีนี้ มีการปรับปรุงเปลี่ยนแปลงอย่างมาก ช่วยยกระดับประสิทธิภาพในการฟิชชิ่ง และหลีกเลี่ยงการตรวจจับ

การเปลี่ยนแปลงสำคัญประกอบด้วย การปรับปรุงโค้ด JavaScript และ HTML, การเปลี่ยนลำดับการดึงข้อมูล และการกรองข้อมูลที่เข้มงวดขึ้นเพื่อบล็อกการเข้าถึงเว็บไซต์จากบอท และเครื่องมือวิเคราะห์

ตัวชุดเครื่องมือตอนนี้เลื่อนการโหลดการเข้าถึงหน้าฟิชชิ่งไปจนกระทั่งหลังจากที่ผ่านการตรวจสอบจาก Cloudflare Turnstile โดยใช้ชื่อ URL ที่เป็นเลขสุ่มเพื่อปิดการทำงาน

นอกจากนี้ ระบบรักษาความปลอดภัยยังสามารถระบุ traffic จาก Tor network ที่เชื่อมโยงกับศูนย์ข้อมูลได้ดียิ่งขึ้น ในขณะเดียวกันก็มีการบล็อกการเข้าถึงเว็บไซต์จากโปรแกรมโดยอิงตาม user-agent strings ที่เฉพาะเจาะจง

เกี่ยวกับขอบเขตของการดำเนินการ Sekoia รายงานว่ามีขนาดใหญ่อย่างมากเนื่องจากมีหลักฐานแสดงถึงผู้ใช้งานหลากหลายที่มีพฤติกรรมในลักษณะที่กำลังใช้ Tycoon 2FA สำหรับการดำเนินการฟิชชิ่ง

กระเป๋า Bitcoin ที่เชื่อมโยงกับผู้ดำเนินการ มีธุรกรรมมากกว่า 1,800 รายการตั้งแต่ตุลาคม 2019 โดยมีจำนวนธุรกรรมเพิ่มขึ้นอย่างเห็นได้ชัดตั้งแต่เดือนสิงหาคม 2023 ซึ่งเป็นช่วงเวลาที่เครื่องมือนี้เปิดตัว

มีธุรกรรมมากกว่า 530 รายการที่มีมูลค่าเกิน 120 ดอลลาร์ ซึ่งเป็นราคาเริ่มต้นสำหรับลิงก์การโจมตีฟิชชิ่งในระยะเวลา 10 วัน โดยถึงกลางเดือนมีนาคม 2024 กระเป๋าเงินของผู้โจมตีได้รับเงินสดรวมมูลค่า 394,015 ดอลลาร์

Tycoon 2FA เป็นเพียงการพัฒนาล่าสุดใน PhaaS ที่มีตัวเลือกมากมายสำหรับอาชญากรไซเบอร์ แพลตฟอร์มที่มีชื่อเสียงอื่นที่สามารถหลบหลีกการป้องกัน 2FA ได้ เช่น LabHost, Greatness, และ Robin Banks

Sekoia ให้ข้อมูลเกี่ยวกับ indicators of compromise (IoCs) ที่เชื่อมโยงกับการทำงานของ Tycoon 2FA ที่มีรายการมากกว่า 50 รายการ

https://github.

แฮ็กเกอร์ที่รู้จักกันในชื่อ W3LL ได้พัฒนาชุดเครื่องมือฟิชชิงที่สามารถ bypass multi-factor authentication พร้อมกับเครื่องมืออื่น ๆ ที่ทำให้สามารถโจมตีบัญชี Microsoft 365 ขององค์กรมากกว่า 8,000 บัญชี

ในระยะเวลา 10 เดือน นักวิจัยด้านความปลอดภัยพบว่าเครื่องมือ และโครงสร้างพื้นฐานของ W3LL ถูกใช้ในการสร้างฟิชชิงประมาณ 850 ครั้ง ซึ่งกำหนดเป้าหมายไปที่ข้อมูลส่วนบุลคลของบัญชี Microsoft 365 มากกว่า 56,000 บัญชี

การเติบโตของธุรกิจ

ผู้โจมตีอย่างน้อย 500 รายได้ใช้เครื่องมือฟิชชิ่งแบบ custom ของ W3LL ในการโจมตีแบบ Business Email Compromise (BEC) ทำให้เกิดความสูญเสียทางการเงินหลายล้านดอลลาร์สหรัฐฯ

นักวิจัยระบุว่า W3LL ครอบคลุมเกือบทั้งหมดสำหรับการโจมตีแบบ BEC และสามารถใช้งานได้โดย "ผู้โจมตีที่มีทักษะทางเทคนิคในทุกระดับ"

ในรายงานจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Group-IB ได้ให้รายละเอียดเกี่ยวกับ W3LL ที่กลายมาเป็นหนึ่งในนักพัฒนามัลแวร์ขั้นสูงสำหรับกลุ่มผู้โจมตีที่มักใช้วิธี BEC

หลักฐานแรกในการดำเนินการของ W3LL ถูกพบครั้งแรกในปี 2017 เมื่อผู้พัฒนาเริ่มใช้เครื่องมือ custom สำหรับการส่งอีเมลจำนวนมากที่ชื่อว่า "W3LL SMTP Sender" ซึ่งถูกใช้สำหรับการส่งสแปม

ความนิยม และธุรกิจของกลุ่มแฮ็กเกอร์เริ่มเติบโตขึ้นเมื่อเริ่มมีการขายชุดเครื่องมือฟิชชิงแบบ custom ที่มุ่งเน้นไปที่บัญชีองค์กรของ Microsoft 365

นักวิจัยระบุว่า ในปี 2018 W3LL ได้เปิดตัว W3LL Store ซึ่งเป็นตลาดภาษาอังกฤษที่สามารถโปรโมต และขายเครื่องมือของตนให้กับ community ของอาชญากรทางไซเบอร์

"เครื่องมือหลักของ W3LL คือ W3LL Panel ซึ่งอาจถือเป็นหนึ่งในชุดเครื่องมือสำหรับการโจมตีแบบฟิชชิงที่ล้ำสมัยที่สุดในระดับเดียวกัน โดยมีฟังก์ชันการทำงานแบบ adversary-in-the-middle, API, การป้องกันซอร์สโค้ด และความสามารถเฉพาะทางอื่น ๆ"

ชุดเครื่องมือของ W3LL สำหรับการโจมตีแบบ BEC

นอกจาก W3LL Panel ซึ่งถูกออกแบบเพื่อ bypass multi-factor authentication (MFA) ผู้โจมตียังมีเครื่องมืออีก 16 รายการที่เตรียมไว้สำหรับการโจมตี BEC (Business Email Compromise) รวมถึง:

SMTP senders PunnySender และ W3LL Sender
เครื่องมือ link stager ที่เป็นอันตรายชื่อ W3LL Redirect
เครื่องมือสแกนช่องโหว่ชื่อ OKELO
เครื่องมือค้นหาบัญชีอัตโนมัติชื่อ CONTOOL
โปรแกรมตรวจสอบอีเมลชื่อ LOMPAT
สำหรับการโจมตี BEC มีขั้นตอนเริ่มต้นที่การเลือกเป้าหมาย, การโจมตีแบบฟิชชิงผ่านอีเมลที่ที่มีไฟล์แนบ (ค่าเริ่มต้น หรือปรับแต่งเองได้), ไปจนถึงการส่งอีเมลฟิชชิงเข้าไปในกล่องจดหมายของเหยื่อ

นักวิจัยระบุว่า W3LL เชี่ยวชาญมากพอที่จะปกป้องเครื่องมือของตนจากการถูกตรวจจับ หรือปิดกั้นได้ โดยการนำไปใช้งานบนโฮสต์เซิร์ฟเวอร์ และบริการที่โจมตีมาอีกที

อย่างไรก็ตาม ผู้ใช้งานยังมีตัวเลือกในการใช้เครื่องมือสแกน OKELO ของ W3LL เพื่อค้นหาระบบที่มีช่องโหว่ และเข้าถึงระบบได้ด้วยตนเอง

Bypassing filters และ security agents

บางเทคนิคที่ W3LL ใช้ คือการ bypass email filters และ security agents รวมถึงปลอมแปลงหัวเรื่องอีเมล และเนื้อหาในข้อความ (Punycode, แท็ก HTML, รูปภาพ, ลิงก์ที่มีเนื้อหาจากภายนอก)

phishing links ใช้วิธีการหลายอย่างเพื่อหลีกเลี่ยงการตรวจจับ หนึ่งในนั้นคือการแนบไฟล์ฟิชชิง แทนที่จะฝังไว้ในเนื้อหาของอีเมล

นักวิจัยพบว่าลิงก์นั้นถูกวางไว้ในไฟล์ HTML ที่แนบมา เมื่อเหยื่อเปิดไฟล์ HTML ที่เป็นอันตรายซึ่งอาจปลอมเป็นเอกสาร หรือข้อความเสียง เบราว์เซอร์จะเปิดขึ้นพร้อมกับการแสดงผลที่คล้ายกับ MS Outlook animation

ซึ่งนี่คือ W3LL Panel phishing page ที่พร้อมใช้งานสำหรับการเก็บข้อมูลของบัญชี Microsoft 365

ในการวิเคราะห์ไฟล์แนบจากการโจมตีแบบฟิชชิงจาก W3LL ที่พบ Group-IB ได้สังเกตว่าเป็นไฟล์ HTML ที่แสดงเว็ปไซต์ใน iframe โดยใช้ JavaScript ที่ถูกเข้ารหัส base64

ในเวอร์ชันใหม่ล่าสุด ซึ่งอัปเดตในช่วงปลายเดือนมิถุนายน W3LL ได้เพิ่ม การสร้างความสับสน และการเข้ารหัสแบบ multiple layers โดยจะโหลดสคริปต์โดยตรงจาก W3LL Panel แทนที่จะรวมไว้ในโค้ด HTML

ลำดับการทำงานสำหรับเวอร์ชันล่าสุดมีลักษณะดังนี้ :

การโจมตีบัญชีองค์กร Microsoft 365

นักวิจัยของ Group-IB อธิบายว่าลิงก์เริ่มต้นในการโจมตีฟิชชิงไม่ได้นำไปสู่หน้าการเข้าสู่ระบบ Microsoft 365 ที่ถูกปลอมแปลงใน W3LL Panel การเชื่อมต่อลักษณะดังกล่าวถูกกำหนดขึ้นเพื่อป้องกันการตรวจสอบหน้าฟิชชิงของ W3LL Panel

เพื่อที่ W3LL จะโจมตีบัญชี Microsoft 365 นั้นจะใช้เทคนิค Adversary/Man-in-the-middle (AitM/MitM) โดยการเชื่อมต่อระหว่างเหยื่อ และเซิร์ฟเวอร์ของ Microsoft จะผ่าน W3LL Panel และ W3LL Store ที่ทำหน้าที่เป็นระบบ backend

เป้าหมายคือการได้มาซึ่งคุกกี้เซสชันการ authentication ของเหยื่อ สำหรับวิธีนี้ W3LL Panel จำเป็นต้องดำเนินการหลายขั้นตอน ซึ่งรวมถึง:

ผ่านการตรวจสอบ CAPTCHA
ตั้งค่าหน้าการเข้าสู่ระบบที่ปลอมแปลงให้เหมือนจริง
ตรวจสอบบัญชีของเหยื่อ
ได้มาซึ่งอัตลักษณ์ขององค์กรเป้าหมาย (เช่น ชื่อแบรนด์, โลโก้ฯ)
รับคุกกี้สำหรับการเข้าสู่ระบบ
ระบุประเภทของบัญชี
ตรวจสอบรหัสผ่าน
รับรหัสผ่านแบบใช้ครั้งเดียว (OTP)
รับคุกกี้เซสชันที่ผ่านการ authentication
หลังจากที่ W3LL Panel ได้รับคุกกี้เซสชันที่ผ่านการ authentication แล้ว บัญชีจะถูกเข้าถึงได้ และเหยื่อจะเห็นเอกสาร PDF เพื่อทำให้ดูเหมือนการเข้าสู่ระบบนั้นถูกต้อง

ขั้นตอนการค้นหาบัญชี

เมื่อใช้ CONTOOL ผู้โจมตีสามารถทำให้การค้นหาอีเมล, เบอร์โทรศัพท์, ไฟล์แนบ, เอกสาร, หรือ URL ที่เหยื่อใช้โดยอัตโนมัติ ซึ่งอาจช่วยในการโจมตีไปยังระบบอื่น ๆ

เครื่องมือนี้ยังสามารถตรวจสอบ กรอง และแก้ไขอีเมลที่เข้ามาได้ รวมทั้งรับการแจ้งเตือนผ่านบัญชี Telegram โดยขึ้นอยู่กับ keywords ที่ระบุไว้

ตามรายงานของ Group-IB ผลลัพธ์ทั่วไปของการโจมตีคือ :

การขโมยข้อมูล
ใบแจ้งหนี้ปลอมที่มีข้อมูลการชำระเงินของผู้โจมตี
การปลอมตัวเป็นบริการเพื่อส่งคำขอชำระเงินปลอมให้กับลูกค้า
Classic BEC fraud - เพื่อเข้าถึงผู้บริหารระดับสูง และดำเนินการเพื่อสั่งให้พนักงานโอนเงิน หรือซื้อสินค้า
แพร่กระจายมัลแวร์
การทำเงินของกลุ่ม W3LL

รายงานของ Group-IB ได้ศึกษาลึกลงไปในฟังก์ชันของ W3LL Panel โดยอธิบายในระดับเทคนิคว่าคุณสมบัติบางอย่างทำงานอย่างไรเพื่อให้บรรลุเป้าหมายที่ตั้งไว้ ไม่ว่าจะเป็นการหลบเลี่ยงการตรวจจับ หรือการรวบรวมข้อมูล

โดยเป็นส่วนสำคัญที่มีค่าแก่ผู้พัฒนา และมีราคา 500 ดอลลาร์สหรัฐสำหรับการใช้งานระยะเวลา 3 เดือน และราคาต่ออายุ 150 ดอลลาร์สหรัฐฯ ต่อเดือน ซึ่งผู้ใช้จำเป็นต้องซื้อ license เพื่อเปิดใช้งานด้วยอีกด้วย

กลุ่มผู้โจมตี W3LL ก่อตั้งขึ้นเมื่อประมาณ 5 ปีที่แล้ว และมีแฮ็กเกอร์ใช้งานมากกว่า 500 คน โดยมีฟีเจอร์ให้เลือกใช้งานมากกว่า 12,000 รายการ

นอกจากเครื่องมือที่เกี่ยวข้องกับการโจมตีด้วยฟิชชิ่ง และ BEC ที่กล่าวมาแล้ว W3LL ยังให้บริการเข้าถึงบริการเว็ปไซต์ที่ถูกโจมตี (web shell, อีเมล, ระบบการจัดการเนื้อหา) และเซิร์ฟเวอร์ SSH และ RDP, บัญชีโฮสติ้ง และบริการคลาวด์, โดเมนอีเมลธุรกิจ, บัญชี VPN, และบัญชีอีเมลที่ถูกยึดครอง (hijacked email accounts) ให้บริการอีกด้วย

นักวิจัยจาก Group-IB รายงานว่า ระหว่างเดือนตุลาคม ปี 2022 ถึงกรกฎาคม ปี 2023 W3LL ขายเครื่องมือนี้ได้มากกว่า 3,800 รายการ โดยมีรายได้โดยประมาณมากกว่า 500,000 ดอลลาร์สหรัฐ

ที่มา : bleepingcomputer

พบผู้โจมตีกำลังใช้ไฟล์แนบ RPMSG ที่เข้ารหัส ซึ่งจะถูกส่งผ่านบัญชี Microsoft 365 เพื่อใช้ในการขโมยข้อมูล credentials ด้วยการโจมตีฟิชชิ่งแบบกำหนดเป้าหมาย ซึ่งถูกออกแบบมาเพื่อหลบเลี่ยงการตรวจจับโดยอีเมลเกตเวย์
ไฟล์ RPMSG (restricted permission message files) เป็นไฟล์แนบข้อความอีเมลเข้ารหัสที่สร้างขึ้นโดยใช้ Microsoft's Rights Management Services (RMS) เพื่อการป้องกันเพิ่มเติมสำหรับข้อมูลที่มีความสำคัญ โดยการจำกัดการเข้าถึงเฉพาะผู้รับที่ได้รับอนุญาตเท่านั้น

ผู้รับที่ต้องการอ่านอีเมล จะต้องถูกตรวจสอบสิทธิ์โดยใช้บัญชี Microsoft หรือขอรับ one-time passcode เพื่อถอดรหัส   โดย Trustwave พบว่า ข้อกำหนดสำหรับการตรวจสอบสิทธิ์ของ RPMSG กำลังถูกใช้เพื่อหลอกเป้าหมายให้ส่งข้อมูล credentials ของ Microsoft โดยใช้แบบฟอร์มเข้าสู่ระบบปลอม

ลักษณะการทำงาน

เริ่มต้นด้วยอีเมลที่จะถูกส่งมาจากบัญชี Microsoft 365 ที่ถูกโจมตี ในกรณีนี้มาจากบริษัท Talus Pay ซึ่งเป็นบริษัทประมวลผลการชำระเงิน
ผู้รับคือผู้ใช้งานในแผนกเรียกเก็บเงินของบริษัทผู้รับ ซึ่งอีเมลจะแสดงข้อความที่มีการเข้ารหัสจาก Microsoft
อีเมลของผู้โจมตีจะขอให้เป้าหมายคลิกปุ่ม "Read the message" เพื่อถอดรหัส และเปิดข้อความที่ได้รับการป้องกัน โดยจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บ Office 365 พร้อมกับคำขอให้ลงชื่อเข้าใช้บัญชี Microsoft
หลังจากผ่านการตรวจสอบสิทธิ์แล้ว ผู้รับก็จะเห็นอีเมลของผู้โจมตี ซึ่งหลังจากคลิกปุ่ม "Click here to Continue" ก็จะถูกนำไปสู่เอกสาร SharePoint ปลอม ที่อยู่บนบริการ InDesign ของ Adobe

จากนั้นเมื่อคลิก "Click Here to View Document" ก็จะถูกนำไปสู่หน้าว่าง และข้อความว่า "Loading.

นักวิจัยจาก Cisco Talos เปิดเผยการค้นพบกลุ่ม Hacker Phishing-as-a-Service (PhaaS) ในชื่อ 'Greatness' ที่พบการโจมตีเป็นจำนวนมากไปยังองค์กรเป้าหมายที่ใช้ Microsoft 365 ในสหรัฐอเมริกา แคนาดา สหราชอาณาจักร ออสเตรเลีย และแอฟริกาใต้ (more…)