อาชญากรไซเบอร์กำลังโปรโมตแอป Microsoft OAuth ที่เป็นอันตราย โดยปลอมตัวเป็นแอปของ Adobe และ DocuSign เพื่อติดตั้งมัลแวร์ และขโมยข้อมูล credentials ของบัญชี Microsoft 365

แคมเปญเหล่านี้ถูกพบโดยนักวิจัยจาก Proofpoint ซึ่งโพสต์ผ่านบน X โดยระบุว่า การโจมตีนี้เป็น "highly targeted" อย่างชัดเจน

แอป OAuth ที่เป็นอันตรายในแคมเปญนี้จะปลอมตัวเป็น Adobe Drive, Adobe Drive X, Adobe Acrobat และ DocuSign

แอปเหล่านี้จะขอการเข้าถึงสิทธิ์แบบ less sensitive permissions เช่น profile, email และ openid เพื่อหลีกเลี่ยงการถูกตรวจจับ และสร้างความสงสัย

หากได้รับอนุญาตให้เข้าถึงสิทธิ์เหล่านี้ ผู้โจมตีจะสามารถเข้าถึงข้อมูลต่อไปนี้

Profile : ชื่อ-นามสกุล, User ID, รูปโปรไฟล์, Username
Email : Email address หลัก (แต่ไม่สามารถเข้าถึงกล่องจดหมายได้)
Openid : ช่วยให้สามารถยืนยันตัวตนของผู้ใช้ และดึงข้อมูลรายละเอียดบัญชี Microsoft ได้

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า แคมเปญฟิชชิ่งเหล่านี้ถูกส่งจากองค์กรการกุศล หรือบริษัทขนาดเล็กที่ถูกโจมตีบัญชีอีเมล ซึ่งน่าจะเป็นบัญชี Office 365

อีเมลฟิชชิ่งเหล่านี้มุ่งเป้าไปยังหลายอุตสาหกรรมในสหรัฐอเมริกา และยุโรป รวมไปถึง government, healthcare, supply chain และ retail โดยอีเมลบางฉบับที่ Proofpoint พบ มีการใช้เทคนิคหลอกล่อผู้ใช้งาน เช่น RFPs และ สัญญาทางธุรกิจ เพื่อหลอกให้ผู้รับคลิกลิงก์

แม้ว่าสิทธิ์ที่ได้รับจากแอป Microsoft OAuth จะให้ข้อมูลกับผู้โจมตีเพียงบางส่วน แต่ข้อมูลดังกล่าวก็สามารถนำไปใช้ในการโจมตีแบบ targeted attacks ได้

นอกจากนี้ เมื่อผู้ใช้ให้สิทธิ์แอป OAuth แล้ว ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Landing Page ซึ่งอาจแสดงแบบฟอร์มฟิชชิ่งเพื่อขโมย Microsoft 365 credentials หรือแพร่กระจายมัลแวร์

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า "เหยื่อจะถูก redirect หลายครั้ง และหลายขั้นตอนหลังจากการอนุญาตแอป O365 OAuth ก่อนที่จะถูกนำไปยังการติดมัลแวร์ หรือหน้าเว็บฟิชชิ่งที่อยู่เบื้องหลัง"

ในบางกรณี เหยื่อถูกเปลี่ยนเส้นทางไปยังหน้า "O365 login" ปลอม ซึ่งโฮสต์อยู่บนโดเมนที่เป็นอันตราย และภายในเวลาไม่ถึงนาทีหลังจากการอนุญาตแอป OAuth ทาง Proofpoint พบว่าจะมีการ Login เข้าสู่ระบบที่น่าสงสัยในบัญชีของเหยื่อ

Proofpoint ระบุว่า ไม่สามารถระบุได้ว่ามัลแวร์ที่ถูกแพร่กระจายเป็นมัลแวร์แบบใด แต่พบว่าผู้โจมตีใช้เทคนิค ClickFix ซึ่งเป็นเทคนิคหนึ่งในการโจมตีแบบ Social Engineering ที่ได้รับความนิยมอย่างมากในช่วงปีที่ผ่านมา

การโจมตีเหล่านี้คล้ายกับเหตุการณ์ที่เคยถูกรายงานเมื่อหลายปีก่อน แสดงให้เห็นว่าแอป OAuth ยังคงเป็นวิธีที่มีประสิทธิภาพในการเข้าควบคุมบัญชี Microsoft 365 โดยไม่ต้องขโมยข้อมูล credentials

ขอแนะนำให้ผู้ใช้งานระมัดระวัง permission requests จากแอป OAuth และตรวจสอบแหล่งที่มา รวมถึงความน่าเชื่อถือของแอปก่อนที่จะอนุมัติการให้สิทธิ์

หากต้องการตรวจสอบการอนุมัติที่มีอยู่แล้ว ให้ไปที่ 'My Apps' (myapplications.

Microsoft ออก Patch Tuesday ประจำเดือนมีนาคม 2025 โดยแก้ไขช่องโหว่ 57 รายการ ซึ่งรวมถึงช่องโหว่ Zero-days 7 รายการ โดยมีช่องโหว่ Zero-days 6 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน (more…)

Microsoft รายงานการพบกลุ่ม Hacker จากเกาหลีเหนือในชื่อ Moonstone Sleet ได้นำเพย์โหลดของ Qilin ransomware ไปใช้ในการโจมตีเป้าหมายอย่างต่อเนื่อง (more…)

Microsoft ได้ลบ extensions ของ Visual Studio Code (VS Code) ที่มีการใช้งานอย่างแพร่หลาย 2 รายการ ได้แก่ “Material Theme Free” และ “Material Theme Icons Free” ออกจาก Marketplace หลังจากนักวิจัยด้านความปลอดภัยทางไซเบอร์พบว่ามีโค้ดอันตรายฝังอยู่ภายใน (more…)

Microsoft ระบุว่าได้ค้นพบเวอร์ชันใหม่ของมัลแวร์บน macOS ที่รู้จักกันในชื่อ XCSSET ซึ่งยังไม่พบว่าถูกนำไปใช้โจมตีในวงกว้าง (more…)

Microsoft แจ้งเตือนผู้ดูแลระบบว่า Exchange 2016 และ Exchange 2019 จะสิ้นสุดการสนับสนุนที่มีการขยายเวลาออกมาในเดือนตุลาคม 2025 นี้ และแบ่งปันคำแนะนำสำหรับผู้ที่ต้องการเลิกใช้ Exchange Servers (more…)

Microsoft ได้เผยแพร่วิธีแก้ไขปัญหาชั่วคราวสำหรับผู้ใช้งานที่ได้รับผลกระทบจากปัญหาที่ถูกบล็อกการอัปเดตความปลอดภัยของ Windows บนระบบ Windows 11 24H2 บางเครื่อง (more…)

แคมเปญการโจมตีจากผู้โจมตีที่มีความเชื่อมโยงกับประเทศรัสเซีย กำลังมุ่งเป้าไปที่บัญชี Microsoft 365 ของบุคคลในองค์กรที่เป็นเป้าหมาย โดยใช้เทคนิคการฟิชชิ่งผ่านรหัสอุปกรณ์

เป้าหมายของการโจมตีอยู่ในภาคส่วนรัฐบาล, องค์กรไม่แสวงหากำไร, บริการด้านไอที และเทคโนโลยี, กระทรวงกลาโหม, โทรคมนาคม, สุขภาพ และพลังงาน/น้ำมัน และก๊าซ ในยุโรป อเมริกาเหนือ แอฟริกา และตะวันออกกลาง

Microsoft Threat Intelligence Center กำลังติดตามกลุ่มผู้โจมตีที่อยู่เบื้องหลังแคมเปญการโจมตีผ่านรหัสอุปกรณ์ภายใต้ชื่อ 'Storm-237' โดยอ้างอิงจากเป้าหมาย วิธีการโจมตี และแนวทางของกลุ่ม นักวิจัยมีความมั่นใจในระดับปานกลางว่าการดำเนินการนี้เกี่ยวข้องกับปฏิบัติการของรัฐที่สอดคล้องกับผลประโยชน์ของรัสเซีย

การโจมตีฟิชชิ่งผ่านรหัสอุปกรณ์

อุปกรณ์ที่จำกัดอินพุต - อุปกรณ์ที่ไม่รองรับแป้นพิมพ์ หรือเบราว์เซอร์ เช่น สมาร์ททีวี และอุปกรณ์ IoT บางประเภท จะต้องอาศัยการตรวจสอบสิทธิ์ด้วยรหัสเพื่อให้ผู้ใช้งานลงชื่อเข้าใช้แอปพลิเคชันได้โดยการพิมพ์รหัสอนุญาตบนอุปกรณ์แยกต่างหาก เช่น สมาร์ทโฟน หรือคอมพิวเตอร์

นักวิจัยของ Microsoft ค้นพบว่า ตั้งแต่เดือนสิงหาคมปีที่แล้ว กลุ่มผู้โจมตี Storm-2372 ได้ใช้ช่องทางการยืนยันตัวตนนี้ในการโจมตี โดยหลอกให้เหยื่อกรอกรหัสอุปกรณ์ที่สร้างขึ้นโดยผู้โจมตีลงในหน้าลงชื่อเข้าใช้ที่ถูกต้อง

กลุ่มผู้โจมตีจะเริ่มต้นการโจมตีโดยสร้างการเชื่อมต่อกับเป้าหมายผ่านแพลตฟอร์มการส่งข้อความ เช่น WhatsApp, Signal และ Microsoft Teams โดยแอบอ้างเป็นบุคคลสำคัญที่เกี่ยวข้องกับเป้าหมาย

ผู้โจมตีจะค่อย ๆ สร้างความน่าเชื่อถือ ก่อนที่จะส่ง Link ประชุมออนไลน์ปลอมผ่านอีเมลหรือข้อความ

ตามที่นักวิจัยระบุ เหยื่อจะได้รับคำเชิญเข้าร่วมประชุมผ่าน Microsoft Teams ซึ่งภายในมีรหัสอุปกรณ์ที่สร้างขึ้นโดยผู้โจมตี

Microsoft ระบุว่า "คำเชิญเหล่านี้หลอกให้เหยื่อดำเนินการยืนยันตัวตนผ่านรหัสอุปกรณ์ โดยเลียนแบบบริการส่งข้อความ ซึ่งช่วยให้กลุ่ม Storm-2372 สามารถเข้าถึงบัญชีของเหยื่อในเบื้องต้น และดำเนินการรวบรวมข้อมูลผ่าน Graph API เช่น การดึงข้อมูลอีเมล"

วิธีนี้ช่วยให้ผู้โจมตีสามารถเข้าถึงบริการของ Microsoft เช่น อีเมล และพื้นที่จัดเก็บข้อมูลบนคลาวด์ของเหยื่อได้ โดยไม่ต้องใช้รหัสผ่าน ตราบใดที่โทเค็นที่ถูกขโมยมายังคงมีผลใช้งานอยู่

อย่างไรก็ตาม Microsoft ระบุว่า ขณะนี้ผู้โจมตีกำลังใช้ Client ID เฉพาะของ Microsoft Authentication Broker ในกระบวนการลงชื่อเข้าใช้ด้วยรหัสอุปกรณ์ ซึ่งจะช่วยให้พวกเขาสามารถสร้างโทเค็นใหม่ได้

วิธีการนี้เปิดโอกาสให้เกิดการโจมตีรูปแบบใหม่ และการแฝงตัวอยู่ในระบบ เนื่องจากผู้โจมตีสามารถใช้ Client ID ดังกล่าวเพื่อลงทะเบียนอุปกรณ์กับ Entra ID ซึ่งเป็นโซลูชันจัดการตัวตน และการเข้าถึงบนคลาวด์ของ Microsoft

Microsoft ระบุว่า "เมื่อมีโทเค็นเดียวกัน และอุปกรณ์ที่ลงทะเบียนใหม่ Storm-2372 สามารถขอรับ Primary Refresh Token (PRT) และเข้าถึงทรัพยากรขององค์กรได้ โดยพบว่า Storm-2372 ใช้อุปกรณ์ที่เชื่อมต่อนี้ในการรวบรวมอีเมลของเหยื่อ"

การป้องกันภัยคุกคามจาก Storm-2372

เพื่อป้องกันการโจมตีฟิชชิ่งด้วยรหัสอุปกรณ์ที่ใช้โดย Storm-2372 Microsoft เสนอให้ปิดใช้งานการลงชื่อเข้าใช้ด้วยรหัสอุปกรณ์หากทำได้ และบังคับใช้นโยบายการเข้าถึงใน Microsoft Entra ID เพื่อจำกัดการใช้งานเฉพาะกับอุปกรณ์ หรือเครือข่ายที่เชื่อถือได้เท่านั้น

หากสงสัยว่ามีการฟิชชิ่งโดยใช้รหัสอุปกรณ์ ให้ revoke โทเค็นของผู้ใช้ทันทีโดยใช้ 'revokeSignInSessions' และกำหนดนโยบายการเข้าถึงเพื่อบังคับให้มีการตรวจสอบสิทธิ์ใหม่อีกครั้งสำหรับผู้ใช้งานที่อาจจะถูกโจมตี

สุดท้ายนี้ ควรใช้ sign-in logs ของ Microsoft Entra ID เพื่อตรวจสอบ และระบุความพยายามในการยืนยันตัวตนจำนวนมากในช่วงเวลาสั้น ๆ , การเข้าสู่ระบบด้วยรหัสอุปกรณ์จาก IP ที่ไม่รู้จัก และการแจ้งเตือนที่ผิดปกติสำหรับการยืนยันตัวตนด้วยรหัสอุปกรณ์ที่ส่งไปยังผู้ใช้หลายราย

ที่มา : bleepingcomputer.

Microsoft ออก Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025 โดยแก้ไขช่องโหว่ 55 รายการ ซึ่งรวมถึงช่องโหว่ Zero-days 4 รายการ โดยมีช่องโหว่ Zero-days 2 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตี
Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 3 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution ทั้งหมด (more…)

Microsoft ได้ปล่อยสคริปต์ PowerShell เพื่อช่วยให้ผู้ใช้งาน Windows และผู้ดูแลระบบอัปเดต bootable media ให้ใช้ certificate ใหม่ชื่อ "Windows UEFI CA 2023" ก่อนที่มาตรการป้องกัน BlackLotus UEFI bootkit จะมีผลบังคับใช้ภายในปลายปีนี้ (more…)