Microsoft วางแผนที่จะเพิ่มความปลอดภัยให้กับระบบ Entra ID authentication จากการโจมตีในรูปแบบ script injection จากภายนอก โดยจะเริ่มดำเนินการในช่วงกลางถึงปลายเดือนตุลาคม 2026 (more…)

แพลตฟอร์ม Phishing-as-a-Service (PhaaS) ตัวใหม่ชื่อ Quantum Route Redirect กำลังใช้โดเมนจำนวนกว่า 1,000 โดเมนเพื่อขโมยข้อมูล credentials ของผู้ใช้ Microsoft 365

(more…)

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) และสำนักงานความมั่นคงแห่งชาติ (NSA) ได้เผยแพร่คำแนะนำเพื่อช่วยผู้ดูแลระบบในการยกระดับความปลอดภัยให้กับ Microsoft Exchange Server บนเครือข่ายของตนเพื่อป้องกันการโจมตี

แนวทางปฏิบัติที่แนะนำ ได้แก่ การยกระดับความปลอดภัยของการ authentication และการเข้าถึงของผู้ใช้, การลด surfaces การโจมตีของแอปพลิเคชัน และการสร้างความแข็งแกร่งของ network encryption

หน่วยงานทั้งสองยังแนะนำให้ผู้ดูแลระบบยุติการใช้งาน Exchange servers แบบ on-premises หรือแบบ hybrid ที่ end-of-life หลังจากเปลี่ยนไปใช้ Microsoft 365 แล้ว เนื่องจากการคง Exchange servers ตัวสุดท้ายไว้ในระบบโดยที่ไม่ได้อัปเดต อาจทำให้องค์กรตกเป็นเป้าของการโจมตี และเพิ่มความเสี่ยงต่อการละเมิดความปลอดภัยอย่างมีนัยสำคัญ

นอกจากนี้ แม้ว่าจะไม่ได้กล่าวถึงในคำแนะนำของ CISA และ NSA แต่การเฝ้าระวังกิจกรรมที่เป็นอันตราย หรือน่าสงสัย และการวางแผนรับมือเหตุการณ์ที่อาจเกิดขึ้น และการกู้คืนข้อมูล ก็มีความสำคัญอย่างยิ่งเช่นกัน ในการลดความเสี่ยงที่เกี่ยวข้องกับ Exchange servers ภายในองค์กร

หน่วยงานทั้งสองกล่าวสรุปในรายงาน โดยมีศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งออสเตรเลีย (ACSC) และศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งแคนาดา (Cyber Centre) เข้าร่วมด้วย โดยระบุว่า "ด้วยการจำกัดสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ, การใช้การยืนยันตัวตนแบบหลายปัจจัย, การบังคับใช้การกำหนดค่าความปลอดภัยการรับส่งข้อมูลที่เข้มงวด และการนำหลักการความปลอดภัยแบบ Zero Trust (ZT) มาใช้ โดยองค์กรต่าง ๆ จะสามารถเสริมสร้างการป้องกันการโจมตีทางไซเบอร์ที่อาจเกิดขึ้นได้อย่างมาก"

"นอกจากนี้ เนื่องจาก Exchange Server บางเวอร์ชันเพิ่งสิ้นสุดอายุการใช้งาน (EOL) หน่วยงานฯ จึงขอแนะนำอย่างยิ่งให้องค์กรต่าง ๆ ดำเนินมาตรการเชิงรุกเพื่อลดความเสี่ยง และป้องกันกิจกรรมที่เป็นอันตราย"

CISA, NSA และพันธมิตร ได้แชร์คำแนะนำด้านความปลอดภัยที่สำคัญกว่า 10 ข้อ สำหรับผู้ดูแลระบบเครือข่าย ซึ่งรวมถึงการอัปเดตเซิร์ฟเวอร์ให้เป็นปัจจุบันอยู่เสมอ, การย้ายระบบจาก Exchange เวอร์ชันที่ไม่รองรับ, การเปิดใช้งานบริการบรรเทาผลกระทบฉุกเฉิน, การเปิดใช้งานฟีเจอร์ป้องกันสแปม และมัลแวร์ในตัว, การจำกัดสิทธิ์การเข้าถึงระดับผู้ดูแลระบบเฉพาะจากส่วนการทำงานที่ได้รับอนุญาต และการใช้มาตรฐานความปลอดภัยพื้นฐาน สำหรับทั้งระบบ Exchange Server และ Windows

หน่วยงานต่าง ๆ ยังแนะนำให้เสริมความแข็งแกร่งของการยืนยันตัวตนด้วยการเปิดใช้งาน MFA, Modern Auth, การใช้ประโยชน์จาก OAuth 2.0, การใช้ Kerberos และ SMB แทน NTLM เพื่อรักษาความปลอดภัยกระบวนการยืนยันตัวตน และการกำหนดค่า Transport Layer Security เพื่อปกป้องความสมบูรณ์ของข้อมูล และ Extended Protection เพื่อป้องกันการโจมตีแบบ Adversary-in-the-Middle (AitM), การโจมตีแบบ relay และ forwarding

องค์กรต่าง ๆ ควรเปิดใช้งาน certificate-based signing สำหรับ Exchange Management Shell และใช้ HTTP Strict Transport Security (HSTS) เพื่อให้มั่นใจว่าการเชื่อมต่อเบราว์เซอร์มีความปลอดภัย นอกจากนี้ องค์กรควรใช้ role-based access control เพื่อจัดการสิทธิ์ของผู้ใช้ และผู้ดูแลระบบ, กำหนดค่า Download Domains เพื่อบล็อกการโจมตีแบบ Cross-Site Request Forgery (CSRF) และเฝ้าระวังความพยายามในการแก้ไข P2 FROM header เพื่อป้องกันการ spoofing sender

คำแนะนำร่วมฉบับนี้ เป็นการต่อยอดจากคำสั่งฉุกเฉิน (ED 25-02) ที่ CISA ออกเมื่อเดือนสิงหาคม 2025 ซึ่งสั่งการให้หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) รักษาความปลอดภัยระบบของตนจากช่องโหว่ระดับความรุนแรงสูงของ Microsoft Exchange แบบ hybrid (CVE-2025-53786) ภายใน 4 วัน

ตามที่ Microsoft เตือนไว้ในขณะนั้น ช่องโหว่นี้ส่งผลกระทบต่อ Microsoft Exchange Server 2016, 2019 และ Subscription Edition โดยเปิดช่องให้ผู้โจมตีที่สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบของ Exchange Server แบบ on-premises สามารถโจมตีต่อไปยังระบบ Cloud ของ Microsoft ได้ ซึ่งอาจนำไปสู่การโจมตีโดเมนทั้งหมด

เพียงไม่กี่วันหลังจากที่ CISA สั่งการให้หน่วยงานรัฐบาลกลางอัปเดตแพตช์เซิร์ฟเวอร์ของตน Shadowserver ซึ่งเป็นองค์กรเฝ้าระวังทางอินเทอร์เน็ต พบว่ายังมีเซิร์ฟเวอร์ Exchange กว่า 29,000 เครื่อง ที่ยังคงเสี่ยงต่อการถูกโจมตีผ่านช่องโหว่ CVE-2025-53786

ในช่วงไม่กี่ปีที่ผ่านมา กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มที่มีแรงจูงใจทางด้านการเงิน ได้ใช้ประโยชน์จากช่องโหว่ความปลอดภัยของ Exchange หลายรายการเพื่อเจาะระบบเซิร์ฟเวอร์ รวมถึงช่องโหว่แบบ zero-day อย่าง ProxyShell และ ProxyLogon ตัวอย่างเช่น ในเดือนมีนาคม 2021 มีกลุ่มแฮ็กเกอร์อย่างน้อย 10 กลุ่มที่ใช้ประโยชน์จากช่องโหว่ ProxyLogon ซึ่งรวมถึงกลุ่ม Silk Typhoon ซึ่งได้รับการสนับสนุนจากรัฐบาลจีน

ที่มา : bleepingcomputer

แพลตฟอร์ม Phishing-as-a-Service (PhaaS) ตัวใหม่ที่ชื่อ “VoidProxy” กำลังมุ่งเป้าการโจมตีไปที่ผู้ใช้บัญชี Microsoft 365 และ Google รวมถึงบัญชีที่ได้รับการป้องกันแบบ Single Sign-On (SSO) จากผู้ให้บริการภายนอกอย่าง Okta

แพลตฟอร์มดังกล่าวใช้วิธีการโจมตีแบบ Adversary-in-the-Middle (AitM) เพื่อขโมยข้อมูล Credentials, Multi-factor authentication (MFA) และ Session Cookies ของเหยื่อ โดยสามารถขโมยได้แบบ real time

VoidProxy ถูกพบโดยนักวิจัยจาก Okta Threat Intelligence ซึ่งระบุว่า แพลตฟอร์มดังกล่าวมีความสามารถในการ Scalable, หลบเลี่ยงการตรวจจับได้ดี และมีความซับซ้อนสูง

การโจมตีจะเริ่มต้นจากอีเมลที่ส่งมาจากบัญชีที่ถูกแฮ็กบนแพลตฟอร์มของผู้ให้บริการส่งอีเมล เช่น Constant Contact, Active Campaign และ NotifyVisitors โดยอีเมลเหล่านี้จะมี Shortened Links ที่จะส่งผู้รับไปยังเว็บไซต์ phishing หลังจากถูกเปลี่ยนเส้นทางหลายครั้ง

เว็บไซต์อันตรายเหล่านี้จะ Host จะอยู่บนโดเมนราคาถูก เช่น .icu, .sbs, .cfd, .xyz, .top และ .home โดยใช้ Cloudflare เพื่อซ่อน IP Address ที่แท้จริงของเซิร์ฟเวอร์ไว้

เมื่อผู้ใช้เข้าสู่เว็บไซต์ จะพบกับ CAPTCHA ของ Cloudflare เพื่อกรองบอทออกไป และช่วยเพิ่มความน่าเชื่อถือ ในขณะเดียวกัน ก็ใช้สภาพแวดล้อมของ Cloudflare Workers เพื่อ filter traffic และโหลดหน้าเว็บต่าง ๆ ที่ใช้ในการโจมตี

โดยเป้าหมายที่ถูกเลือกจะเจอหน้าเว็บที่เลียนแบบหน้าการล็อกอินของ Microsoft หรือ Google ส่วนผู้ใช้งานรายอื่น ๆ จะถูกส่งไปยังหน้าเว็บทั่วไปที่ขึ้นข้อความว่า “Welcome” ซึ่งไม่มีอันตรายใด ๆ

หากมีการกรอกข้อมูล Credentials ลงใน Phishing form, Requests จะถูกส่งผ่าน Proxy ด้วยเทคนิคการโจมตีแบบ AitM ของ VoidProxy ไปยังเซิร์ฟเวอร์ของ Google หรือ Microsoft โดยตรง

สำหรับบัญชีแบบ Federated ที่ใช้ Okta ในการ SSO จะถูกเปลี่ยนเส้นทางไปยังหน้าถัดไปของเว็บ Phishing ซึ่งจะทำเลียนแบบเป็นหน้าขั้นตอน SSO ของ Microsoft 365 หรือ Google ที่ทำงานร่วมกับ Okta โดย Requests เหล่านี้จะถูกส่งผ่าน Proxy ไปยังเซิร์ฟเวอร์ของ Okta

Proxy Server ของบริการนี้จะทำหน้าที่รับ-ส่ง traffic ระหว่างเหยื่อกับ Microsoft หรือ Google ขณะเดียวกันก็จะดักจับข้อมูลชื่อผู้ใช้, รหัสผ่าน, และรหัส MFA ในระหว่างการส่งข้อมูล

เมื่อ Microsoft หรือ Google ออก Session Cookie เพื่อยืนยันการเข้าระบบ, VoidProxy จะดักจับคุกกี้นั้นไว้ และสร้าง Copy ขึ้นมา จากนั้นจะถูกส่งไปให้ผู้โจมตี ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงผ่าน Admin Panel ของแพลตฟอร์มได้

Okta ระบุว่า ผู้ใช้งานที่ลงทะเบียนใช้การยืนยันตัวตนแบบ Phishing-resistant เช่น Okta FastPass จะได้รับการป้องกันจากขั้นตอนการโจมตีของ VoidProxy และจะได้รับการแจ้งเตือนว่าบัญชีของพวกเขากำลังถูกโจมตี

นักวิจัยได้ให้คำแนะนำเพื่อป้องกันการโจมตีในลักษณะนี้ ได้แก่ :

จำกัดการเข้าถึงแอปพลิเคชันที่สำคัญให้ใช้ได้เฉพาะ Managed Devices เท่านั้น
บังคับใช้นโยบาย Risk-based Access Controls
ใช้ IP Session Binding สำหรับ administrative apps
บังคับให้มีการ Re-authentication เมื่อผู้ดูแลระบบพยายามดำเนินการในส่วนที่มีความสำคัญ

ที่มา : bleepingcomputer

นักวิจัยได้ขัดขวางการโจมตีที่เชื่อมโยงกับกลุ่มผู้โจมตี Midnight Blizzard ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย โดยกลุ่มดังกล่าวพยายามเข้าถึงบัญชี และข้อมูลใน Microsoft 365 (more…)

Microsoft ได้ประกาศว่าแอป Microsoft 365 สำหรับ Windows จะเริ่มบล็อกการเข้าถึงไฟล์ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่าที่ไม่ปลอดภัยอย่าง FPRPC (FrontPage Remote Procedure Call) เป็นค่า default ตั้งแต่ช่วงปลายเดือนสิงหาคมนี้เป็นต้นไป

การเปลี่ยนแปลงดังกล่าวมีผลเฉพาะกับแอป Microsoft 365 สำหรับ Windows เท่านั้น และจะไม่มีผลกระทบต่อผู้ใช้งาน Microsoft Teams บนแพลตฟอร์ม Windows, Mac, เว็บ, iOS หรือ Android

Microsoft ระบุในข้อความประกาศใหม่บน Microsoft 365 Admin Center เมื่อวันพุธที่ผ่านมาว่า “แอป Microsoft 365 จะบล็อกโปรโตคอลการเปิดไฟล์ที่ไม่ปลอดภัย เช่น FPRPC เป็นค่า default เริ่มตั้งแต่เวอร์ชัน 2508 เป็นต้นไป พร้อมเพิ่มการตั้งค่าใหม่ใน Trust Center เพื่อจัดการโปรโตคอลเหล่านี้”

“การเปลี่ยนแปลงเหล่านี้ช่วยเพิ่มความปลอดภัยโดยลดความเสี่ยงจากการใช้เทคโนโลยีที่ล้าสมัย เช่น FrontPage Remote Procedure Call (FPRPC), FTP และ HTTP”

เริ่มตั้งแต่เวอร์ชัน 2508 ของแอป Microsoft 365 เป็นต้นไป การเปิดไฟล์โดยใช้โปรโตคอล FPRPC แบบเก่าจะถูกบล็อกเป็นค่า default และจะเปลี่ยนไปใช้โปรโตคอล fallback ที่มีความปลอดภัยมากกว่าแทน การเปลี่ยนแปลงนี้จะเริ่มทยอยเปิดให้ใช้งานโดยทั่วไปในช่วงปลายเดือนสิงหาคม 2025 นี้ และคาดว่าจะมีผลกับผู้เช่าทั้งหมดภายในปลายเดือนกันยายนนี้

การตั้งค่าใหม่ใน Trust Center จะช่วยให้ผู้ใช้สามารถเปิดใช้งาน FPRPC ได้อีกครั้ง เว้นแต่จะถูกควบคุมโดย Group Policy หรือ Cloud Policy Service (CPS) นอกจากนี้ ผู้ใช้ยังสามารถปิดการใช้งานการเปิดไฟล์ผ่าน FTP และ HTTP ได้ แม้ว่าจะยังถูกอนุญาตให้ใช้ได้โดยค่า default

ผู้ดูแลระบบสามารถจัดการการตั้งค่าโปรโตคอลการยืนยันตัวตนได้ผ่านบริการ Cloud Policy Service (CPS) ภายใต้การตั้งค่าของ Microsoft 365 Apps หากโปรโตคอลถูกปิดการใช้งานผ่าน CPS ผู้ใช้จะไม่สามารถเปิดใช้งานได้อีกจาก Trust Center

การเปลี่ยนแปลงครั้งนี้เกิดขึ้นหลังจากประกาศเมื่อเดือนมิถุนายนที่ผ่านมาว่า Microsoft จะเริ่มอัปเดตการตั้งค่าความปลอดภัยเริ่มต้นสำหรับ Microsoft 365 tenants ทั้งหมด เพื่อบล็อกการเข้าถึงไฟล์ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่า เช่น RPS (Relying Party Suite) และ FPRPC (FrontPage Remote Procedure Call) และเพื่อป้องกันผู้ใช้จากการโจมตีแบบ brute-force และ phishing ที่อาศัยช่องโหว่จากวิธีการยืนยันตัวตนที่ล้าสมัยนี้

ตั้งแต่ต้นปีที่ผ่านมา Microsoft ยังได้เริ่มปิดการใช้งาน ActiveX controls ทั้งหมดในแอป Microsoft 365 และ Office 2024 เวอร์ชันสำหรับ Windows และยังได้เปิดเผยว่าในเดือนกรกฎาคมจะเปิดตัวฟีเจอร์ใหม่ใน Teams ที่ออกแบบมาเพื่อบล็อกการจับภาพหน้าจอระหว่างการประชุมอีกด้วย

และเมื่อไม่นานมานี้ Microsoft ยังได้ประกาศว่าจะเพิ่มไฟล์ประเภท .library-ms และ .search-ms เข้าไปในรายการไฟล์แนบที่ถูกบล็อกใน Outlook โดยเริ่มมีผลตั้งแต่เดือนกรกฎาคมที่ผ่านมา

 

ที่มา : bleepingcomputer.

กลุ่มผู้โจมตีได้ใช้บริการ link wrapping จากบริษัทเทคโนโลยีชื่อดัง เพื่อซ่อนลิงก์ที่เป็นอันตรายให้นำไปสู่หน้าเว็บไซต์ phishing ของ Microsoft 365 ซึ่งมีเป้าหมายเพื่อขโมยข้อมูลการล็อกอินของเหยื่อ (more…)

Microsoft ได้ประกาศแผนการที่จะลบไดรเวอร์รุ่นเก่าออกจาก catalog ของ Windows Update เป็นระยะ ๆ เพื่อลดความเสี่ยงด้านความปลอดภัย และความเข้ากันได้ของอุปกรณ์

Microsoft ระบุว่า "เหตุผลเบื้องหลังความคิดริเริ่มนี้ คือเพื่อให้แน่ใจว่ามีชุดไดรเวอร์ที่เหมาะสมที่สุดบน Windows Update ที่สามารถรองรับอุปกรณ์ hardware หลากหลายประเภททั่วทั้ง ecosystem ของ Windows ขณะเดียวกันก็ต้องมั่นใจว่าสถานะความปลอดภัยของ Microsoft Windows จะไม่ถูกลดทอนลงด้วยเช่นกัน"

"ความคิดริเริ่มนี้เกี่ยวข้องกับการ cleanup ไดรเวอร์ออกจาก Windows Update เป็นระยะ ๆ ซึ่งจะส่งผลให้ไดรเวอร์บางรายการจะไม่ถูกเสนอให้ติดตั้งกับอุปกรณ์ใด ๆ ใน ecosystem ของ Windows อีกต่อไป"

ตามที่ Microsoft ได้อธิบายเมื่อวันพฤหัสบดีที่ผ่านมาว่า ขั้นตอนแรกของกระบวนการ cleaning up นี้ จะเริ่มจากไดรเวอร์ที่มีเวอร์ชันใหม่กว่าที่ถูกเผยแพร่อยู่ใน Windows Update อยู่แล้ว

ในบริบทนี้ การ cleanup หมายถึง การทำให้ไดรเวอร์หมดอายุ โดยการลบความเชื่อมโยงของไดรเวอร์กับกลุ่มเป้าหมายใน Windows Update ออก ซึ่งจะทำให้ไดรเวอร์ดังกล่าวไม่ถูกนำเสนอให้ติดตั้งกับระบบ Windows ใด ๆ อีกต่อไป โดยกระบวนการนี้จะดำเนินการผ่านการลบการกำหนดกลุ่มเป้าหมายของไดรเวอร์ที่หมดอายุใน Hardware Development Center

Microsoft จะเริ่มจากการลบไดรเวอร์รุ่นเก่าออกก่อน และจะค่อย ๆ ขยายไปยังหมวดหมู่อื่น ๆ ที่สามารถลบได้เพื่อเพิ่มความปลอดภัย อย่างไรก็ตาม พาร์ทเนอร์ยังสามารถนำไดรเวอร์ที่ถูก Microsoft ลบออกในกระบวนการ clean-up นี้กลับมาเผยแพร่ใหม่ได้ หากพวกเขาสามารถให้เหตุผลทางธุรกิจที่สมเหตุสมผลได้

Microsoft ระบุเพิ่มเติมอีกว่า "การที่ Microsoft นำไดรเวอร์รุ่นเก่าออกจาก Windows Update เป็นมาตรการเชิงรุกเพื่อปกป้องความปลอดภัย และปรับปรุงคุณภาพของไดรเวอร์สำหรับผู้ใช้ Windows"

"จากนี้ไป คาดว่าการ cleanup นี้จะกลายเป็นแนวทางปฏิบัติที่เป็นกิจวัตรประจำ และเตรียมพบกับแนวทางการเผยแพร่ไดรเวอร์รูปแบบใหม่ ที่จะช่วยให้ผู้ใช้ Windows ทุกคนสามารถรักษาระบบของตนให้อยู่ในสถานะที่ปลอดภัย และเชื่อถือได้"

เมื่อเดือนพฤษภาคมที่ผ่านมา Microsoft ยังได้ประกาศการเปลี่ยนแปลงเกี่ยวกับการรับรองไดรเวอร์ในเวอร์ชันทดสอบ (pre-production) ซึ่งเป็นผลมาจากการที่ Certificate Authorities - CAs บางรายกำลังจะหมดอายุในเดือนกรกฎาคมที่จะถึงนี้ รวมถึงการยุติให้บริการ Windows Metadata and Internet Services (WMIS) และ Metadata ของอุปกรณ์

นอกจากนี้ เมื่อต้นสัปดาห์ที่ผ่านมา Microsoft ยังได้เปิดตัวการตั้งค่าความปลอดภัยเริ่มต้นใหม่สำหรับ Windows 365 Cloud PC และจะอัปเดตค่าความปลอดภัยเริ่มต้นสำหรับผู้ใช้ Microsoft 365 ทั้งหมดในเดือนกรกฎาคมที่จะถึงนี้ เพื่อบล็อกการเข้าถึงไฟล์ใน SharePoint, OneDrive และ Office โดยใช้โปรโตคอลการยืนยันตัวตนแบบเก่า (legacy authentication protocols) อีกด้วย

 

ที่มา : bleepingcomputer.

 

Microsoft ประกาศปรับปรุงนโยบายความปลอดภัยใน Outlook Web และ Outlook เวอร์ชันใหม่สำหรับ Windows โดยตั้งแต่เดือนกรกฎาคม 2025 ไฟล์แนบประเภท .library-ms และ .search-ms จะถูกเพิ่มเข้าในรายการ BlockedFileTypes ตามการอัปเดตใน Microsoft 365 Message Center โดยอัตโนมัติ (more…)

กลุ่มแฮ็กเกอร์จากรัสเซีย ใช้ช่องโหว่ OAuth 2.0 authentication เพื่อแฮ็กบัญชี Microsoft 365 ของพนักงานในองค์กรที่เกี่ยวข้องกับยูเครน และองค์กรด้านสิทธิมนุษยชน

ผู้โจมตีแอบอ้างตัวเป็นเจ้าหน้าที่จากประเทศในยุโรป และติดต่อเป้าหมายผ่านแอปส่งข้อความอย่าง WhatsApp และ Signal โดยเป้าหมายคือการโน้มน้าวให้เหยื่อใส่รหัส authorization codes สำหรับ Microsoft หรือทำการคลิกลิงก์อันตราย เพื่อเก็บข้อมูลการล็อกอิน และรหัสผ่านแบบ One-Time Codes

บริษัทด้านความปลอดภัยทางไซเบอร์ Volexity สังเกตเห็นพฤติกรรมนี้ตั้งแต่ช่วงต้นเดือนมีนาคม 2025 หลังจากที่เคยเกิดเหตุการณ์ในลักษณะเดียวกันนี้ในเดือนกุมภาพันธ์ ซึ่งเคยถูกรายงานโดย Volexity และ Microsoft โดยในครั้งนั้นผู้โจมตีใช้เทคนิคฟิชชิงผ่าน Device Code Authentication เพื่อขโมยบัญชี Microsoft 365

Volexity ได้ติดตามกลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีทั้งสองแคมเปญในชื่อ UTA0352 และ UTA0355 และประเมินด้วยความมั่นใจในระดับปานกลางว่าทั้งสองกลุ่มเป็นชาวรัสเซีย

ลำดับการโจมตี

ในรายงานที่เผยแพร่วันที่ 25 เมษายน 2025 นักวิจัยได้อธิบายว่า การโจมตีเริ่มต้นจากการส่งข้อความผ่านแอปพลิเคชัน Signal หรือ WhatsApp

โดย Volexity ระบุว่า ในบางกรณี ข้อความดังกล่าวถูกส่งมาจากบัญชีของรัฐบาลยูเครนที่ถูกโจมตี

โดยผู้โจมตีจะแอบอ้างเป็นเจ้าหน้าที่ทางการเมืองของยุโรป หรือเจ้าหน้าที่การทูตของยูเครน และหลอกเป้าหมายด้วยคำเชิญให้เข้าร่วมการประชุมวิดีโอส่วนตัวเพื่อหารือเกี่ยวกับประเด็นที่เกี่ยวข้องกับยูเครน

เมื่อสามารถสร้างช่องทางการสื่อสารกับเป้าหมายได้แล้ว ผู้โจมตีจะส่ง phishing URL ในรูปแบบ OAuth โดยอ้างว่าเป็นลิงก์ที่จำเป็นสำหรับเข้าร่วมการประชุม

กลุ่ม UTA0352 อาจส่งคำแนะนำในการเข้าร่วมประชุมในรูปแบบไฟล์ PDF พร้อมกับลิงก์อันตรายที่ถูกออกแบบมาให้ใช้สำหรับล็อกอินเข้าสู่ระบบ Microsoft และแอปของ third-party ซึ่งใช้ในขั้นตอน OAuth ของ Microsoft 365

หลังจากเป้าหมายทำการยืนยันตัวตนเรียบร้อยแล้ว นักวิจัยระบุว่า จะมีการเปลี่ยนเส้นทางผู้ใช้ไปยัง Visual Studio Code เวอร์ชันในเบราว์เซอร์ ซึ่งโฮสต์อยู่ที่ insiders.