แสดงบทความที่มีป้ายกำกับ Azure แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ Azure แสดงบทความทั้งหมด

23/01/2568

รูปแบบการโจมตี Phishing ที่ใช้ HubSpot โจมตีไปยังบัญชี Azure กว่า 20,000 รายการ


    พบรูปแบบการโจมตี Phishing ที่มุ่งเป้าหมายการโจมตีไปยังบริษัทผู้ผลิตยานยนต์ เคมีภัณฑ์ และอุตสาหกรรมในเยอรมนี และสหราชอาณาจักร โดยใช้ HubSpot เพื่อขโมย credentials ของบัญชี Microsoft Azure
    โดยกลุ่มผู้ไม่ประสงค์ดีได้ใช้ลิงก์ HubSpot Free Form Builder และ PDF ที่เลียนแบบ DocuSign เพื่อเปลี่ยนเส้นทางของเป้าหมายไปยังเว็บไซต์ Phishing เพื่อขโมยข้อมูล credentials
    ตามรายงานของทีมนักวิจัย Unit 42 ของ Palo Alto Networks พบรูปแบบการโจมตี Phishing ดังกล่าวมาตั้งแต่เดือนมิถุนายน 2024 และยังคงดำเนินการอยู่จนถึงเดือนกันยายน 2024 ซึ่งขโมย Azure account ไปแล้วประมาณ 20,000 บัญชี

ใช้ HubSpot เพื่อรวบรวมข้อมูล Credentials
    HubSpot เป็นแพลตฟอร์มการจัดการลูกค้าสัมพันธ์ (CRM) ซึ่งถูกใช้ในระบบการตลาดอัตโนมัติ, การขาย, การบริการลูกค้า, การวิเคราะห์ และการสร้างเว็บไซต์ และ landing pages
    Form Builder เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้สามารถสร้างแบบฟอร์มออนไลน์ที่กำหนดเองเพื่อรวบรวมข้อมูลจากผู้เยี่ยมชมเว็บไซต์


    นักวิจัย Unit 42 พบว่าผู้ไม่ประสงค์ดีได้ใช้ HubSpot Form Builder เพื่อสร้างแบบฟอร์มหลอกลวงอย่างน้อย 17 แบบ เพื่อล่อลวงเป้าหมายให้กรอกข้อมูล credentials ที่มีความสำคัญในโดเมน '.buzz' ซึ่งเลียนแบบหน้าเข้าสู่ระบบของ Microsoft Outlook Web App และ Azure


    รวมถึงผู้ไม่ประสงค์ดียังใช้เว็บไซต์ที่เลียนแบบระบบการจัดการเอกสารของ DocuSign สำนักงานรับรองเอกสารของฝรั่งเศส และพอร์ทัลการเข้าสู่ระบบเฉพาะองค์กรในการโจมตีด้วย โดยต่อมาเป้าหมายจะถูกส่งต่อไปยังหน้าเว็บไซต์เหล่านั้นโดย phishing messages ที่มีโลโก้ DocuSign ซึ่งมี links ไปยัง HubSpot โดยเป็น PDF ที่แนบมา หรือ HTML ที่ฝังไว้ในเมล์


    เนื่องจากอีเมลทั่วไปมองว่าการแนบ links ไปยัง HubSpot ไม่เป็นอันตราย จึงทำให้ email security tools จะไม่ระบุว่า links เหล่านั้น มีแนวโน้มที่จะเป็น Phishing Email ทำให้จะสามารถเข้าถึงกล่องจดหมายของเป้าหมายได้มากกว่า เนื่องจากไม่ผ่านการตรวจสอบจาก Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) และ Domain-based Message Authentication, Reporting, และ Conformance (DMARC)


สิ่งที่เกิดขึ้นหลังการโจมตีสำเร็จ
    นักวิจัย Unit 42 พบว่าหลังจากโจมตีด้วย Phishing Campaign สำเร็จ ผู้ไม่ประสงค์ดี จะใช้ VPN เพื่อทำให้ดูเหมือนว่าตั้งอยู่ในประเทศขององค์กรที่ตกเป็นเป้าหมาย และหากฝ่ายไอทีพยายามกลับมาควบคุมบัญชีดังกล่าว ผู้ไม่ประสงค์ดี ก็จะเริ่มต้นการรีเซ็ตรหัสผ่านทันทีเพื่อพยายามที่จะเข้าควบคุมบัญชีอีกครั้ง
    โดยทั้งนี้แม้ว่าเซิร์ฟเวอร์ส่วนใหญ่ที่ทำหน้าที่เป็น backbone ของรูปแบบการโจมตี Phishing จะออฟไลน์ไปนานแล้ว แต่การดำเนินการดังกล่าวก็ยังนับว่าเป็นตัวอย่างของการโจมตีของรูปแบบการโจมตีที่พบ เนื่องจาก ผู้ไม่ประสงค์ดี พยายามจะค้นหาช่องทางใหม่ ๆ เพื่อหลีกเลี่ยงเครื่องมือด้านความปลอดภัยอยู่เสมอ

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

22/10/2567

ไมโครซอฟท์กำลังใช้เท็นแนนท์ปลอมในระบบคลาวด์ของ Azure เพื่อดักจับกลุ่มผู้ที่ทำฟิชชิง (phishers) ให้เข้ามาในระบบฮันนีพอต (honeypot)


    ไมโครซอฟท์กำลังใช้กลยุทธ์หลอกลวงเพื่อรับมือกับผู้ที่ทำฟิชชิง (phishing) โดยสร้างเท็นแนนท์ฮันนีพอต (honeypot tenants) ที่ดูสมจริงพร้อมการเข้าถึง Azure เพื่อดึงดูดอาชญากรไซเบอร์เข้ามา เพื่อรวบรวมข้อมูลเกี่ยวกับพวกเขา
    ด้วยข้อมูลที่รวบรวมได้ ไมโครซอฟท์สามารถทำแผนที่โครงสร้างพื้นฐานที่เป็นอันตราย เข้าใจการปฏิบัติการฟิชชิงที่ซับซ้อนมากขึ้น ขัดขวางแคมเปญในวงกว้าง ระบุอาชญากรไซเบอร์ และทำให้กิจกรรมของพวกเขาช้าลงอย่างมาก
    กลยุทธ์นี้และผลกระทบที่สร้างความเสียหายต่อกิจกรรมฟิชชิงได้รับการอธิบายที่งานประชุม BSides Exeter โดย Ross Bevington วิศวกรซอฟต์แวร์ด้านความปลอดภัยหลักของไมโครซอฟท์ ซึ่งเรียกตัวเองว่า "หัวหน้าฝ่ายหลอกลวง" ของไมโครซอฟท์


    Bevington ได้สร้าง "ฮันนีพอตแบบผสมที่มีการโต้ตอบสูง" บนเว็บไซต์ code.microsoft.com ที่ปัจจุบันได้ปิดตัวลงแล้ว เพื่อรวบรวมข่าวกรองเกี่ยวกับภัยคุกคามจากทั้งอาชญากรไซเบอร์ที่มีทักษะต่ำ ไปจนถึงกลุ่มที่เกี่ยวข้องกับรัฐซึ่งพุ่งเป้าไปที่โครงสร้างพื้นฐานของ Microsoft
การสร้างภาพลวงตาของความสำเร็จในการฟิชชิง
    ปัจจุบัน Bevington และทีมของเขาต่อสู้กับการฟิชชิงโดยใช้เทคนิคการหลอกลวง โดยใช้สภาพแวดล้อมเท็นแนนท์ทั้งหมดของ Microsoft เป็นฮันนีพอต ซึ่งมีชื่อโดเมนที่ปรับแต่งขึ้นเอง บัญชีผู้ใช้หลายพันบัญชี และกิจกรรมต่าง ๆ เช่น การสื่อสารภายในและการแชร์ไฟล์
    โดยทั่วไปแล้ว บริษัทหรือผู้วิจัยจะตั้งค่าฮันนีพอตและรอให้อาชญากรไซเบอร์ค้นพบและดำเนินการโจมตี นอกจากจะช่วยเบี่ยงเบนผู้โจมตีออกจากสภาพแวดล้อมจริงแล้ว ฮันนีพอตยังช่วยรวบรวมข่าวกรองเกี่ยวกับวิธีที่ใช้ในการเจาะระบบ ซึ่งสามารถนำไปใช้ในเครือข่ายที่แท้จริงได้
    แม้แนวคิดของ Bevington จะมีลักษณะคล้ายกัน แต่แตกต่างตรงที่เขาเป็นฝ่ายบุกเข้าไปหาผู้โจมตีเอง แทนที่จะรอให้อาชญากรค้นพบทางเข้า ในการบรรยายที่งาน BSides Exeter ผู้วิจัยกล่าวว่าแนวทางเชิงรุกนี้ประกอบด้วยการเข้าไปในเว็บไซต์ฟิชชิงที่ Microsoft Defender ระบุไว้ และพิมพ์ข้อมูลรับรองจากเท็นแนนท์ที่เป็นฮันนีพอต
    เนื่องจากข้อมูลรับรองเหล่านี้ไม่ได้รับการป้องกันด้วยการยืนยันตัวตนแบบสองปัจจัย (2FA) และเท็นแนนท์ถูกเติมเต็มด้วยข้อมูลที่ดูสมจริง ผู้โจมตีจึงสามารถเจาะเข้ามาได้ง่าย และเสียเวลาในการหาว่ามีอะไรผิดปกติหรือไม่
    ไมโครซอฟท์ระบุว่าตรวจสอบเว็บไซต์ฟิชชิงประมาณ 25,000 แห่งทุกวัน โดยป้อนข้อมูลรับรองของฮันนีพอตในเว็บไซต์เหล่านั้นประมาณ 20% ส่วนที่เหลือจะถูกบล็อกโดย CAPTCHA หรือกลไกป้องกันบอทอื่น ๆ
    เมื่อผู้โจมตีเข้าสู่เท็นแนนท์ปลอม ซึ่งเกิดขึ้นใน 5% ของกรณี จะมีการเปิดระบบบันทึกที่ละเอียดเพื่อติดตามทุกการกระทำของพวกเขา เพื่อศึกษาเทคนิคและขั้นตอนการโจมตี
    ข้อมูลข่าวกรองที่รวบรวมได้รวมถึงที่อยู่ IP, เบราว์เซอร์, ตำแหน่งที่ตั้ง, รูปแบบพฤติกรรม, การใช้ VPN หรือ VPS และชุดเครื่องมือฟิชชิงที่พวกเขาใช้งาน
    นอกจากนี้ เมื่อผู้โจมตีพยายามโต้ตอบกับบัญชีปลอมในสภาพแวดล้อม Microsoft จะทำให้การตอบสนองช้าลงมากที่สุดเท่าที่จะทำได้


    เทคโนโลยีการหลอกลวงในปัจจุบันทำให้ผู้โจมตีเสียเวลาไป 30 วันก่อนที่จะรู้ตัวว่าพวกเขาเจาะเข้าสู่สภาพแวดล้อมปลอม ในระหว่างนั้น ไมโครซอฟท์จะรวบรวมข้อมูลที่นำไปปฏิบัติได้ ซึ่งสามารถนำไปใช้โดยทีมรักษาความปลอดภัยอื่น ๆ เพื่อสร้างโปรไฟล์ที่ซับซ้อนขึ้นและเพิ่มประสิทธิภาพการป้องกัน
    Bevington กล่าวว่ามีเพียงน้อยกว่า 10% ของที่อยู่ IP ที่พวกเขารวบรวมผ่านวิธีนี้ ที่สามารถเชื่อมโยงกับข้อมูลในฐานข้อมูลภัยคุกคามที่รู้จักอื่น ๆ วิธีนี้ช่วยให้รวบรวมข้อมูลข่าวกรองเพียงพอที่จะระบุการโจมตีว่าเป็นกลุ่มที่มีแรงจูงใจทางการเงิน หรือแม้กระทั่งกลุ่มที่ได้รับการสนับสนุนจากรัฐ เช่น กลุ่มภัยคุกคาม Midnight Blizzard (Nobelium) ของรัสเซีย
    แม้ว่าหลักการใช้การหลอกลวงเพื่อปกป้องทรัพยากรจะไม่ใช่เรื่องใหม่ และหลายบริษัทพึ่งพาฮันนีพอตหรือวัตถุแจ้งเตือนเพื่อตรวจจับการบุกรุกและติดตามแฮกเกอร์ แต่ไมโครซอฟท์ได้ค้นพบวิธีใช้ทรัพยากรของตนในการล่าหากลุ่มผู้โจมตีและวิธีการของพวกเขาในวงกว้าง

Ref : bleepingcomputer.com
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)