กลุ่มผู้โจมตีกำลังมุ่งเป้าไปที่องค์กรในกลุ่มเทคโนโลยี, การผลิต และการเงิน ด้วยแคมเปญที่ผสมผสานระหว่าง Device Code Phishing และ voice phishing (Vishing) เพื่อใช้ประโยชน์จากขั้นตอนการอนุญาตอุปกรณ์ OAuth 2.0 เพื่อเข้ายึดครองบัญชี Microsoft Entra

โดยแตกต่างจากการโจมตีครั้งก่อน ๆ ที่ใช้แอปพลิเคชัน OAuth ที่เป็นอันตรายเพื่อยึดบัญชี การโจมตีครั้งนี้มีการใช้ Client ID ของ Microsoft OAuth ที่ถูกต้องร่วมกับขั้นตอนการอนุญาตอุปกรณ์เพื่อหลอกล่อเหยื่อให้ยืนยันตัวตน

วิธีการนี้ช่วยให้ผู้โจมตีได้รับโทเค็นการยืนยันตัวตน ซึ่งสามารถใช้เข้าถึงบัญชีของเหยื่อได้โดยตรง โดยไม่ต้องพึ่งพาหน้าเว็บไซต์ฟิชชิงทั่วไปที่ใช้ขโมยรหัสผ่าน หรือการดักจับรหัส Multi-factor Authentication (MFA)

แหล่งข่าวรายหนึ่งระบุว่า กลุ่ม ShinyHunters อยู่เบื้องหลังการโจมตีแบบ Device Code Vishing ครั้งใหม่นี้ ซึ่งต่อมาทางกลุ่มผู้โจมตีก็ได้ออกมายืนยันด้วยตนเอง อย่างไรก็ตาม ยังไม่สามารถตรวจสอบข้อเท็จจริงนี้ได้อย่างสมบูรณ์

เมื่อไม่นานมานี้กลุ่ม ShinyHunters ถูกเชื่อมโยงกับการโจมตีแบบ vishing ที่ใช้ในการโจมตีบัญชี Okta และ Microsoft Entra SSO เพื่อขโมยข้อมูล

การโจมตีด้วยเทคนิค Device Code Social Engineering

เว็บไซต์ BleepingComputer ได้รับข้อมูลจากหลายแหล่งว่า กลุ่มผู้โจมตีได้เริ่มใช้การโจมตีแบบ vishing ซึ่งไม่จำเป็นต้องอาศัยโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมอยู่ แต่หันไปใช้ประโยชน์จากหน้าล็อกอินที่ถูกต้องของ Microsoft และขั้นตอนการยืนยันตัวตนด้วย Device Code แบบมาตรฐานเพื่อโจมตีเข้าไปในบัญชีขององค์กร

การโจมตีแบบ Device Code Phishing คือการใช้ช่องโหว่ของกระบวนการให้สิทธิ์การเข้าถึงอุปกรณ์ OAuth 2.0 ที่ถูกต้อง เพื่อขอรับโทเค็นการยืนยันตัวตนสำหรับบัญชี Microsoft Entra ของเหยื่อ

จากนั้นสามารถใช้ข้อมูลนี้เพื่อเข้าถึงทรัพยากรของผู้ใช้ และแอปพลิเคชัน SSO ที่เชื่อมต่ออยู่ เช่น Microsoft 365, Salesforce, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian และบริการอื่น ๆ

กระบวนการขอสิทธิ์นี้ถูกออกแบบมาเพื่อให้การเชื่อมต่ออุปกรณ์ที่ไม่มีตัวเลือกการป้อนข้อมูลที่เข้าถึงได้ง่าย เช่น อุปกรณ์ IoT, เครื่องพิมพ์, อุปกรณ์สตรีมมิง และสมาร์ททีวี

Microsoft ระบุว่า แพลตฟอร์มการระบุตัวตนของ Microsoft รองรับการให้สิทธิ์การเข้าถึงอุปกรณ์ ซึ่งช่วยให้ผู้ใช้สามารถลงชื่อเข้าใช้บนอุปกรณ์ที่มีข้อจำกัดด้านการป้อนข้อมูล เช่น สมาร์ททีวี อุปกรณ์ IoT หรือเครื่องพิมพ์

ในการใช้งานขั้นตอนนี้ อุปกรณ์จะให้ผู้ใช้เข้าไปยังหน้าเว็บผ่านเบราว์เซอร์บนอุปกรณ์เครื่องอื่นเพื่อลงชื่อเข้าใช้ และเมื่อผู้ใช้ลงชื่อเข้าใช้เรียบร้อยแล้ว อุปกรณ์ดังกล่าวก็จะสามารถรับ access tokens และ Refresh tokens ได้ตามต้องการ

ขั้นตอนการยืนยันตัวตนนี้คล้ายกับเวลาลงชื่อเข้าใช้บริการสตรีมมิง เช่น Netflix หรือ Apple TV ที่ตัวอุปกรณ์สตรีมมิงจะแสดงรหัสสั้น ๆ และแนะนำให้เข้าไปยังเว็บไซต์ผ่านโทรศัพท์ หรือคอมพิวเตอร์เพื่อทำการลงชื่อเข้าใช้ให้เสร็จสมบูรณ์

หลังจากที่ป้อนรหัส และยืนยันตัวตนแล้ว อุปกรณ์จะเชื่อมโยงกับบัญชีโดยอัตโนมัติ โดยไม่ต้องจัดการรหัสผ่านโดยตรง

ในการโจมตีแบบ Device-code Phishing นั้น กลุ่มผู้โจมตีจำเป็นต้องมี client_id ของแอปพลิเคชัน OAuth ที่มีอยู่แล้วก่อน ซึ่งอาจจะเป็นแอปที่สร้างขึ้นเอง หรือเป็นหนึ่งในแอปของ Microsoft ก็ได้

ผู้โจมตีใช้เครื่องมือโอเพนซอร์ส เพื่อสร้าง device_code และ user_code ซึ่งจะถูกส่งต่อไปยังเป้าหมายสำหรับแอป OAuth ที่ระบุไว้

จากนั้นผู้โจมตีจะติดต่อพนักงานที่เป็นเป้าหมาย และพยายามโน้มน้าวให้พวกเขากรอกรหัสผู้ใช้ที่สร้างขึ้นในหน้าการยืนยันตัวตนอุปกรณ์ของ Microsoft ที่ microsoft.

บริษัท นิสสัน มอเตอร์ จำกัด (Nissan) ยืนยันว่าข้อมูลของลูกค้าหลายพันรายได้รับผลกระทบ หลังจากเกิดเหตุการณ์ข้อมูลรั่วไหลที่ Red Hat เมื่อเดือนกันยายนที่ผ่านมา

ผู้ผลิตรถยนต์สัญชาติญี่ปุ่นรายนี้ ซึ่งมีสำนักงานใหญ่อยู่ที่เมืองโยโกฮาม่า ประเทศญี่ปุ่น มีกำลังการผลิตรถยนต์มากกว่า 3.2 ล้านคันต่อปี บริษัทมีพนักงานรวม 120,000 คน และมีฐานธุรกิจที่แข็งแกร่งทั้งในญี่ปุ่น, อเมริกาเหนือ, ยุโรป และเอเชีย (more…)

Checkout.com บริษัทเทคโนโลยีด้านการเงินจากสหราชอาณาจักรประกาศว่า กลุ่มผู้โจมตีที่ชื่อ ShinyHunters ได้โจมตีระบบจัดเก็บข้อมูลบนคลาวด์เวอร์ชันเก่าของบริษัท และกำลังข่มขู่เพื่อเรียกค่าไถ่อยู่ในขณะนี้ (more…)

กลุ่ม ShinyHunters ได้เปิดตัวเว็บไซต์ Salesforce Data Leak เพื่อเรียกค่าไถ่บริษัทที่ได้รับผลกระทบจากการโจมตี Salesforce กว่า 39 ราย โดยเว็บไซต์ดังกล่าวได้เผยแพร่ตัวอย่างข้อมูลที่ขโมยมาจาก Salesforce instances ของเหยื่อ โดยกำหนดเส้นตายจนถึง 10 ตุลาคม 2025 ก่อนที่ข้อมูลจะถูกเปิดเผยออกสู่สาธารณะ (more…)

Google ได้ยืนยันเหตุการณ์ข้อมูลรั่วไหลที่เพิ่งถูกเปิดเผยจากระบบ Salesforce CRM ของบริษัทนั้น มีข้อมูลของลูกค้าที่มีแนวโน้มจะใช้บริการ Google Ads อยู่ด้วย

ตามรายงานที่แชร์กับ BleepingComputer ทาง Google แจ้งว่า เกิดเหตุการณ์ที่ส่งผลกระทบต่อข้อมูลจำนวนจำกัดในหนึ่งในอินสแตนซ์ของ Salesforce ของบริษัท ซึ่งใช้สำหรับการสื่อสารกับลูกค้าเป้าหมายของบริการ Google Ads โดยระบุเพิ่มเติมว่า ข้อมูลที่ได้รับผลกระทบประกอบด้วยข้อมูลติดต่อทางธุรกิจพื้นฐาน และบันทึกที่เกี่ยวข้อง

Google เปิดเผยว่าข้อมูลที่รั่วไหลออกไปประกอบด้วยชื่อธุรกิจ หมายเลขโทรศัพท์ และบันทึกที่ใช้โดยทีมขายในการติดต่อกับลูกค้าอีกครั้ง โดยยืนยันว่าไม่มีข้อมูลการชำระเงินใด ๆ ถูกเปิดเผย และเหตุการณ์นี้ไม่กระทบต่อข้อมูลในบัญชี Google Ads, Merchant Center, Google Analytics หรือผลิตภัณฑ์โฆษณาอื่น ๆ ของบริษัท

การโจมตีในครั้งนี้ดำเนินการโดยกลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ ShinyHunters ซึ่งอยู่เบื้องหลังการขโมยข้อมูลจากลูกค้า Salesforce อย่างต่อเนื่อง

แม้ Google จะไม่ได้ระบุจำนวนผู้ที่ได้รับผลกระทบอย่างชัดเจน แต่กลุ่ม ShinyHunters อ้างว่าข้อมูลที่ถูกขโมยมีจำนวนประมาณ 2.55 ล้านรายการ โดยยังไม่แน่ชัดว่าข้อมูลเหล่านี้มีความซ้ำซ้อนกันหรือไม่ นอกจากนี้ ShinyHunters ยังให้ข้อมูลกับ BleepingComputer ว่า พวกเขากำลังร่วมมือกับกลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับ Scattered Spider ซึ่งเป็นผู้อยู่เบื้องหลังการเจาะระบบครั้งนี้

ShinyHunters ระบุว่า พวกเขากับ Scattered Spider คือพวกเดียวกัน โดย Scattered Spider เป็นผู้เจาะระบบเบื้องต้น ก่อนที่ ShinyHunters จะเข้ามาขโมย และลอบส่งข้อมูลออกจากระบบ Salesforce CRM คล้ายกับกรณีของ Snowflake ซึ่งล่าสุดกลุ่มได้ใช้ชื่อใหม่ว่า “Sp1d3rHunters” เพื่อสะท้อนการรวมตัวของสมาชิกจากทั้งสองกลุ่ม

ในการละเมิดข้อมูลครั้งนี้ กลุ่มผู้ไม่หวังดีได้ใช้เทคนิค Social Engineering เพื่อหลอกพนักงานของบริษัทเป้าหมายให้เปิดเผยข้อมูลบัญชีผู้ใช้ หรือติดตั้งแอปพลิเคชัน Salesforce Data Loader ที่มีมัลแวร์แฝงอยู่ ซึ่งทำให้พวกเขาสามารถเชื่อมต่อเข้ากับระบบ Salesforce ของบริษัทได้

หลังจากนั้น พวกเขาจะดาวน์โหลดฐานข้อมูลทั้งหมดจาก Salesforce และส่งอีเมลข่มขู่เรียกค่าไถ่ โดยขู่ว่าจะเปิดเผยข้อมูลหากไม่ได้รับค่าไถ่

การโจมตีต่อระบบ Salesforce เหล่านี้ ถูกเปิดเผยเป็นครั้งแรกโดยทีม Google Threat Intelligence Group (GTIG) เมื่อเดือนมิถุนายน ก่อนที่ Google เองจะตกเป็นเหยื่อในเดือนถัดมา

Databreaches.

Google กลายเป็นบริษัทล่าสุดที่ตกเป็นเหยื่อของเหตุการณ์ขโมยข้อมูลจากระบบ CRM ของ Salesforce ซึ่งอยู่ภายใต้การโจมตีต่อเนื่องโดยกลุ่มเรียกค่าไถ่ ShinyHunters (more…)

Cisco เปิดเผยว่า อาชญากรไซเบอร์ได้ขโมยข้อมูลโปรไฟล์พื้นฐานของผู้ใช้งานที่ลงทะเบียนบน Cisco.com หลังจากเกิดการโจมตีแบบฟิชชิงผ่านเสียง (vishing) ซึ่งมุ่งเป้าไปที่ตัวแทนของบริษัท

ตั้งแต่วันที่ 24 กรกฎาคมที่ผ่านมา บริษัทผู้ผลิตอุปกรณ์เครือข่ายชั้นนำ หรือ Cisco ได้เปิดเผยว่า ตรวจพบการโจมตีที่เกิดจากการหลอกลวงพนักงาน ทำให้ผู้โจมตีสามารถเข้าถึงระบบ Customer Relationship Management (CRM) บนคลาวด์ ซึ่งให้บริการโดยบริษัทภายนอกที่ Cisco ใช้งานอยู่ (more…)

The House of Dior ในสหรัฐอเมริกา ได้เริ่มส่งจดหมายแจ้งเตือนลูกค้าเกี่ยวกับเหตุการณ์ความปลอดภัยทางไซเบอร์ที่เกิดขึ้นเมื่อเดือนพฤษภาคม โดยเหตุการณ์ดังกล่าวทำให้ข้อมูลส่วนบุคคลของลูกค้าบางรายถูกเข้าถึงโดยไม่ได้รับอนุญาต (more…)

Nitro PDF เป็นแอปพลิเคชันที่ช่วยช่วยในการแก้ไขเอกสาร PDF และทำการลงนามในเอกสารดิจิทัล ซึ่งเป็นแอปพลิเคชันที่มีลูกค้าประเภทธุรกิจมากกว่า 10,000 รายและผู้ใช้ที่ได้รับใบอนุญาตประมาณ 1.8 ล้านคน ทั้งนี้ฐานข้อมูลที่ถูกปล่อยรั่วไหลขนาดนี้มีขนาด 14GB ซึ่งมีข้อมูล 77,159,696 รายการ ซึ่งประกอบไปด้วยอีเมลของผู้ใช้, ชื่อเต็ม, รหัสผ่านที่แฮชด้วย bcrypt, ชื่อบริษัท, IP Addresses และข้อมูลอื่นๆ ที่เกี่ยวข้องกับระบบ

การถูกละเมิดระบบ Nitro PDF ถูกรายงานครั้งแรกเมื่อปีที่แล้ว โดยการบุกรุกส่งผลกระทบต่อองค์กรที่มีชื่อเสียงหลายแห่งเช่น Google, Apple, Microsoft, Chase และ Citibank ซึ่งทาง Nitro PDF ได้แถลงเมื่อตุลาคม 2020 ว่าไม่มีข้อมูลลูกค้าได้รับผลกระทบ อย่างไรก็ตามในเวลาต่อมา BleepingComputer ได้พบฐานข้อมูลที่ถูกกล่าวหาว่ามีความเกี่ยวกับผู้ใช้ Nitro PDF จำนวน 70 ล้านรายการ ถูกประมูลพร้อมกับเอกสาร 1TB ในราคาเริ่มต้นที่ 80,000 ดอลลาร์

ปัจจุบันแฮกเกอร์ที่อ้างว่าอยู่เบื้องหลังกลุ่ม ShinyHunters ได้ปล่อยฐานข้อมูลดังกล่าวในฟอรัมแฮกเกอร์ โดยกำหนดราคาไว้ที่ 3 ดอลลาร์ (ประมาณ 90บาท) สำหรับการเข้าถึงลิงก์ดาวน์โหลดข้อมูลทั้งหมดของผู้ใช้ Nitro PDF จำนวน 70 ล้านรายการ

ทั้งนี้ผู้ใช้งาน Nitro PDF สามารถเช็คว่าข้อมูลของตนเองถูกรั่วไหลได้ที่บริการ Have I Been Pwned: haveibeenpwned และควรทำการเปลี่ยนรหัสผ่านที่ใช้ซ้ำกับบริการ Nitro PDF

ที่มา: bleepingcomputer