FBI แจ้งเตือนภัยคุกคามจาก Kali365 phishing service ที่มุ่งเป้าไปยังบัญชีของผู้ใช้ Microsoft 365

FBI ออกประกาศแจ้งเตือนเกี่ยวกับแพลตฟอร์ม Phishing-as-a-Service (PhaaS) ที่ชื่อว่า Kali365 ซึ่งถูกนำมาใช้ในการโจมตีเพื่อเข้าควบคุมบัญชีของผู้ใช้ Microsoft 365 โดยการอาศัยช่องโหว่ OAuth device code เพื่อขโมย Session tokens และ Bypass ระบบการยืนยันตัวตนแบบ MFA

FBI ระบุว่า Kali365 ถูกพบครั้งแรกในเดือนเมษายนปี 2026 และถูกเผยแพร่ผ่านช่องทาง Telegram สำหรับอาชญากรทางไซเบอร์ที่กำลังมองหาวิธีที่ง่ายกว่าในการโจมตีเพื่อเข้าควบคุมบัญชี Microsoft 365 โดยไม่ต้องขโมยรหัสผ่าน หรือดักจับ MFA codes

แพลตฟอร์มดังกล่าวใช้วิธี Device code phishing ซึ่งเป็นวิธีการที่ได้รับความนิยมเพิ่มขึ้นเรื่อย ๆ โดยอาศัยการนำระบบ OAuth 2.0 Device Authorization grant flow ของ Microsoft ไปใช้ในการโจมตี เพื่อทำการเข้าถึงบัญชีของผู้ใช้ Microsoft Entra และ Microsoft 365

วิธีการยืนยันตัวตนนี้ถูกสร้างขึ้นมาเพื่อให้อุปกรณ์ที่มีข้อจำกัดในการป้อนข้อมูล เช่น Smart TVs, ระบบในห้องประชุม, อุปกรณ์ Streaming, Printers และอุปกรณ์ IoT สามารถยืนยันตัวตนผ่านอุปกรณ์อื่นได้ โดยใช้ Short code นำไปกรอกที่หน้า Login portal ด้วย device code ของ Microsoft ([http://microsoft[.]com[/]devicelogin)]

เมื่อเดือนกุมภาพันธ์ที่ผ่านมา BleepingComputer ได้รายงานว่ากลุ่มผู้ไม่หวังดี ซึ่งรวมถึงกลุ่มอาชญากรทางไซเบอร์ ShinyHunters ได้มุ่งเป้าการโจมตีไปยังบัญชีของผู้ใช้ Microsoft Entra ผ่านทางช่องโหว่ Device-code และ Voice phishing ไปแล้วเช่นกัน

ในการโจมตีเหล่านี้ ผู้ไม่หวังดีจะเริ่มกระบวนการ Device authorization เพื่อสร้างรหัสขึ้นมา จากนั้นจึงหลอกล่อให้เป้าหมายนำรหัสดังกล่าวไปกรอกในหน้า Login ของ Microsoft ผ่านวิธีการ Phishing และ Social Engineering

เมื่อเหยื่อกรอกรหัส และผ่านการยืนยันตัวตนแบบ MFA เสร็จแล้ว Microsoft จะออก OAuth access token ซึ่งจะทำให้ผู้ไม่หวังดีสามารถเข้าถึงบัญชีของเหยื่อได้อย่างเต็มรูปแบบ โดยที่พวกเขาไม่ต้องผ่านการตรวจสอบ MFA ใด ๆ อีกเลย

ผู้ไม่หวังดีจะสามารถเข้าถึงแอปพลิเคชันทั้งหมดที่ผู้ใช้สามารถเข้าถึงได้ตามปกติผ่านบัญชีแบบ Single-Sign-On ได้อย่างเต็มรูปแบบ ซึ่งรวมถึง Microsoft 365, Salesforce หรือแพลตฟอร์ม Cloud SaaS อื่น ๆ ที่จะถูกนำไปใช้เพื่อขโมยข้อมูลต่อไป

FBI แจ้งเตือนว่า Kali365 ช่วยให้แม้แต่ผู้โจมตีที่มีทักษะระดับต่ำก็สามารถทำ Phishing ขั้นสูงได้ ซึ่งรวมถึง Phishing lures ที่สร้างด้วย AI, Templates สำหรับสร้างแคมเปญแบบอัตโนมัติ, Dashboards สำหรับติดตามเหยื่อแบบ Real-time และฟังก์ชันการดักจับ Token

นักวิจัยด้านความปลอดภัยจาก Arctic Wolf ได้รายงานถึงความเคลื่อนไหวของ Kali365 เมื่อเดือนเมษายนที่ผ่านมา หลังจากพบเห็นแคมเปญการโจมตีเป็นวงกว้างที่มุ่งเป้าไปยังองค์กรต่าง ๆ ทั่วโลก

นักวิจัยระบุว่า แคมเปญดังกล่าวมุ่งเป้าไปที่สภาพแวดล้อมของ Microsoft 365 เป็นหลัก โดยใช้อีเมล Phishing เพื่อให้เหยื่อเข้าไปยังหน้า Login portal ด้วย Device code ของ Microsoft หากเหยื่อได้เผลอกดอนุญาตจะทำให้ผู้โจมตีสามารถเข้าถึงบัญชีของเหยื่อได้โดยที่เหยื่อจะไม่รู้ตัวเลย

นักวิจัยระบุว่า การโจมตีที่เกิดขึ้นส่งผลให้แฮ็กเกอร์สามารถเข้าถึง Mailboxes ของเหยื่อได้ โดยพวกเขาจะสร้าง Inbox rules ซึ่งออกแบบมาเพื่อซ่อนความเคลื่อนไหวของตนเอง

ในการโจมตีบางกรณี ผู้โจมตียังได้ลงทะเบียนอุปกรณ์ใหม่เข้าไปในสภาพแวดล้อม Microsoft ของเหยื่อ ซึ่งช่วยขยายขอบเขตการเข้าถึงเครือข่ายที่ถูกโจมตีให้กว้างยิ่งขึ้น

Arctic Wolf พบว่า Kali365 ดำเนินงานในรูปแบบของธุรกิจ โดยมีผู้ดูแลระบบที่คอยจัดการด้านการพัฒนาผลิตภัณฑ์, ตัวแทนจำหน่ายที่นำบริการไปโปรโมตให้กับผู้ไม่หวังดีกลุ่มอื่น ๆ และเครือข่ายผู้ร่วมดำเนินการที่ทำหน้าที่ลงมือโจมตีด้วย Phishing

นักวิจัยระบุว่าแพลตฟอร์มนี้มีโหมดการโจมตีแยกกัน 2 โหมด โดยโหมดแรกคือ Device code phishing และโหมดที่สองคือ Adversary-in-the-Middle (AitM) ที่มีชื่อว่า "Cookie Link"

Cookie Link จะทำหน้าที่เป็น Proxy เชื่อมต่อเหยื่อผ่านโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตี ซึ่งจะดักจับ Browser sessions ที่ผ่านการยืนยันตัวตนแล้ว, Session cookies และ Tokens หลังจากที่เป้าหมายทำการล็อกอิน และผ่านการตรวจสอบ MFA เสร็จสิ้น

FBI แนะนำให้บริษัทต่าง ๆ จำกัด หรือบล็อกกระบวนการยืนยันตัวตนด้วย Device code โดยผ่านการใช้ Policy การเข้าถึงแบบมีเงื่อนไขในกรณีที่สามารถทำได้ พร้อมทั้งตรวจสอบการใช้งาน Device code ที่มีอยู่ในปัจจุบัน และบล็อก Policy การถ่ายโอนการยืนยันตัวตนที่อนุญาตให้ Authentication sessions สามารถย้ายข้ามไปมาระหว่างอุปกรณ์ได้

นอกจากนี้ หน่วยงานยังเรียกร้องให้องค์กรที่ได้รับผลกระทบรายงานเหตุการณ์ที่เกิดขึ้นไปยังศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (Internet Crime Complaint Center) และเก็บรักษาอีเมล Phishing, ข้อมูลการล็อกอินที่น่าสงสัย รวมถึงการลงทะเบียนอุปกรณ์ที่ไม่ได้รับอนุญาตเอาไว้เป็นหลักฐาน

Device code phishing ถูกนำมาใช้ในการโจมตีอย่างแพร่หลายมากขึ้นในปี 2026 โดยมีกลุ่มผู้ไม่หวังดีและแพลตฟอร์มอื่น ๆ นำวิธีนี้ไปใช้เป็นส่วนหนึ่งในแคมเปญ และการโจมตีด้วย Phishing ของตนเองแล้ว

เทคนิคดังกล่าวยังถูกนำไปใช้โดยแพลตฟอร์ม PhaaS อย่าง EvilTokens และ Tycoon2FA ที่กำลังใช้วิธีการดังกล่าวในการโจมตีเพื่อเข้าควบคุมบัญชีของผู้ใช้ Microsoft 365 และ Entra เช่นเดียวกัน

ที่มา : bleepingcomputer

ชุดเครื่องมือ Sneaky2FA (PhaaS) นำเทคนิคการโจมตีแบบ Browser-in-the-Browser ของ Red Team มาใช้

ชุดเครื่องมือ Phishing-as-a-Service (PhaaS) ที่ชื่อว่า Sneaky2FA ได้เพิ่มขีดความสามารถแบบ Browser-in-the-Browser (BitB) เข้ามา ซึ่งถูกนำมาใช้ในการโจมตีเพื่อขโมยข้อมูล Credentials ของ Microsoft และ session ที่กำลังใช้งานอยู่

(more…)

แพลตฟอร์ม Phishing-as-a-Service ‘Quantum Route Redirect’ มุ่งเป้าการโจมตีไปที่ผู้ใช้ Microsoft 365 ทั่วโลก

แพลตฟอร์ม Phishing-as-a-Service (PhaaS) ตัวใหม่ชื่อ Quantum Route Redirect กำลังใช้โดเมนจำนวนกว่า 1,000 โดเมนเพื่อขโมยข้อมูล credentials ของผู้ใช้ Microsoft 365

(more…)

กลุ่ม Phishing-as-a-service ใช้ DNS-over-HTTPS เพื่อหลีกเลี่ยงการตรวจจับ

นักวิจัยพบกลุ่ม phishing-as-a-service (PhaaS) ชื่อว่า Morphing Meerkat ได้ใช้ protocol DNS over HTTPS (DoH) เพื่อหลีกเลี่ยงการตรวจจับ

รวมถึงยังพบการใช้ประโยชน์จาก DNS email exchange (MX) records เพื่อระบุผู้ให้บริการอีเมลของเหยื่อ และเพื่อให้บริการหน้าเข้าสู่ระบบปลอมแบบไดนามิกสำหรับแบรนด์ต่าง ๆ มากกว่า 114 แบรนด์

Morphing Meerkat ได้เริ่มทำการโจมตีมาตั้งแต่ปี 2020 เป็นอย่างน้อย ซึ่งนักวิจัยด้านความปลอดภัยจาก Infoblox เป็นผู้ค้นพบกลุ่มดังกล่าว แม้ว่าจะมีการบันทึกการดำเนินการของกลุ่มนี้ไว้บางส่วนแล้ว แต่ส่วนใหญ่ก็ไม่ค่อยมีการตรวจพบมานานหลายปี

แคมเปญ Phishing ขนาดใหญ่

Morphing Meerkat คือ PhaaS platform ที่มีชุดเครื่องมือสำหรับการโจมตี phishing ที่มีประสิทธิภาพ ปรับรูปแบบได้ และหลบเลี่ยงการตรวจจับได้ โดยไม่จำเป็นต้องมีความรู้ทางเทคนิคในการโจมตีขั้นสูงก็สามารถใช้งานได้

ตัวระบบมี SMTP infrastructure แบบรวมศูนย์เพื่อแพร่กระจาย spam อีเมล โดยอีเมลที่ติดตามได้ 50% มีต้นทางมาจากบริการอินเทอร์เน็ตที่ให้บริการโดย iomart (สหราชอาณาจักร) และ HostPapa (สหรัฐอเมริกา)

แคมเปญ Phishing นี้สามารถปลอมแปลงเป็นผู้ให้บริการอีเมล และบริการอื่น ๆ มากกว่า 114 ราย รวมถึง Gmail, Outlook, Yahoo, DHL, Maersk และ RakBank โดยส่งข้อความที่มี subject ที่ได้รับการออกแบบมาเพื่อกระตุ้นให้ผู้รับดำเนินการอย่างเร่งด่วน เช่น “ต้องดำเนินการ: ปิดใช้งานบัญชี” โดยอีเมลจะถูกส่งในหลายภาษา รวมถึงภาษาอังกฤษ สเปน รัสเซีย และแม้แต่จีน และสามารถปลอมแปลงชื่อและที่อยู่ของผู้ส่งได้

หากเหยื่อคลิกลิงก์ที่เป็นอันตรายในข้อความ ก็จะเข้าสู่กระบวนการโจมตีแบบ open redirect exploits บนแพลตฟอร์มเทคโนโลยีโฆษณา เช่น Google DoubleClick ซึ่งหลายครั้งจะมาจาก WordPress sites ที่ถูกโจมตี โดเมนปลอม และบริการโฮสติ้งฟรี

เมื่อเหยื่อไปถึงเว็บไซต์ปลายทางแล้ว เครื่องมือ phishing จะโหลด และตรวจสอบ MX record ของโดเมนอีเมลของเหยื่อโดยใช้ DoH ผ่านทาง Google หรือ Cloudflare และต่อมาก็จะโหลดหน้าล็อกอินปลอมโดยกรอกอีเมลของเหยื่อโดยอัตโนมัติ

เมื่อเหยื่อกรอกข้อมูล credentials แล้ว ข้อมูลดังกล่าวจะถูกส่งต่อไปยัง Hacker ผ่าน AJAX requests ไปยังเซิร์ฟเวอร์ภายนอก และ PHP scripts ที่โฮสต์บนหน้าฟิชชิ่ง นอกจากนี้ยังสามารถส่งต่อแบบ Real-time โดยใช้ Telegram bot webhooks ได้อีกด้วย

เมื่อทำการกรอกข้อมูลเป็นครั้งแรก จะมีข้อความแจ้งข้อผิดพลาดว่า “รหัสผ่านไม่ถูกต้อง กรุณากรอกอีเมล รหัสผ่านที่ถูกต้อง” เพื่อให้เหยื่อกรอกรหัสผ่านใหม่อีกครั้ง เพื่อให้แน่ใจว่าข้อมูลถูกต้อง เมื่อเหยื่อทำเช่นนั้นแล้ว จะถูกส่งต่อไปยังหน้าการยืนยันตัวตนที่ถูกต้องเพื่อลดความน่าสงสัย

DoH และ DNS MX

การใช้ DoH และ DNS MX ทำให้ Morphing Meerkat โดดเด่นจากเครื่องมืออื่น ๆ ที่คล้ายกัน เนื่องจากเป็นเทคนิคขั้นสูงที่ช่วยในด้านการโจมตีได้เป็นอย่างดี

DNS over HTTPS (DoH) เป็นโปรโตคอลที่ดำเนินการ DNS resolution โดยใช้ HTTPS requests ที่เข้ารหัส แทน DNS queries ที่ใช้ UDP แบบ plaintext ดั้งเดิม

MX (Mail Exchange) record เป็น type หนึ่งของ DNS record ที่แจ้งให้อินเทอร์เน็ตทราบว่าเซิร์ฟเวอร์ใดจัดการอีเมลสำหรับโดเมนที่กำหนด

เมื่อเหยื่อคลิกลิงก์ใน phishing เครื่องมือ phishing kit จะถูกโหลดลงในเบราว์เซอร์ และส่ง DNS request ไปยัง Google หรือ Cloudflare เพื่อค้นหา MX records ของ domain อีเมลของพวกเขา วิธีการดังกล่าวช่วยหลีกเลี่ยงการตรวจจับได้ เนื่องจาก query เกิดขึ้นในฝั่งไคลเอนต์ และการใช้ DoH จะช่วยหลีกเลี่ยงจากการตรวจสอบ DNS

เมื่อระบุผู้ให้บริการอีเมลจาก MX record แล้ว phishing kit จะสามารถส่งแคมเปญ Phishing ที่ตรงกันให้กับเหยื่อได้

Infoblox เสริมว่า แนวทางป้องกันที่แนะนำในการรับมือกับ Phishing ประเภทนี้ก็คือ "การใช้ DNS control ที่เข้มงวดยิ่งขึ้น เพื่อไม่ให้ผู้ใช้สามารถเชื่อมต่อกับ DoH servers หรือการบล็อกการเข้าถึงของผู้ใช้ใน adtech หรือ file sharing infrastructure ที่ไม่สำคัญต่อธุรกิจ"

 

ที่มา : bleepingcomputer.

แคมเปญ ONNX Store phishing มุ่งเป้าการโจมตีไปยังบัญชี Microsoft 365 ของบริษัททางด้านการเงิน

 

พบแคมเปญ phishing-as-a-service (PhaaS) platform ใหม่ในชื่อ ONNX Store ได้กำหนดเป้าหมายการโจมตีไปยังบัญชี Microsoft 365 สำหรับพนักงานในบริษัททางด้านการเงิน โดยใช้ QR code ในไฟล์แนบ PDF (more…)

พบกลุ่ม Hacker ในชื่อ ‘Greatness’ มุ่งเป้าหมายการโจมตี Phishing ไปยัง Microsoft 365 [EndUser]

นักวิจัยจาก Cisco Talos เปิดเผยการค้นพบกลุ่ม Hacker Phishing-as-a-Service (PhaaS) ในชื่อ 'Greatness' ที่พบการโจมตีเป็นจำนวนมากไปยังองค์กรเป้าหมายที่ใช้ Microsoft 365 ในสหรัฐอเมริกา แคนาดา สหราชอาณาจักร ออสเตรเลีย และแอฟริกาใต้ (more…)