Phishers Target Office 365 Admins with Fake Admin Alerts

มีแนวโน้มว่าผู้ไม่หวังดีจะเน้นหลอกลวงผู้ดูแลระบบอีเมลขององค์กร

การโจมตีบัญชีอีเมลของผู้ดูแลระบบคือเป้าหมายหลักของแฮกเกอร์ เพราะจะทำให้ได้สิทธิ์ที่สามารถเข้าถึงบัญชีผู้ใช้งานอื่น หรือสร้างบัญชีผู้ใช้งานใหม่ได้ จากรายงานพบว่ามีการสร้างแคมเปญฟิตชิ่งเพื่อหลอกลวงว่าเป็นการแจ้งเตือนจาก Office 365 ไปยังผู้ดูแลระบบในองค์กร โดยเนื้อหาในอีเมลอาจจะมีเนื้อหาที่เร่งให้ผู้ดูแลระบบต้องรับดำเนินการโดยทันที เพื่อให้ผู้ดูแลระบบขาดความระมัดระวังในการตรวจสอบ เช่น ปลอมเป็นอีเมลที่แจ้งว่า Office 365 ขององค์กรหมดอายุ จากนั้นจะเปิดหน้าเว็บไซต์หลอกลวงให้ลงชื่อเข้าใช้งานเพื่อตรวจสอบข้อมูลการชำระเงิน อีกตัวอย่างเป็นการอ้างว่าเป็นการแจ้งเตือนผู้ดูแลระบบว่ามีคนเข้าถึงบัญชีอีเมลของผู้ใช้คนใดคนหนึ่ง และหลอกให้ผู้ดูแลระบบลงชื่อเข้าใช้งานเพื่อตรวจสอบปัญหา

ผู้ดูแลระบบควรตรวจสอบความถูกต้องของ URL ก่อนกรอกข้อมูลเพื่อเข้าสู่ระบบ หากไม่แน่ใจแนะนำให้ทำการพิมพ์ URL เพื่อเข้าสู่ระบบด้วยตนเอง ไม่ควรกดผ่านลิงก์ที่แนบมาในอีเมลแจ้งเตือน

ที่มา:bleepingcomputer

Phishing Attack Pretends to be a Office 365 Non-Delivery Email

แจ้งเตือนผู้ใช้งาน Office 365 พบภัยคุกคามประเภทฟิชชิ่งที่แอบอ้างว่าเป็นระบบแจ้งเตือน non-delivery จาก Office 365 ซึ่งเมื่อผู้ใช้คลิกระบบแจ้งเตือนดังกล้าวจะทำให้เชื่อมต่อไปยังหน้าเว็บที่พยายามขโมยข้อมูลของผู้ใช้ทันทีที่ทำการ login เข้าในหน้า Office 365 ปลอมที่ผู้ไม่ประสงค์ดีได้ทำไว้

ฟิชชิ่งแบบใหม่นี้ได้ถูกค้นพบโดย ISC Handler Xavier Mertens จะมีเนื้อหาอีเมล (Subject) ระบุว่า "Microsoft found Several Undelivered Messages" เพื่อแจ้งให้เหยื่อคลิกที่ลิงก์ "Send Again" เพื่อลองส่งอีเมลอีกครั้ง หากผู้ใช้หลงเชื่อและคลิกที่ลิงก์เพื่อพยายามส่งอีเมลอีกครั้ง จะทำให้เชื่อมต่อไปยังหน้า login ของ Office 365 ที่เป็นหน้าปลอมเพื่อหลอกขโมยข้อมูลจากผู้ใช้งาน Office 365

เมื่อผู้ใช้ป้อนรหัสผ่านฟังก์ชัน JavaScript ที่ชื่อ sendmails() จะทำงาน เพื่อส่งอีเมลและรหัสผ่านที่ป้อนไปยังสคริปต์บน sendx.

Devilishly Clever KnockKnock Attack Tries to Break Into System Email Accounts

แจ้งเตือนการโจมตีระบบ Office 365 รูปแบบใหม่ "KnockKnock" เน้นเงียบแต่ได้ผล

นักวิจัยด้านความปลอดภัยจาก SkyHigh "Sandeep Chandana" ได้ออกมาเผยแพร่ถึงวิธีการโจมตี Office 365 รูปแบบใหม่โดยบ็อตเน็ตที่พึ่งมีการตรวจพบภายใต้ชื่อการโจมตี "KnockKnock" ที่เน้นไปที่การโจมตีระบบที่อยู่ข้างหลังที่มักจะขาดการป้องกันที่เหมาะสม เพื่อนำข้อมูลกลับมาใช้ในการเข้าถึงระบบที่ต้องการโจมตีต่อไป

การโจมตี KnockKnock ถูกตรวจพบในเดือนพฤษภาคม 2017 และยังคงมีการใช้วิธีการนี้ในการโจมตีอยู่ โดยมีแหล่งที่มาของการโจมตีจากกว่า 15 ประเทศทั่วโลก

ลักษณะการโจมตีแบบ KnockKnock มักมีคุณลักษณะพิเศษอยู่ 2 อย่างคือ การโจมตีที่มีกลุ่มเป้าหมายค่อนข้างเล็กโดย SkyHigh ระบุว่ามักจะเป็น 2% ของบัญชีผู่ใช้งานทั้งหมด และการโจมตี KnockKnock นั้นจะไม่ใช่การโจมตีแบบ bruteforce แต่จะเป็นการโจมตีเพื่อคาดเดารหัสผ่านเพียง 3-5 ครั้งต่อบัญชีเพื่อไม่ให้สามารถตรวจจับได้ ซึ่งโดยมากจะเป็นการโจมตีแบบ phishing เป็นส่วนใหญ่ เมื่อโจมตีระบบใดระบบหนึ่งได้แล้ว ผู้โจมตีจึงจะใช้ข้อมูลที่ได้จากการโจมตีไปโจมตีระบบอื่นๆ ต่อ

เป้าหมายของบริการที่ KnockKnock โจมตีนั้นจะมุ่งไปที่ระบบที่มักมีการใช้ร่วมกัน มีการใช้งานอยู่เบื่องหลังองค์กรและมักจะมีการป้องกันที่ไม่ดีพอ อาทิ ระบบสำหรับ provision, ระบบสำหรับจัดการศูนย์ข้อมูล, ระบบจัดการการขาย, JIRA, Jenkin หรือ GitHub เป็นต้น ระบบเหล่านี้นั้นมักจะไม่มีฟังก์ชันอย่าง 2 factor authentication หรือ Single-Sign-On ทำให้การโจมตีเป็นไปได้โดยง่าย

แนะนำให้ผู้ใช้งานและผู้ดูแลระบบเพื่อความระมัดระวังและกวดขันความปลอดภัยในระบบเหล่านี้เพื่อป้องกันการโจมตีในลักษณะดังกล่าว การตอบโต้ที่ง่ายที่สุดในการจัดการกับการโจมตี KnockKnock คือการเปิดใช้งาน 2FA สำหรับบัญชีพนักงานและบัญชีระบบ รวมถึงใช้รหัสผ่านที่ปลอดภัยและควรตั้งรหัสผ่านของแต่ละบัญชีไม่ให้ซ้ำกัน

ที่มา: bleepingcomputer

Ransomware scum target corporate Office 365 users in 0-day campaign

Avanan ผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัยบนคลาวด์ได้ตรวจพบการระดมโจมตีด้วย ransomware ที่ถูกเรียกว่า Cerber ไปยังกลุ่มลูกค้าองค์กรที่ใช้ Office 365 โดยอาศัยช่องโหว่ของซอฟต์แวร์ เมื่อวันที่ 22 มิถุนายนที่ผ่านมา

นอกจากการแจ้งเตือนเป็นป๊อปอัพหรือตัวอักษรแบบทั่วไปแล้ว Cerber ยังแจ้งเตือนผู้ใช้เป็นไฟล์เสียงด้วยว่า ไฟล์ในเครื่องถูกเข้ารหัสเอาไว้ทั้งหมดแล้ว พร้อมเรียกค่าไถ่เพื่อปลดล็อกไฟล์ในเครื่องเป็นจำนวน 1.24 BTC ก่อนที่ทางไมโครซอฟท์จะตรวจพบการโจมตีและบล็อกไฟล์ที่มี ransomware แนบมาด้วย

Avanan คาดว่ามีองค์กรราว 57% ที่ใช้ Office 365 ได้รับไฟล์ที่ฝังมัลแวร์ผ่านทางอีเมล์ขององค์กรอย่างน้อย 1 ไฟล์

ที่มา: theregister