พบกลุ่ม APT ใช้วิธี OAuth Consent Phishing โจมตีบัญชีผู้ใช้ Microsoft Office 365

นักวิจัยด้านความปลอดภัยจาก Proofpoint ได้เผยการตรวจพบกลุ่ม APT ที่ชื่อ TA2552 ใช้วิธีฟิชชิงโดยการใช้ระบบ OAuth2 (มาตรฐานของระบบการยืนยันตัวตนและจัดการสิทธิ์การเข้าใช้งานในระบบต่างๆ ที่จะเปิดให้ third-party application เข้าถึงและจัดการสิทธิ์บัญชี) ในการเข้าถึงบัญชี Office 365 เพื่อขโมยรายชื่อติดต่อและอีเมลของผู้ใช้

กลุ่ม TA2552 ได้ทำการแอบอ้างเป็น Servicio de Administración Tributaria (SAT) ซึ่งเป็นหน่วยงานด้านภาษีของเม็กซิโก, Netflix Mexico และ Amazon Prime Mexico ทำการส่งอีเมลที่สร้างขึ้นมาเป็นพิเศษและมีเนื้อหาอีเมลที่เกี่ยวข้องภาษีและเนื้อหาที่เกี่ยวข้องกับการพบปัญหาในบัญชีผู้ใช้ Netflix Mexico และ Amazon Prime Mexic เมื่อเหยื่อทำการคลิกลิงก์ที่อยู่ภายใน เหยื่อจะถูกรีไดเร็คไปยังการลงชื่อเข้าใช้บัญชี O365 (Office 365) และเมื่อลงชื่อเข้าใช้ O365 เว็บไซต์ของผู้ประสงค์ร้าย ที่ถูกสร้างด้วยการลงทะเบียนผ่าน Namecheap และโฮสต์บน Cloudflare จะร้องขอสิทธิ์การเข้าถึงแอปพลิเคชันแบบ read-only เมื่อผู้ใช้กดยอมรับก็จะเปิดทางให้ผู้ประสงค์ร้ายสามารถเข้าถึงรายชื่อผู้ติดต่อ, โปรไฟล์และอีเมลของผู้ใช้

จาการอนุญาตสิทธิ์ในการเข้าถึงข้อมูลจะทำให้ผู้ประสงค์ร้ายสามารถสอดแนมในบัญชีเพื่อทำการขโมยข้อมูลหรือแม้แต่การขัดขวางข้อความการร้องขอรีเซ็ตรหัสผ่านจากบัญชีอื่น เช่น Online Banking

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการใช้งานอีเมล เมื่อพบข้อความและเนื้อหาอีเมลมาจากหน่วยงานหรือระบบที่เราไม่รู้จักควรทำการตรวจสอบเเหล่งที่มาของอีเมลเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา : threatpost