Microsoft แจ้งเตือนให้ระวังผู้ไม่ประสงค์ดีทำการขโมยอีเมลจากการฟิชชิ่งด้วยรหัสของอุปกรณ์

    รูปแบบการโจมตีจากผู้ไม่ประสงค์ดีที่มีความเชื่อมโยงกับประเทศรัสเซีย กำลังมุ่งเป้าไปที่บัญชี Microsoft 365 ของบุคคลในองค์กรที่เป็นเป้าหมาย โดยใช้เทคนิคการฟิชชิ่งผ่านรหัสอุปกรณ์ เป้าหมายของการโจมตีอยู่ในภาคส่วนรัฐบาล, องค์กรไม่แสวงหากำไร, บริการด้านไอที และเทคโนโลยี, กระทรวงกลาโหม, โทรคมนาคม, สุขภาพ และพลังงาน/น้ำมัน และก๊าซ ในยุโรป อเมริกาเหนือ แอฟริกา และตะวันออกกลาง

    Microsoft Threat Intelligence Center กำลังติดตามกลุ่มผู้ไม่ประสงค์ดีที่อยู่เบื้องหลังรูปแบบการโจมตีผ่านรหัสอุปกรณ์ภายใต้ชื่อ 'Storm-237' โดยอ้างอิงจากเป้าหมาย วิธีการโจมตี และแนวทางของกลุ่ม นักวิจัยมีความมั่นใจในระดับปานกลางว่าการดำเนินการนี้เกี่ยวข้องกับปฏิบัติการของรัฐที่สอดคล้องกับผลประโยชน์ของรัสเซีย

การโจมตีฟิชชิ่งผ่านรหัสอุปกรณ์

    อุปกรณ์ที่จำกัดอินพุต - อุปกรณ์ที่ไม่รองรับแป้นพิมพ์ หรือเบราว์เซอร์ เช่น สมาร์ททีวี และอุปกรณ์ IoT บางประเภท จะต้องอาศัยการตรวจสอบสิทธิ์ด้วยรหัสเพื่อให้ผู้ใช้งานลงชื่อเข้าใช้แอปพลิเคชันได้โดยการพิมพ์รหัสอนุญาตบนอุปกรณ์แยกต่างหาก เช่น สมาร์ทโฟน หรือคอมพิวเตอร์

    นักวิจัยของ Microsoft ค้นพบว่า ตั้งแต่เดือนสิงหาคมปีที่แล้ว กลุ่มผู้ไม่ประสงค์ดี Storm-2372 ได้ใช้ช่องทางการยืนยันตัวตนนี้ในการโจมตี โดยหลอกให้เหยื่อกรอกรหัสอุปกรณ์ที่สร้างขึ้นโดยผู้ไม่ประสงค์ดีลงในหน้าลงชื่อเข้าใช้ที่ถูกต้อง

    กลุ่มผู้ไม่ประสงค์ดีจะเริ่มต้นการโจมตีโดยสร้างการเชื่อมต่อกับเป้าหมายผ่านแพลตฟอร์มการส่งข้อความ เช่น WhatsApp, Signal และ Microsoft Teams โดยแอบอ้างเป็นบุคคลสำคัญที่เกี่ยวข้องกับเป้าหมาย

    ผู้ไม่ประสงค์ดีจะค่อย ๆ สร้างความน่าเชื่อถือ ก่อนที่จะส่ง Link ประชุมออนไลน์ปลอมผ่านอีเมลหรือข้อความ ตามที่นักวิจัยระบุ เหยื่อจะได้รับคำเชิญเข้าร่วมประชุมผ่าน Microsoft Teams ซึ่งภายในมีรหัสอุปกรณ์ที่สร้างขึ้นโดยผู้ไม่ประสงค์ดี

    Microsoft ระบุว่า "คำเชิญเหล่านี้หลอกให้เหยื่อดำเนินการยืนยันตัวตนผ่านรหัสอุปกรณ์ โดยเลียนแบบบริการส่งข้อความ ซึ่งช่วยให้กลุ่ม Storm-2372 สามารถเข้าถึงบัญชีของเหยื่อในเบื้องต้น และดำเนินการรวบรวมข้อมูลผ่าน Graph API เช่น การดึงข้อมูลอีเมล"

    วิธีนี้ช่วยให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงบริการของ Microsoft เช่น อีเมล และพื้นที่จัดเก็บข้อมูลบนคลาวด์ของเหยื่อได้ โดยไม่ต้องใช้รหัสผ่าน ตราบใดที่โทเค็นที่ถูกขโมยมายังคงมีผลใช้งานอยู่

    อย่างไรก็ตาม Microsoft ระบุว่า ขณะนี้ผู้ไม่ประสงค์ดีกำลังใช้ Client ID เฉพาะของ Microsoft Authentication Broker ในกระบวนการลงชื่อเข้าใช้ด้วยรหัสอุปกรณ์ ซึ่งจะช่วยให้พวกเขาสามารถสร้างโทเค็นใหม่ได้

    วิธีการนี้เปิดโอกาสให้เกิดการโจมตีรูปแบบใหม่ และการแฝงตัวอยู่ในระบบ เนื่องจากผู้ไม่ประสงค์ดีสามารถใช้ Client ID ดังกล่าวเพื่อลงทะเบียนอุปกรณ์กับ Entra ID ซึ่งเป็นโซลูชันจัดการตัวตน และการเข้าถึงบนคลาวด์ของ Microsoft

    Microsoft ระบุว่า "เมื่อมีโทเค็นเดียวกัน และอุปกรณ์ที่ลงทะเบียนใหม่ Storm-2372 สามารถขอรับ Primary Refresh Token (PRT) และเข้าถึงทรัพยากรขององค์กรได้ โดยพบว่า Storm-2372 ใช้อุปกรณ์ที่เชื่อมต่อนี้ในการรวบรวมอีเมลของเหยื่อ"

การป้องกันภัยคุกคามจาก Storm-2372

    เพื่อป้องกันการโจมตีฟิชชิ่งด้วยรหัสอุปกรณ์ที่ใช้โดย Storm-2372 Microsoft เสนอให้ปิดใช้งานการลงชื่อเข้าใช้ด้วยรหัสอุปกรณ์หากทำได้ และบังคับใช้นโยบายการเข้าถึงใน Microsoft Entra ID เพื่อจำกัดการใช้งานเฉพาะกับอุปกรณ์ หรือเครือข่ายที่เชื่อถือได้เท่านั้น หากสงสัยว่ามีการฟิชชิ่งโดยใช้รหัสอุปกรณ์ ให้ revoke โทเค็นของผู้ใช้ทันทีโดยใช้ 'revokeSignInSessions' และกำหนดนโยบายการเข้าถึงเพื่อบังคับให้มีการตรวจสอบสิทธิ์ใหม่อีกครั้งสำหรับผู้ใช้งานที่อาจจะถูกโจมตี

    สุดท้ายนี้ ควรใช้ sign-in logs ของ Microsoft Entra ID เพื่อตรวจสอบ และระบุความพยายามในการยืนยันตัวตนจำนวนมากในช่วงเวลาสั้น ๆ , การเข้าสู่ระบบด้วยรหัสอุปกรณ์จาก IP ที่ไม่รู้จัก และการแจ้งเตือนที่ผิดปกติสำหรับการยืนยันตัวตนด้วยรหัสอุปกรณ์ที่ส่งไปยังผู้ใช้หลายราย

Ref: www.bleepingcomputer.com

รูปแบบการโจมตี Phishing ที่ใช้ HubSpot โจมตีไปยังบัญชี Azure กว่า 20,000 รายการ

    พบรูปแบบการโจมตี Phishing ที่มุ่งเป้าหมายการโจมตีไปยังบริษัทผู้ผลิตยานยนต์ เคมีภัณฑ์ และอุตสาหกรรมในเยอรมนี และสหราชอาณาจักร โดยใช้ HubSpot เพื่อขโมย credentials ของบัญชี Microsoft Azure

    โดยกลุ่มผู้ไม่ประสงค์ดีได้ใช้ลิงก์ HubSpot Free Form Builder และ PDF ที่เลียนแบบ DocuSign เพื่อเปลี่ยนเส้นทางของเป้าหมายไปยังเว็บไซต์ Phishing เพื่อขโมยข้อมูล credentials

    ตามรายงานของทีมนักวิจัย Unit 42 ของ Palo Alto Networks พบรูปแบบการโจมตี Phishing ดังกล่าวมาตั้งแต่เดือนมิถุนายน 2024 และยังคงดำเนินการอยู่จนถึงเดือนกันยายน 2024 ซึ่งขโมย Azure account ไปแล้วประมาณ 20,000 บัญชี

ใช้ HubSpot เพื่อรวบรวมข้อมูล Credentials

    HubSpot เป็นแพลตฟอร์มการจัดการลูกค้าสัมพันธ์ (CRM) ซึ่งถูกใช้ในระบบการตลาดอัตโนมัติ, การขาย, การบริการลูกค้า, การวิเคราะห์ และการสร้างเว็บไซต์ และ landing pages

    Form Builder เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้สามารถสร้างแบบฟอร์มออนไลน์ที่กำหนดเองเพื่อรวบรวมข้อมูลจากผู้เยี่ยมชมเว็บไซต์

    นักวิจัย Unit 42 พบว่าผู้ไม่ประสงค์ดีได้ใช้ HubSpot Form Builder เพื่อสร้างแบบฟอร์มหลอกลวงอย่างน้อย 17 แบบ เพื่อล่อลวงเป้าหมายให้กรอกข้อมูล credentials ที่มีความสำคัญในโดเมน '.buzz' ซึ่งเลียนแบบหน้าเข้าสู่ระบบของ Microsoft Outlook Web App และ Azure

    รวมถึงผู้ไม่ประสงค์ดียังใช้เว็บไซต์ที่เลียนแบบระบบการจัดการเอกสารของ DocuSign สำนักงานรับรองเอกสารของฝรั่งเศส และพอร์ทัลการเข้าสู่ระบบเฉพาะองค์กรในการโจมตีด้วย โดยต่อมาเป้าหมายจะถูกส่งต่อไปยังหน้าเว็บไซต์เหล่านั้นโดย phishing messages ที่มีโลโก้ DocuSign ซึ่งมี links ไปยัง HubSpot โดยเป็น PDF ที่แนบมา หรือ HTML ที่ฝังไว้ในเมล์

    เนื่องจากอีเมลทั่วไปมองว่าการแนบ links ไปยัง HubSpot ไม่เป็นอันตราย จึงทำให้ email security tools จะไม่ระบุว่า links เหล่านั้น มีแนวโน้มที่จะเป็น Phishing Email ทำให้จะสามารถเข้าถึงกล่องจดหมายของเป้าหมายได้มากกว่า เนื่องจากไม่ผ่านการตรวจสอบจาก Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) และ Domain-based Message Authentication, Reporting, และ Conformance (DMARC)

สิ่งที่เกิดขึ้นหลังการโจมตีสำเร็จ

    นักวิจัย Unit 42 พบว่าหลังจากโจมตีด้วย Phishing Campaign สำเร็จ ผู้ไม่ประสงค์ดี จะใช้ VPN เพื่อทำให้ดูเหมือนว่าตั้งอยู่ในประเทศขององค์กรที่ตกเป็นเป้าหมาย และหากฝ่ายไอทีพยายามกลับมาควบคุมบัญชีดังกล่าว ผู้ไม่ประสงค์ดี ก็จะเริ่มต้นการรีเซ็ตรหัสผ่านทันทีเพื่อพยายามที่จะเข้าควบคุมบัญชีอีกครั้ง

    โดยทั้งนี้แม้ว่าเซิร์ฟเวอร์ส่วนใหญ่ที่ทำหน้าที่เป็น backbone ของรูปแบบการโจมตี Phishing จะออฟไลน์ไปนานแล้ว แต่การดำเนินการดังกล่าวก็ยังนับว่าเป็นตัวอย่างของการโจมตีของรูปแบบการโจมตีที่พบ เนื่องจาก ผู้ไม่ประสงค์ดี พยายามจะค้นหาช่องทางใหม่ ๆ เพื่อหลีกเลี่ยงเครื่องมือด้านความปลอดภัยอยู่เสมอ

Ref : bleepingcomputer

กลุ่มผู้ไม่ประสงค์ดีปลอมตัวเป็นฝ่ายสนับสนุนไอทีเพื่อโจมตี Phishing ผ่านทาง Microsoft Teams

    กลุ่มผู้ไม่ประสงค์ดีหันมาใช้เทคนิคการโจมตีด้วยการส่งอีเมลขยะจำนวนมาก (email bombing) ตามด้วยการปลอมตัวเป็นฝ่ายสนับสนุนด้านเทคนิคผ่านการโทรใน Microsoft Teams เพื่อหลอกล่อให้พนักงานอนุญาตการควบคุมระยะไกลและติดตั้งมัลแวร์ที่ช่วยให้ผู้ไม่ประสงค์ดีเข้าถึงเครือข่ายของบริษัทได้

    ผู้ไม่หวังดีส่งข้อความสแปมจำนวนหลายพันฉบับในช่วงเวลาสั้น ๆ จากนั้นโทรหาผู้ใช้เป้าหมายผ่านบัญชี Office 365 ที่พวกเขาควบคุม โดยแสร้งทำตัวเป็นฝ่ายสนับสนุนไอทีขององค์กร

    เทคนิคนี้ถูกพบครั้งแรกตั้งแต่ปลายปีที่แล้วในแคมเปญโจมตีที่เชื่อมโยงกับแรนซัมแวร์ Black Basta อย่างไรก็ตาม นักวิจัยด้านความปลอดภัยไซเบอร์จากบริษัท Sophos พบว่ามีผู้โจมตีรายอื่นที่อาจเกี่ยวข้องกับกลุ่ม FIN7 ใช้วิธีการเดียวกัน

    ผู้ไม่ประสงค์ดีใช้ประโยชน์จากการตั้งค่าเริ่มต้นของ Microsoft Teams ที่อนุญาตให้บัญชีภายนอกสามารถโทรและแชทกับพนักงานในองค์กรได้

กิจกรรมที่ตรวจพบ

    Sophos ตรวจสอบแคมเปญแรกและเชื่อมโยงกับกลุ่มที่พวกเขาติดตามในชื่อ "STAC5143" โดยผู้ไม่ประสงค์ดีเริ่มต้นด้วยการส่งอีเมลจำนวนมากถึง 3,000 ฉบับภายใน 45 นาที

    หลังจากนั้นไม่นาน เป้าหมายได้รับสาย Teams จากบัญชีที่ใช้ชื่อ "Help Desk Manager" ซึ่งผู้โจมตีใช้กลอุบายโน้มน้าวให้เหยื่อตั้งค่าการควบคุมหน้าจอระยะไกลผ่าน Microsoft Teams

ผู้ไม่ประสงค์ดีได้อัปโหลดไฟล์ Java Archive (MailQueue-Handler.jar) และสคริปต์ Python (RPivot backdoor) ซึ่งโฮสต์อยู่บนลิงก์ SharePoint ภายนอก

    ไฟล์ JAR ทำการรันคำสั่ง PowerShell เพื่อดาวน์โหลดไฟล์ติดตั้ง ProtonVPN ที่ถูกต้อง แต่มีการโหลด DLL ที่เป็นอันตราย (nethost.dll) เพื่อเปิดช่องทางสื่อสารที่เข้ารหัสไปยังเซิร์ฟเวอร์ควบคุม (C2) ทำให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ที่ถูกโจมตีได้ระยะไกล

    ผู้ไม่ประสงค์ดียังใช้ Windows Management Instrumentation (WMIC) และ whoami.exe เพื่อตรวจสอบรายละเอียดระบบ และติดตั้งมัลแวร์ Java ระยะที่สองเพื่อเรียกใช้ RPivot ซึ่งเป็นเครื่องมือทดสอบเจาะระบบที่ช่วยให้ผู้ไม่ประสงค์ดีส่งคำสั่งผ่าน SOCKS4 proxy tunneling

    RPivot เคยถูกใช้ในการโจมตีของกลุ่ม FIN7 มาก่อน นอกจากนี้ เทคนิคการปกปิดร่องรอยที่ใช้ยังเคยถูกพบในแคมเปญของ FIN7 เช่นกัน

    อย่างไรก็ตาม เนื่องจากเครื่องมือ RPivot และเทคนิคปกปิดร่องรอยเป็นแบบโอเพ่นซอร์ส Sophos ไม่สามารถยืนยันได้อย่างมั่นใจว่าการโจมตีของ STAC5143 เชื่อมโยงกับ FIN7 อย่างสมบูรณ์

Sophos ประเมินด้วย "ความมั่นใจระดับปานกลาง" ว่ามัลแวร์ Python ที่ใช้ในแคมเปญนี้อาจเกี่ยวข้องกับกลุ่ม FIN7/Sangria Tempest

    เนื่องจากการโจมตีถูกหยุดก่อนถึงขั้นตอนสุดท้าย นักวิจัยเชื่อว่าเป้าหมายของผู้ไม่ประสงค์ดีคือการขโมยข้อมูลและปล่อยแรนซัมแวร์ในภายหลัง

การโจมตีครั้งที่สอง

    แคมเปญที่สองถูกติดตามในชื่อ "STAC5777" โดยเริ่มจากการส่งอีเมลขยะจำนวนมากเช่นกัน และตามมาด้วยการส่งข้อความใน Microsoft Teams ที่อ้างว่าเป็นฝ่ายสนับสนุนไอที

    ในกรณีนี้ ผู้ไม่ประสงค์ดีหลอกให้เหยื่อติดตั้ง Microsoft Quick Assist เพื่อให้พวกเขาสามารถเข้าถึงระบบโดยตรง และดาวน์โหลดมัลแวร์ที่โฮสต์อยู่บน Azure Blob Storage

    มัลแวร์ (winhttp.dll) ถูกโหลดเข้ากับกระบวนการ OneDriveStandaloneUpdater.exe ของ Microsoft และมีการสร้างบริการด้วย PowerShell เพื่อให้มัลแวร์ทำงานอีกครั้งเมื่อบูตเครื่อง

    มัลแวร์นี้บันทึกการกดแป้นพิมพ์ของเหยื่อผ่าน Windows API, ขโมยรหัสผ่านจากไฟล์และรีจิสทรี และสแกนเครือข่ายเพื่อหาจุดเชื่อมต่อเพิ่มเติมผ่าน SMB, RDP และ WinRM

    Sophos พบว่าผู้ไม่ประสงค์ดีกลุ่มนี้พยายามติดตั้งแรนซัมแวร์ Black Basta ซึ่งบ่งชี้ว่าพวกเขาอาจมีความเชื่อมโยงกับกลุ่มแรนซัมแวร์นี้

    นักวิจัยยังพบว่าผู้โจมตีเข้าถึงเอกสาร Notepad และ Word ที่มีคำว่า "password" ในชื่อไฟล์ และไฟล์ Remote Desktop Protocol สองไฟล์ซึ่งอาจใช้ในการค้นหาข้อมูลรับรอง

คำแนะนำสำหรับองค์กร

    เนื่องจากเทคนิคเหล่านี้กำลังแพร่หลายมากขึ้น องค์กรควรพิจารณาบล็อกโดเมนภายนอกจากการส่งข้อความและโทรใน Microsoft Teams รวมถึงปิดใช้งาน Quick Assist ในระบบที่มีความสำคัญเพื่อป้องกันความเสี่ยง

Ref : bleepingcomputer.com

พบ Phishing Texts หลอกผู้ใช้งานปิดการป้องกันใน Apple iMessage

พบกลุ่มผู้ไม่ประสงค์ดีกำลังใช้กลวิธีเพื่อหลอกล่อให้ผู้ใช้งานปิดฟีเจอร์ Phishing Protection สำหรับข้อความของ Apple iMessage และหลังจากนั้นก็เปิดกลับมาอีกครั้ง

เนื่องจากกิจกรรมต่าง ๆ ในชีวิตประจำวัน ส่วนใหญ่ทำผ่านอุปกรณ์เคลื่อนที่ ไม่ว่าจะเป็นการจ่ายบิล ช้อปปิ้ง หรือติดต่อสื่อสารกับเพื่อน และเพื่อนร่วมงาน กลุ่มผู้ไม่ประสงค์ดีจึงใช้วิธีการโจมตีแบบ Smishing (SMS phishing) กับหมายเลขโทรศัพท์มือถือเพิ่มมากขึ้น

เพื่อปกป้องผู้ใช้จากการโจมตีดังกล่าว Apple iMessage จะปิดใช้งานลิงก์ในข้อความที่ได้รับจากผู้ส่งที่ไม่รู้จักโดยอัตโนมัติ ไม่ว่าจะเป็นที่อยู่อีเมล หรือหมายเลขโทรศัพท์ก็ตาม แต่หากหากผู้ใช้ตอบกลับข้อความดังกล่าว หรือเพิ่มผู้ส่งลงในรายชื่อผู้ติดต่อ ลิงก์จะเปิดใช้งาน

เทคนิคการหลอกให้ผู้ใช้ตอบกลับ

ในช่วงสองสามเดือนที่ผ่านมา BleepingComputer พบการโจมตีแบบ Smishing เพิ่มมากขึ้น ซึ่งพยายามหลอกล่อผู้ใช้ให้ตอบกลับข้อความเพื่อให้เปิดใช้งานลิงก์ได้อีกครั้ง

ดังตัวอย่างของข้อความ Phishing ที่แจ้งปัญหาการจัดส่งของ USPS และข้อความแจ้งค่าผ่านทางที่ไม่ได้รับการชำระถูกส่งมาจากผู้ส่งที่ไม่รู้จัก และ iMessage ได้ปิดใช้งานลิงก์โดยอัตโนมัติ

    แม้ว่าการหลอกลวงทาง Phishing ทั้งสองรูปแบบนี้จะไม่ใช่วิธีการใหม่ แต่สังเกตว่า Smishing Texts นี้และข้อความอื่น ๆ จะขอให้ผู้ใช้ตอบกลับด้วย "Y" เพื่อเปิดใช้งานลิงก์อันตราย

    เนื่องจากผู้ใช้คุ้นเคยกับการพิมพ์คำว่า STOP, Yes หรือ NO เพื่อยืนยันการนัดหมาย หรือไม่รับข้อความ กลุ่มผู้ไม่ประสงค์ดีจึงใช้วิธีการดังกล่าวเพื่อทำให้ผู้รับข้อความตอบกลับข้อความ และเปิดใช้งานลิงก์ การดำเนินการดังกล่าวจะเปิดใช้งานลิงก์อีกครั้ง และปิดการใช้งาน Phishing Protection ของ Apple iMessage สำหรับข้อความนี้

    แม้ว่าผู้ใช้จะไม่คลิกลิงก์ที่เปิดใช้งานแล้ว แต่การตอบกลับข้อความ ก็เป็นการแจ้งให้ผู้กลุ่มผู้ไม่ประสงค์ดีทราบว่าตอนนี้พวกเขามีเป้าหมายที่ตอบสนองต่อ Phishing Texts ทำให้พวกเขากลายเป็นเป้าหมายที่ใหญ่ขึ้น

    หากผู้ใช้ได้รับข้อความที่ลิงก์ถูกปิดใช้งาน หรือจากผู้ส่งที่ไม่รู้จักที่ขอให้ตอบกลับข้อความดังกล่าว แนะนำไม่ให้ทำการตอบกลับข้อความเด็ดขาด

Ref : bleepingcomputer.com

จับรถตู้ส่งข้อความ SMS หลอกลวงกว่า 1 ล้านข้อความ

    ตำรวจไทย (DSI) พบรถตู้และจับกุมคนขับที่ใช้เครื่อง SMS Blaster เพื่อส่งข้อความฟิชชิง (Phishing) มากกว่า 100,000 ข้อความต่อชั่วโมงไปยังผู้คนในกรุงเทพฯ

    โดยอุปกรณ์ดังกล่าวมีระยะการทำงานประมาณ 3 กิโลเมตร (10,000 ฟุต) และสามารถส่งข้อความได้ในอัตรา 100,000 ข้อความต่อชั่วโมง ในช่วงเวลา 3 วัน แก๊งมิจฉาชีพได้ส่งข้อความ SMS เกือบ 1 ล้านข้อความไปยังอุปกรณ์มือถือในรัศมี โดยเนื้อหาข้อความระบุว่า "คะแนนของคุณ 9,268 กำลังจะหมดอายุ! รีบแลกของขวัญของคุณตอนนี้เลย"

    ข้อความที่ส่งมีลิงก์ไปยังเว็บไซต์ฟิชชิงซึ่งมีคำว่า "aisthailand" ใน URL เพื่อแอบอ้างเป็นบริษัท แอดวานซ์ อินโฟร์ เซอร์วิส (AIS) ซึ่งเป็นผู้ให้บริการโทรศัพท์มือถือรายใหญ่ที่สุดในประเทศไทย

ผู้ใช้ที่คลิกลิงก์ฟิชชิงดังกล่าวจะถูกนำไปยังหน้าเว็บที่ขอข้อมูลบัตรเครดิต ซึ่งข้อมูลนี้จะถูกส่งไปยังมิจฉาชีพเพื่อใช้ทำธุรกรรมโดยไม่ได้รับอนุญาตในต่างประเทศ แก๊งมิจฉาชีพ ซึ่งมีทั้งสมาชิกในประเทศไทยและต่างประเทศ ร่วมกันประสานงานผ่านช่องทาง Telegram ส่วนตัว โดยใช้ช่องทางนี้ในการตัดสินใจเนื้อหาของข้อความที่ส่ง

    ตำรวจได้จับกุมชายชาวจีนอายุ 35 ปี ซึ่งเป็นคนขับรถตู้ที่ติดตั้งเครื่อง SMS Blaster และกำลังเร่งติดตามตัวผู้ต้องสงสัยอีกอย่างน้อย 2 คนที่เป็นสมาชิกของแก๊งนี้

    มีการรายงานว่า AIS ได้ให้ความช่วยเหลือตำรวจในการระบุตำแหน่งของเครื่องส่งข้อความ SMS Blaster อย่างไรก็ตาม AIS ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับวิธีการที่ใช้ในการติดตาม เพื่อป้องกันไม่ให้ผู้ส่งสแปมปรับเปลี่ยนกลยุทธ์ของพวกเขา

    แม้ว่าข้อความฟิชชิงเหล่านี้มักจะมีอัตราความสำเร็จต่ำ เนื่องจากประชาชนมีความตื่นตัวมากขึ้น แต่ด้วยปริมาณการส่งที่สูงและการมุ่งเป้าหมายในพื้นที่ที่มีประชากรหนาแน่น ก็สามารถสร้างรายได้มหาศาลให้กับผู้กระทำผิดได้

Ref : bleepingcomputer.com

อีเมลฟิชชิงเริ่มใช้ไฟล์แนบ SVG มากขึ้นเพื่อหลีกเลี่ยงการตรวจจับ

    ผู้ไม่ประสงค์ดีเริ่มใช้ไฟล์แนบ Scalable Vector Graphics (SVG) มากขึ้นเพื่อแสดงแบบฟอร์มฟิชชิง หรือแพร่กระจายมัลแวร์ และหลีกเลี่ยงการตรวจจับ

    ไฟล์รูปภาพส่วนใหญ่บนเว็บไซต์เป็นไฟล์ JPG หรือ PNG ซึ่งจะประกอบไปด้วยตารางของสี่เหลี่ยมเล็ก ๆ ที่เรียกว่า พิกเซล (pixel) โดยแต่ละพิกเซลมีค่าสีเฉพาะ และพิกเซลเหล่านี้จะรวมกันเป็นภาพทั้งหมด

SVG หรือ Scalable Vector Graphics จะแสดงรูปภาพในรูปแบบที่แตกต่างออกไป เนื่องจากแทนที่จะใช้พิกเซล ภาพจะถูกสร้างขึ้นด้วยเส้น, รูปร่าง และข้อความที่อธิบายไว้ในสูตรทางคณิตศาสตร์ในโค้ด

ตัวอย่างเช่น ข้อความต่อไปนี้จะสร้างสี่เหลี่ยมผืนผ้า, วงกลม, ลิงก์ และข้อความ

<svg width="200" height="200" xmlns="http://www.w3.org/2000/svg">

    <!-- A rectangle -->

    <rect x="10" y="10" width="100" height="50" fill="blue" stroke="black" stroke-width="2" />

    <!-- A circle -->

    <circle cx="160" cy="40" r="40" fill="red" />

    <!-- A line -->

    <line x1="10" y1="100" x2="200" y2="100" stroke="green" stroke-width="3" />

    <!-- A text -->

    <text x="50" y="130" font-size="20" fill="black">Hello, SVG!</text>

</svg>

เมื่อเปิดไฟล์ในเบราว์เซอร์ ไฟล์จะสร้างกราฟิกที่อธิบายไว้ในข้อความข้างต้น

    เนื่องจากรูปภาพเหล่านี้เป็น vector images มันจะปรับขนาดได้โดยอัตโนมัติ โดยไม่สูญเสียคุณภาพของรูปภาพ หรือรูปทรง ทำให้เหมาะกับการใช้งานในแอปพลิเคชันเว็บที่อาจมีความละเอียดที่แตกต่างกัน

การใช้ไฟล์แนบ SVG เพื่อหลีกเลี่ยงการตรวจจับ

    การใช้ไฟล์แนบ SVG ในแคมเปญฟิชชิงไม่ใช่เรื่องใหม่ โดยผู้ไม่ระสงค์ดีเริ่มใช้ไฟล์ SVG ในแคมเปญฟิชชิงมากขึ้น ตามข้อมูลจากนักวิจัยด้านความปลอดภัย MalwareHunterTeam ซึ่งได้แชร์ตัวอย่างล่าสุดกับ BleepingComputer

    แคมเปญอื่น ๆ ใช้ไฟล์แนบ SVG และ JavaScript ที่ฝังไว้ เพื่อทำการเปลี่ยนเส้นทางเบราว์เซอร์ไปยังเว็บไซต์ที่มีแบบฟอร์มฟิชชิงเมื่อเปิดภาพ

    ปัญหาคือเนื่องจากไฟล์เหล่านี้ส่วนใหญ่เป็นแค่การแทนค่าภาพในรูปแบบข้อความ ทำให้ไม่ถูกตรวจจับโดยซอฟต์แวร์ด้านความปลอดภัย จากตัวอย่างที่พบโดย BleepingComputer และอัปโหลดไปยัง VirusTotal พบว่า อย่างมากที่สุดจะมีการตรวจจับแค่หนึ่ง หรือสองผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัย

    ด้วยเหตุนี้ การได้รับไฟล์แนบ SVG จึงไม่ใช่เรื่องปกติสำหรับการใช้งานอีเมล และควรพิจารณาว่าเป็นเหตุการณ์ที่ผิดปกติทันทีเว้นแต่กรณีที่คุณเป็นนักพัฒนาซอฟต์แวร์ และอาจจะเป็นไปได้ที่ได้รับไฟล์แนบประเภทนี้ แต่การลบอีเมลเมื่อได้รับไฟล์แนบเหล่านี้จะเป็นวิธีการที่ปลอดภัยที่สุด

Ref : bleepingcomputer.com

ไมโครซอฟท์กำลังใช้เท็นแนนท์ปลอมในระบบคลาวด์ของ Azure เพื่อดักจับกลุ่มผู้ที่ทำฟิชชิง (phishers) ให้เข้ามาในระบบฮันนีพอต (honeypot)

    ไมโครซอฟท์กำลังใช้กลยุทธ์หลอกลวงเพื่อรับมือกับผู้ที่ทำฟิชชิง (phishing) โดยสร้างเท็นแนนท์ฮันนีพอต (honeypot tenants) ที่ดูสมจริงพร้อมการเข้าถึง Azure เพื่อดึงดูดอาชญากรไซเบอร์เข้ามา เพื่อรวบรวมข้อมูลเกี่ยวกับพวกเขา

    ด้วยข้อมูลที่รวบรวมได้ ไมโครซอฟท์สามารถทำแผนที่โครงสร้างพื้นฐานที่เป็นอันตราย เข้าใจการปฏิบัติการฟิชชิงที่ซับซ้อนมากขึ้น ขัดขวางแคมเปญในวงกว้าง ระบุอาชญากรไซเบอร์ และทำให้กิจกรรมของพวกเขาช้าลงอย่างมาก

    กลยุทธ์นี้และผลกระทบที่สร้างความเสียหายต่อกิจกรรมฟิชชิงได้รับการอธิบายที่งานประชุม BSides Exeter โดย Ross Bevington วิศวกรซอฟต์แวร์ด้านความปลอดภัยหลักของไมโครซอฟท์ ซึ่งเรียกตัวเองว่า "หัวหน้าฝ่ายหลอกลวง" ของไมโครซอฟท์

    Bevington ได้สร้าง "ฮันนีพอตแบบผสมที่มีการโต้ตอบสูง" บนเว็บไซต์ code.microsoft.com ที่ปัจจุบันได้ปิดตัวลงแล้ว เพื่อรวบรวมข่าวกรองเกี่ยวกับภัยคุกคามจากทั้งอาชญากรไซเบอร์ที่มีทักษะต่ำ ไปจนถึงกลุ่มที่เกี่ยวข้องกับรัฐซึ่งพุ่งเป้าไปที่โครงสร้างพื้นฐานของ Microsoft

การสร้างภาพลวงตาของความสำเร็จในการฟิชชิง

    ปัจจุบัน Bevington และทีมของเขาต่อสู้กับการฟิชชิงโดยใช้เทคนิคการหลอกลวง โดยใช้สภาพแวดล้อมเท็นแนนท์ทั้งหมดของ Microsoft เป็นฮันนีพอต ซึ่งมีชื่อโดเมนที่ปรับแต่งขึ้นเอง บัญชีผู้ใช้หลายพันบัญชี และกิจกรรมต่าง ๆ เช่น การสื่อสารภายในและการแชร์ไฟล์

    โดยทั่วไปแล้ว บริษัทหรือผู้วิจัยจะตั้งค่าฮันนีพอตและรอให้อาชญากรไซเบอร์ค้นพบและดำเนินการโจมตี นอกจากจะช่วยเบี่ยงเบนผู้โจมตีออกจากสภาพแวดล้อมจริงแล้ว ฮันนีพอตยังช่วยรวบรวมข่าวกรองเกี่ยวกับวิธีที่ใช้ในการเจาะระบบ ซึ่งสามารถนำไปใช้ในเครือข่ายที่แท้จริงได้

    แม้แนวคิดของ Bevington จะมีลักษณะคล้ายกัน แต่แตกต่างตรงที่เขาเป็นฝ่ายบุกเข้าไปหาผู้โจมตีเอง แทนที่จะรอให้อาชญากรค้นพบทางเข้า ในการบรรยายที่งาน BSides Exeter ผู้วิจัยกล่าวว่าแนวทางเชิงรุกนี้ประกอบด้วยการเข้าไปในเว็บไซต์ฟิชชิงที่ Microsoft Defender ระบุไว้ และพิมพ์ข้อมูลรับรองจากเท็นแนนท์ที่เป็นฮันนีพอต

    เนื่องจากข้อมูลรับรองเหล่านี้ไม่ได้รับการป้องกันด้วยการยืนยันตัวตนแบบสองปัจจัย (2FA) และเท็นแนนท์ถูกเติมเต็มด้วยข้อมูลที่ดูสมจริง ผู้โจมตีจึงสามารถเจาะเข้ามาได้ง่าย และเสียเวลาในการหาว่ามีอะไรผิดปกติหรือไม่

    ไมโครซอฟท์ระบุว่าตรวจสอบเว็บไซต์ฟิชชิงประมาณ 25,000 แห่งทุกวัน โดยป้อนข้อมูลรับรองของฮันนีพอตในเว็บไซต์เหล่านั้นประมาณ 20% ส่วนที่เหลือจะถูกบล็อกโดย CAPTCHA หรือกลไกป้องกันบอทอื่น ๆ

    เมื่อผู้โจมตีเข้าสู่เท็นแนนท์ปลอม ซึ่งเกิดขึ้นใน 5% ของกรณี จะมีการเปิดระบบบันทึกที่ละเอียดเพื่อติดตามทุกการกระทำของพวกเขา เพื่อศึกษาเทคนิคและขั้นตอนการโจมตี

    ข้อมูลข่าวกรองที่รวบรวมได้รวมถึงที่อยู่ IP, เบราว์เซอร์, ตำแหน่งที่ตั้ง, รูปแบบพฤติกรรม, การใช้ VPN หรือ VPS และชุดเครื่องมือฟิชชิงที่พวกเขาใช้งาน

    นอกจากนี้ เมื่อผู้โจมตีพยายามโต้ตอบกับบัญชีปลอมในสภาพแวดล้อม Microsoft จะทำให้การตอบสนองช้าลงมากที่สุดเท่าที่จะทำได้

    เทคโนโลยีการหลอกลวงในปัจจุบันทำให้ผู้โจมตีเสียเวลาไป 30 วันก่อนที่จะรู้ตัวว่าพวกเขาเจาะเข้าสู่สภาพแวดล้อมปลอม ในระหว่างนั้น ไมโครซอฟท์จะรวบรวมข้อมูลที่นำไปปฏิบัติได้ ซึ่งสามารถนำไปใช้โดยทีมรักษาความปลอดภัยอื่น ๆ เพื่อสร้างโปรไฟล์ที่ซับซ้อนขึ้นและเพิ่มประสิทธิภาพการป้องกัน

    Bevington กล่าวว่ามีเพียงน้อยกว่า 10% ของที่อยู่ IP ที่พวกเขารวบรวมผ่านวิธีนี้ ที่สามารถเชื่อมโยงกับข้อมูลในฐานข้อมูลภัยคุกคามที่รู้จักอื่น ๆ วิธีนี้ช่วยให้รวบรวมข้อมูลข่าวกรองเพียงพอที่จะระบุการโจมตีว่าเป็นกลุ่มที่มีแรงจูงใจทางการเงิน หรือแม้กระทั่งกลุ่มที่ได้รับการสนับสนุนจากรัฐ เช่น กลุ่มภัยคุกคาม Midnight Blizzard (Nobelium) ของรัสเซีย

    แม้ว่าหลักการใช้การหลอกลวงเพื่อปกป้องทรัพยากรจะไม่ใช่เรื่องใหม่ และหลายบริษัทพึ่งพาฮันนีพอตหรือวัตถุแจ้งเตือนเพื่อตรวจจับการบุกรุกและติดตามแฮกเกอร์ แต่ไมโครซอฟท์ได้ค้นพบวิธีใช้ทรัพยากรของตนในการล่าหากลุ่มผู้โจมตีและวิธีการของพวกเขาในวงกว้าง

Ref : bleepingcomputer.com

ชุดเครื่องมือฟิชชิ่งแบบใหม่สามารถ Bypass MFA ได้ กำลังมุ่งเป้าไปที่บัญชี Microsoft 365 และ Gmail

    เหล่าอาชญากรไซเบอร์หันมาใช้แพลตฟอร์มฟิชชิ่งรูปแบบใหม่ที่ชื่อว่า "Tycoon 2FA" ซึ่งเป็นบริการฟิชชิ่งสำเร็จรูป (PhaaS) มากขึ้น เพื่อมุ่งเป้าโจมตีบัญชี Microsoft 365 และ Gmail โดยชุดเครื่องมือนี้สามารถ bypass การยืนยันตัวตนแบบ 2 ขั้นตอน (2FA) ได้อีกด้วย

    Tycoon 2FA ถูกพบโดยนักวิเคราะห์จาก Sekoia ในเดือนตุลาคม 2023 ระหว่างการตรวจสอบภัยคุกคามตามปกติ แต่ชุดเครื่องมือนี้มีการใช้งานมาตั้งแต่เดือนสิงหาคม 2023 เป็นอย่างน้อยโดยกลุ่ม Saad Tycoon ซึ่งให้บริการผ่านช่องทาง Telegram ส่วนตัว

    ชุดเครื่องมือ PhaaS นี้ มีความคล้ายคลึงกับแพลตฟอร์ม AitM (Adversary-in-the-Middle) อื่น ๆ เช่น Dadsec OTT ซึ่งแสดงให้เห็นว่าอาจมีการนำโค้ดมาใช้ซ้ำ หรือเป็นการทำงานร่วมกันระหว่างนักพัฒนา

ในปี 2024 Tycoon 2FA ได้เปิดตัวเวอร์ชันใหม่ที่แอบแฝงได้แนบเนียนยิ่งขึ้น ซึ่งแสดงให้เห็นถึงความพยายามอย่างต่อเนื่องในการพัฒนาชุดเครื่องมือฟิชชิ่งนี้ให้มีประสิทธิภาพมากขึ้น ปัจจุบันบริการนี้มีโดเมนที่ใช้งานมากกว่า 1,100 โดเมน และถูกนำไปใช้ในการโจมตีฟิชชิ่งหลายพันครั้ง

การโจมตี Tycoon 2FA

    การโจมตีด้วย Tycoon 2FA เป็นกระบวนการหลายขั้นตอนที่ผู้โจมตีทำการขโมยคุกกี้เซสชันโดยใช้เซิร์ฟเวอร์ reverse proxy ซึ่งทำหน้าที่เป็นโฮสต์เว็บฟิชชิ่ง เว็บฟิชชิ่งเหล่านี้จะดักจับข้อมูลที่ผู้เสียหายกรอกเข้าไป และส่งต่อข้อมูลนั้นไปยังบริการที่ถูกต้อง

    บริษัท Sekoia อธิบายว่า "เมื่อผู้ใช้ผ่านการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำเร็จ เซิร์ฟเวอร์ reverse proxy จะทำการขโมยคุกกี้เซสชันของผู้ใช้งานไป" ด้วยวิธีนี้ผู้โจมตีสามารถนำเซสชันของผู้ใช้ไปใช้ต่อได้อีกครั้ง ส่งผลให้สามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้

รายงานของ Sekoia แบ่งการโจมตีด้วย Tycoon 2FA ออกเป็น 7 ขั้นตอน ดังนี้:

• Stage 0 : ผู้โจมตีจะกระจายลิงก์เว็บฟิชชิ่งไปยังเหยื่อผ่านทางอีเมลที่ฝัง URL หรือรหัส QR โดยปลอมแปลงเป็นองค์กรที่น่าเชื่อถือ
• Stage 1 : ผู้โจมตีใช้ระบบกรองความเป็นมนุษย์ (CAPTCHA) แบบพิเศษอย่าง Cloudflare Turnstile เพื่อกรองโปรแกรม Bot ออก ให้เหลือเฉพาะผู้ใช้งานจริงเท่านั้นที่จะเข้าถึงเว็บฟิชชิ่งได้
• Stage 2 : สคริปต์เบื้องหลังของเว็บฟิชชิ่ง จะทำการดึงข้อมูลอีเมลของเหยื่อจาก URL เพื่อปรับแต่งสำหรับการโจมตีแบบฟิชชิ่ง
• Stage 3 : เหยื่อจะถูกนำไปยังอีกส่วนหนึ่งของเว็บฟิชชิ่งโดยที่ไม่รู้ตัว ซึ่งการกระทำนี้จะพาเหยื่อเข้าใกล้หน้าเข้าสู่ระบบปลอมมากขึ้น
• Stage 4 : ในขั้นตอนนี้จะแสดงหน้าเข้าสู่ระบบปลอมของ Microsoft เพื่อขโมยข้อมูลรับรอง (credentials) โดยใช้ WebSockets ในการแอบส่งข้อมูลออกไป
• Stage 5 : ชุดเครื่องมือนี้จะเลียนแบบการยืนยันตัวตนแบบสองปัจจัย (2FA) โดยดักจับรหัสโทเค็น หรือการตอบสนองของ 2FA เพื่อ bypass การรักษาความปลอดภัย
• Stage 6 : ในที่สุด เหยื่อจะถูกนำทางไปยังหน้าเว็บที่ดูเหมือนเป็นหน้าเว็บที่ถูกต้อง เพื่อซ่อนความสำเร็จของการโจมตีฟิชชิ่ง

ภาพรวมของการโจมตีอธิบายไว้ด้วยแผนภาพด้านล่างนี้ซึ่งรวมถึงขั้นตอนทั้งหมดของกระบวนการ

    Sekoia รายงานว่า Tycoon 2FA ซึ่งเป็นชุดเครื่องมือฟิชชิ่งเวอร์ชันล่าสุดที่เปิดตัวในปีนี้ มีการปรับปรุงเปลี่ยนแปลงอย่างมาก ช่วยยกระดับประสิทธิภาพในการฟิชชิ่ง และหลีกเลี่ยงการตรวจจับ

    การเปลี่ยนแปลงสำคัญประกอบด้วย การปรับปรุงโค้ด JavaScript และ HTML, การเปลี่ยนลำดับการดึงข้อมูล และการกรองข้อมูลที่เข้มงวดขึ้นเพื่อบล็อกการเข้าถึงเว็บไซต์จากบอท และเครื่องมือวิเคราะห์

    ตัวชุดเครื่องมือตอนนี้เลื่อนการโหลดการเข้าถึงหน้าฟิชชิ่งไปจนกระทั่งหลังจากที่ผ่านการตรวจสอบจาก Cloudflare Turnstile โดยใช้ชื่อ URL ที่เป็นเลขสุ่มเพื่อปิดการทำงาน

    นอกจากนี้ ระบบรักษาความปลอดภัยยังสามารถระบุ traffic จาก Tor network ที่เชื่อมโยงกับศูนย์ข้อมูลได้ดียิ่งขึ้น ในขณะเดียวกันก็มีการบล็อกการเข้าถึงเว็บไซต์จากโปรแกรมโดยอิงตาม user-agent strings ที่เฉพาะเจาะจง

    เกี่ยวกับขอบเขตของการดำเนินการ Sekoia รายงานว่ามีขนาดใหญ่อย่างมากเนื่องจากมีหลักฐานแสดงถึงผู้ใช้งานหลากหลายที่มีพฤติกรรมในลักษณะที่กำลังใช้ Tycoon 2FA สำหรับการดำเนินการฟิชชิ่ง

กระเป๋า Bitcoin ที่เชื่อมโยงกับผู้ดำเนินการ มีธุรกรรมมากกว่า 1,800 รายการตั้งแต่ตุลาคม 2019 โดยมีจำนวนธุรกรรมเพิ่มขึ้นอย่างเห็นได้ชัดตั้งแต่เดือนสิงหาคม 2023 ซึ่งเป็นช่วงเวลาที่เครื่องมือนี้เปิดตัว

มีธุรกรรมมากกว่า 530 รายการที่มีมูลค่าเกิน 120 ดอลลาร์ ซึ่งเป็นราคาเริ่มต้นสำหรับลิงก์การโจมตีฟิชชิ่งในระยะเวลา 10 วัน โดยถึงกลางเดือนมีนาคม 2024 กระเป๋าเงินของผู้โจมตีได้รับเงินสดรวมมูลค่า 394,015 ดอลลาร์

    Tycoon 2FA เป็นเพียงการพัฒนาล่าสุดใน PhaaS ที่มีตัวเลือกมากมายสำหรับอาชญากรไซเบอร์ แพลตฟอร์มที่มีชื่อเสียงอื่นที่สามารถหลบหลีกการป้องกัน 2FA ได้ เช่น LabHost, Greatness, และ Robin Banks

Ref : bleepingcomputer

Google Chrome อัปเดตการป้องกัน real-time phishing ในปลายเดือนนี้

 

    Google กำลังจะประกาศการอัปเดต Safe Browsing หลังจากเดือนนี้ เพื่อให้การป้องกันการโจมตี real-time phishing ให้กับผู้ใช้งาน Chrome โดยไม่ทําลายความเป็นส่วนตัวของการท่องเว็บ

    Safe Browsing เริ่มต้นให้บริการในปี 2005 เพื่อป้องกันผู้ใช้งาน Chrome จากการโจมตี phishing บนเว็บ และต่อมาได้รับการปรับปรุงเพื่อบล็อกโดเมนที่เสี่ยงต่อ Malware และซอฟต์แวร์ที่ไม่พึงประสงค์

     Safe Browsing Enhanced Protection mode เป็นโหมดที่เสริมประสิทธิภาพที่สามารถเลือกเปิดใช้งานได้ ซึ่งใช้ AI เพื่อบล็อกการโจมตี real-time และการสแกนไฟล์ที่ดาวน์โหลด ปัจจุบัน Safe Browsing ตรวจสอบเว็บไซต์ ดาวน์โหลด และส่วนขยายโดยตรวจสอบกับรายการ URL ที่มีความเสี่ยงจากเซิร์ฟเวอร์ของ Google ทุก 30 ถึง 60 นาที

     Google จะเปลี่ยนเป็นการตรวจสอบแบบ real-time ผ่าน URL บนเซิร์ฟเวอร์เพื่อป้องกันการสร้างเว็บไซต์ชั่วคราวเพื่อใช้งานและหายไปภายในเวลาน้อยกว่า 10 นาที

     Google กล่าวว่าการป้องกันแบบเรียลไทม์ของ Safe Browsing ปกป้องความเป็นส่วนตัวของผู้ใช้งานด้วย API ใหม่ที่ใช้ relays Fastly Oblivious HTTP (OHTTP) เพื่อสร้างความสับสนให้กับ URL ของไซต์ที่ hashed URL ของผู้ใช้งานบางส่วนจะถูกส่งต่อไปที่ Safe Browsing ของ Google ผ่านเซิร์ฟเวอร์ความเป็นส่วนตัว OHTTP ซึ่งจะซ่อนที่อยู่ IP และคำนำหน้า hashed ยังได้รับการเข้ารหัสก่อนที่จะส่งผ่านเซิร์ฟเวอร์ความเป็นส่วนตัวไปยัง Safe Browsing เมื่อเซิร์ฟเวอร์ Safe Browsing ได้รับคำนำหน้า hashed ที่เข้ารหัสจากเซิร์ฟเวอร์ความเป็นส่วนตัว เซิร์ฟเวอร์จะถอดรหัสคำนำหน้า hashed ด้วยคีย์ส่วนตัว จากนั้นจึงตรวจสอบฝั่งเซิร์ฟเวอร์ต่อไป จากข้อมูลของ Google

     Google ประกาศคุณลักษณะการป้องกันฟิชชิ่งแบบเรียลไทม์ของ Safe Browsing ในเดือนกันยายน เมื่อมีการแชร์แผนการใช้ relays HTTP ในการตรวจสอบ 

Ref : bleepingcomputer

Phishing รูปแบบใหม่ มุ่งเป้าขโมยรหัสสำรองของ Instagram เพื่อ bypass 2FA

    พบฟิชชิ่งรูปแบบใหม่ที่แอบอ้างว่าเป็นอีเมล "แจ้งการละเมิดลิขสิทธิ์" เพื่อขโมยรหัสสำรองของผู้ใช้ Instagram ทำให้ผู้ไม่ประสงค์ดีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์แบบ Two-factor authentication (2FA) ที่กำหนดค่าไว้ในบัญชีได้

    การใช้ 2FA สามารถช่วยปกป้องบัญชีได้ หากข้อมูลประจำตัวถูกขโมย หรือ ซื้อจากตลาดอาชญากรรมในโลกไซเบอร์ เนื่องจากผู้ไม่ประสงค์ดีจะต้องเข้าถึงอุปกรณ์มือถือ หรืออีเมลของเป้าหมายเพื่อเข้าสู่บัญชีที่ได้รับการป้องกัน

    เมื่อกำหนดค่าการตรวจสอบสิทธิ์แบบ 2FA บน Instagram ผู้ใช้งานจะได้รหัสสำรอง 8 หลักที่สามารถใช้เพื่อเข้าถึงบัญชีอีกครั้งหากไม่สามารถยืนยันบัญชีโดยใช้ 2FA ได้ ซึ่งอาจเกิดขึ้นได้จากหลายสาเหตุ เช่น การเปลี่ยนหมายเลขโทรศัพท์มือถือ,โทรศัพท์สูญหาย และไม่สามารถเข้าถึงบัญชีอีเมล์ได้

   แต่ถึงอย่างนั้นรหัสสำรองก็ยังมีความเสี่ยง โดยที่ผู้ไม่ประสงค์ดีสามารถขโมยรหัสเหล่านั้นได้ โดยใช้อุปกรณ์ที่ไม่รู้จักอื่น ๆ เพียงแค่ทราบข้อมูลประจำตัวของเป้าหมาย ซึ่งสามารถขโมยได้ผ่านฟิชชิ่ง หรือการเข้าถึงข้อมูลประจำตัวด้วยวิธีอื่น ๆ โดยในอีเมลฟิชชิ่งจะส่งข้อความที่อ้างว่าเป้าหมายได้ละเมิดลิขสิทธิ์ที่ละเมิดกฎหมายคุ้มครองทรัพย์สินทางปัญญา และด้วยเหตุนี้ บัญชีของเป้าหมายจึงถูกจำกัด เป้าหมายจำเป็นต้องกดออุทธรณ์ ซึ่งจะพาไปยังหน้าฟิชชิ่งที่ให้กรอกข้อมูลรับรองบัญชี และรายละเอียดอื่น ๆ ซึ่งวิธีดังกล่าวคล้ายกับการโจมตีอื่น ๆ เช่น “against Facebook user” ที่เกี่ยวข้องกับกลุ่ม LockBit ransomware และ BazaLoader รวมถึงกลุ่มอื่น ๆ

ฟิชชิ่งบน Instagram

    การโจมตีของฟิชชิ่งใหม่บน Instagram ถูกพบโดยนักวิเคราะห์ ของ Trustwave ซึ่งรายงานว่าอัตราการเพิ่มขึ้นของการใช้งานการป้องกัน 2FA ทำให้กลุ่มผู้ไม่ประสงค์ดีจำเป็นต้องขยายขอบเขตการกำหนดเป้าหมายการโจมตีของพวกเขา

    ซึ่งอีเมลฟิชชิ่งล่าสุดได้แอบอ้างเป็น Meta ซึ่งเป็นบริษัทแม่ของ Instagram โดยเตือนว่าผู้ใช้ Instagram ได้รับการร้องเรียนเรื่องการละเมิดลิขสิทธิ์จากนั้นอีเมลจะแจ้งให้ผู้ใช้กรอกแบบฟอร์มอุทธรณ์เพื่อแก้ไขปัญหา

    การคลิกที่ปุ่มจะนำเป้าหมายไปยังเว็บไซต์ฟิชชิ่งที่ปลอมเป็นพอร์ทัลการละเมิดลิขสิทธิ์ของ Meta โดยให้เหยื่อคลิกปุ่มที่สองที่มีป้ายกำกับว่า "ไปที่แบบฟอร์มยืนยัน (ยืนยันบัญชีของฉัน)" หลังจากนั้นปุ่มที่สองจะเปลี่ยนเส้นทางไปยังหน้าฟิชชิ่งอื่นที่ออกแบบมาให้ปรากฏเป็นพอร์ทัล "ศูนย์อุทธรณ์" ของ Meta ซึ่งเหยื่อจะถูกขอให้ป้อนชื่อผู้ใช้ และรหัสผ่าน (สองครั้ง) หลังจากได้รายละเอียดเหล่านี้แล้ว เว็บไซต์ฟิชชิ่งจะถามเป้าหมายว่าบัญชีของพวกเขาได้รับการคุ้มครองโดย 2FA หรือไม่ และเมื่อยืนยันแล้วจะขอรหัสสำรอง 8 หลัก

    แม้ว่าฟิชชิ่งดังกล่าวจะมีความน่าสงสัยหลายประการ เช่น ที่อยู่ของผู้ส่งอีเมล, หน้าเปลี่ยนเส้นทาง และ URL ของหน้าเว็บฟิชชิ่ง แต่การออกแบบที่น่าเชื่อถือ และการสร้างความรู้สึกเร่งด่วนให้กับเป้าหมายเพื่อให้เร่งดำเนินการ ยังคงสามารถหลอกล่อเป้าหมายให้เปิดเผยข้อมูลรับรองบัญชี และรหัสสำรองของตนได้

รหัสสำรองมีไว้เพื่อเก็บไว้เป็นส่วนตัว และเก็บไว้อย่างปลอดภัย เจ้าของบัญชีควรเก็บรักษารหัสสำรองในระดับเดียวกับรหัสผ่าน และหลีกเลี่ยงการป้อนข้อมูลเหล่านั้นที่ใดก็ตาม เว้นแต่จำเป็นสำหรับการเข้าถึงบัญชี

    ทั้งนี้หากยังสามารถเข้าถึง 2FA codes/keys ได้ ก็ไม่จำเป็นต้องกรอกรหัสสำรองไปที่อื่นนอกเหนือจากในเว็บไซต์ หรือแอป Instagram

Ref : bleepingcomputer

Google แจ้งเตือนผู้ไม่ประสงค์ดีกำลังใช้ประโยชน์จากช่องโหว่ของ Zimbra ในการโจมตีองค์กรภาครัฐ

   ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ CVE-2023-37580 ที่มีระดับความรุนแรงปานกลาง ซึ่งถูกพบเมื่อวันที่ 29 มิถุนายน 2023 เกือบหนึ่งเดือนก่อนที่ผู้ให้บริการจะออกแพตซ์แก้ไขช่องโหว่ดังกล่าวในเวอร์ชัน 8.8.15 Patch 41 เมื่อวันที่ 25 กรกฎาคม 2023 โดยเป็นช่องโหว่ XSS (cross-site scripting) ที่อยู่ใน Zimbra Classic Web Client

Timeline การโจมตี และการตอบสนองต่อการโจมตี

    นักวิจัยระบุว่า ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่โจมตีระบบของรัฐบาลหลาย ๆ ประเทศ เพื่อขโมยข้อมูลอีเมล ข้อมูล credentials ของผู้ใช้งาน และ authentication tokens เพื่อดำเนินการส่งต่ออีเมล และนำเหยื่อไปยังหน้าฟิชชิ่ง

    Google พบว่ามีผู้ไม่ประสงค์ดี 4 ราย ใช้ช่องโหว่ที่ยังไม่เป็นที่รู้จักเมื่อปลายเดือนมิถุนายน 2023 เพื่อโจมตีองค์กรของรัฐบาลในประเทศกรีซ

    ผู้ไม่ประสงค์ดีได้ส่งอีเมลที่มี URL ที่เป็นอันตรายที่ทำให้สามารถขโมยข้อมูลอีเมล และดำเนินการส่งต่ออีเมลได้โดยอัตโนมัติไปยังที่อยู่ที่ควบคุมโดยผู้โจมตี

   โดย Zimbra ออก Hot Fix สำหรับแก้ไขช่องโหว่ฉุกเฉินบน GitHub ภายหลังจากที่นักวิเคราะห์ของ Google แจ้งเตือนถึงเหตุการณ์การโจมตีดังกล่าว

การโจมตีครั้งที่ 2 ถูกพบเมื่อวันที่ 11 กรกฎาคม 2023 โดยผู้ไม่ประสงค์ดีที่เป็นที่รู้จักในชื่อ "Winter Vivern" ซึ่งกำหนดเป้าหมายไปที่องค์กรภาครัฐในมอลโดวา และตูนิเซีย โดย URL ที่ใช้ในการโจมตีครั้งนี้จะโหลด JavaScript ที่เป็นอันตรายบนระบบเป้าหมาย

    วันที่ 13 กรกฎาคม Zimbra ได้เผยแพร่คำแนะนำด้านความปลอดภัยที่แนะนำการลดผลกระทบจากช่องโหว่ แต่ไม่มีรายละเอียดเกี่ยวกับผู้ไม่ประสงค์ดีที่ใช้ประโยชน์จากช่องโหว่ดังกล่าว

การโจมตีครั้งที่ 3 ถูกพบเมื่อวันที่ 20 กรกฎาคม 2023 จากกลุ่มผู้ไม่ประสงค์ดีที่ไม่ปรากฏชื่อ ซึ่งมุ่งเป้าไปที่องค์กรรัฐบาลเวียดนาม โดยการโจมตีเหล่านี้ใช้ URL เพื่อนำเหยื่อไปยังหน้าฟิชชิ่ง

ห้าวันต่อมา Zimbra ก็ได้ออกแพตซ์อย่างเป็นทางการสำหรับ CVE-2023-37580 แต่ยังคงไม่ได้ให้ข้อมูลเกี่ยวกับการโจมตีที่กำลังดำเนินการอยู่

    การโจมตีครั้งที่ 4 ถูกพบเมื่อวันที่ 25 สิงหาคม โดยผู้ไม่ประสงค์ดีได้ศึกษาช่องโหว่เพิ่มเติม หลังจากที่ผู้ให้บริการทำการออกแพตซ์เพื่อแก้ไข โดยช่องโหว่นี้ถูกใช้ประโยชน์เพื่อโจมตีระบบขององค์กรรัฐบาลปากีสถานเพื่อขโมย authentication tokens ของ Zimbra

    รายงานของ Google ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับผู้โจมตี แต่ยังคงแจ้งเตือนให้ผู้ใช้งานทราบถึงความสําคัญของการอัปเดตแพตซ์ด้านความปลอดภัย แม้ว่าจะเป็นช่องโหว่ระดับความรุนแรงปานกลาง เนื่องจากมีการพบการใช้ประโยชน์จากช่องโหว่ในการโจมตีอยู่ในปัจจุบัน

    การโจมตีโดยใช้ช่องโหว่ CVE-2023-37580 เป็นหนึ่งในหลายตัวอย่างของช่องโหว่ XXS ที่ใช้ในการโจมตีอีเมลเซิร์ฟเวอร์ เช่น CVE-2022-24682 และ CVE-2023-5631 ซึ่งส่งผลกระทบต่อ Zimbra และ Roundcube

Ref: bleepingcomputer

ZeroFont เมล์ Phishing ใหม่ด้วยการหลอกว่าเป็นการแจ้งเตือนจาก Antivirus(ปลอม)

    ผู้ไม่ประสงค์ดี เปลี่ยนรูปแบบของฟิชชิ่งรูปแบบใหม่มาใช้ในการโจมตีด้วยการใช้ ZeroFont เพื่อทำให้อีเมลดังกล่าวนั้นถูกแสดงเป็นอันตรายต่อระบบ และเมื่อถูกตรวจสอบความปลอดภัยทำให้ถูกตรวจพบเป็น Virus บน MS outlook ถึงแม้ว่าการใช้ ZeroFont จะเคยถูกใช้มาแล้วในอดีต แต่ถือว่านี้เป็นครั้งแรกที่มันปรากฏขึ้นและถูกตรวจจับได้

ZeroFont

   ถูกพบครั้งแรกเมื่อปี 2561 เป็นเทคนิคหนึ่งในการแทรกคำหรืออักขระที่ซ่อนอยู่ในอีเมลโดยการตั้งค่าขนาดตัวอักษรเป็นศูนย์ แสดงผลข้อความที่มนุษย์ไม่สามารถมองเห็นได้ แต่สามารถอ่านได้ด้วย NLP การโจมตีนี้มีจุดมุ่งหมายเพื่อหลีกเลี่ยงตัวกรองความปลอดภัยโดยการแทรกคำที่ไม่เป็นอันตรายซึ่งมองไม่เห็นซึ่งผสมกับเนื้อหาที่มองเห็นได้ที่น่าสงสัย บิดเบือนการตีความเนื้อหาโดย AI และผลลัพธ์ของการตรวจสอบความปลอดภัย

ซ่อนกระบวนการสแกนไวรัสหลอก ๆ

    จากการที่มีผู้ได้รับอีเมลแบบฟิชชิ่งที่ใช้การ โจมตีแบบ ZeroFont และใช้ MS Outlooks เป็นตัวกลางในการส่งออกและด้วยการผาดหัวอีเมลว่า ได้รับการสแกนความปลอดภัยโดย Isc Advanced Threat Protection และในส่วนของ หัวขอ อีเมล จะเป็นลักษณะของการเสนอตำแหน่งงานให้

    โดยการใช้ประโยชน์จาก ZeroFont เพื่อซ่อนข้อความสแกนความปลอดภัยปลอมที่ตอนต้นของอีเมลฟิชชิ่ง ดังนั้นแม้ว่าผู้รับจะมองไม่เห็น แต่ Outlook ก็ยังคงดึงข้อความนั้นมาและแสดงเป็นตัวอย่างในบานหน้าต่างรายการอีเมล

Ref : bleepingcomputer

W3LL phishing kit โจมตีบัญชี Microsoft 365 นับพันบัญชีด้วยการ bypasses MFA

    ผู้ไม่ประสงค์ดีที่รู้จักกันในชื่อ W3LL ได้พัฒนาฟิชชิงที่สามารถ bypass multi-factor authentication พร้อมกับเครื่องมืออื่น ๆ ที่ทำให้สามารถโจมตีบัญชี Microsoft 365 ขององค์กรมากกว่า 8,000 บัญชี ในระยะเวลา 10 เดือน ผู้เชี่ยวชาญด้านดวามปลอดภัยด้านความปลอดภัยพบว่าเครื่องมือ และโครงสร้างพื้นฐานของ W3LL ถูกใช้ในการสร้างฟิชชิงประมาณ 850 ครั้ง ซึ่งกำหนดเป้าหมายไปที่ข้อมูลส่วนบุลคลของบัญชี Microsoft 365 มากกว่า 56,000 บัญชี

การพัฒนาของ W3LL

    ผู้ไม่ประสงค์ดีอย่างน้อย 500 รายได้ใช้เครื่องมือฟิชชิ่งแบบ custom ของ W3LL ในการโจมตีแบบ Business Email Compromise (BEC) ทำให้เกิดความสูญเสียทางการเงินหลายล้านดอลลาร์สหรัฐฯ ผู้เชี่ยวชาญด้านดวามปลอดภัยระบุว่า W3LL ครอบคลุมเกือบทั้งหมดสำหรับการโจมตีแบบ BEC และสามารถใช้งานได้โดย "ผู้ไม่ประสงค์ดีที่มีทักษะทางเทคนิคในทุกระดับ"

    ในรายงานจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Group-IB ได้ให้รายละเอียดเกี่ยวกับ W3LL ที่กลายมาเป็นหนึ่งในนักพัฒนามัลแวร์ขั้นสูงสำหรับกลุ่มผู้ไม่ประสงค์ดีที่มักใช้วิธี BEC หลักฐานแรกในการดำเนินการของ W3LL ถูกพบครั้งแรกในปี 2017 เมื่อผู้พัฒนาเริ่มใช้เครื่องมือ custom สำหรับการส่งอีเมลจำนวนมากที่ชื่อว่า "W3LL SMTP Sender" ซึ่งถูกใช้สำหรับการส่งสแปม ความนิยม และธุรกิจของกลุ่มผู้ไม่ประสงค์ดีเริ่มเติบโตขึ้นเมื่อเริ่มมีการขายชุดเครื่องมือฟิชชิงแบบ custom ที่มุ่งเน้นไปที่บัญชีองค์กรของ Microsoft 365

    ผู้เชี่ยวชาญด้านดวามปลอดภัยระบุว่า ในปี 2018 W3LL ได้เปิดตัว W3LL Store ซึ่งเป็นตลาดภาษาอังกฤษที่สามารถโปรโมต และขายเครื่องมือของตนให้กับ community ของอาชญากรทางไซเบอร์ "เครื่องมือหลักของ W3LL คือ W3LL Panel ซึ่งอาจถือเป็นหนึ่งในชุดเครื่องมือสำหรับการโจมตีแบบฟิชชิงที่ล้ำสมัยที่สุดในระดับเดียวกัน โดยมีฟังก์ชันการทำงานแบบ adversary-in-the-middle, API, การป้องกันซอร์สโค้ด และความสามารถเฉพาะทางอื่น ๆ"

ชุดเครื่องมือของ W3LL สำหรับการโจมตีแบบ BEC

นอกจาก W3LL Panel ซึ่งถูกออกแบบเพื่อ bypass multi-factor authentication (MFA) ผู้ไม่ประสงค์ดียังมีเครื่องมืออีก 16 รายการที่เตรียมไว้สำหรับการโจมตี BEC (Business Email Compromise) รวมถึง:

• SMTP senders PunnySender และ W3LL Sender
• เครื่องมือ link stager ที่เป็นอันตรายชื่อ W3LL Redirect
• เครื่องมือสแกนช่องโหว่ชื่อ OKELO
• เครื่องมือค้นหาบัญชีอัตโนมัติชื่อ CONTOOL
• โปรแกรมตรวจสอบอีเมลชื่อ LOMPAT

    สำหรับการโจมตี BEC มีขั้นตอนเริ่มต้นที่การเลือกเป้าหมาย, การโจมตีแบบฟิชชิงผ่านอีเมลที่ที่มีไฟล์แนบ (ค่าเริ่มต้น หรือปรับแต่งเองได้), ไปจนถึงการส่งอีเมลฟิชชิงเข้าไปในกล่องจดหมายของเหยื่อ ผู้เชี่ยวชาญด้านดวามปลอดภัยระบุว่า W3LL เชี่ยวชาญมากพอที่จะปกป้องเครื่องมือของตนจากการถูกตรวจจับ หรือปิดกั้นได้ โดยการนำไปใช้งานบนโฮสต์เซิร์ฟเวอร์ และบริการที่โจมตีมาอีกที อย่างไรก็ตาม ผู้ใช้งานยังมีตัวเลือกในการใช้เครื่องมือสแกน OKELO ของ W3LL เพื่อค้นหาระบบที่มีช่องโหว่ และเข้าถึงระบบได้ด้วยตนเอง

Bypassing filters และ security agents

    บางเทคนิคที่ W3LL ใช้ คือการ bypass email filters และ security agents รวมถึงปลอมแปลงหัวเรื่องอีเมล และเนื้อหาในข้อความ (Punycode, แท็ก HTML, รูปภาพ, ลิงก์ที่มีเนื้อหาจากภายนอก) phishing links ใช้วิธีการหลายอย่างเพื่อหลีกเลี่ยงการตรวจจับ หนึ่งในนั้นคือการแนบไฟล์ฟิชชิง แทนที่จะฝังไว้ในเนื้อหาของอีเมลนักวิจัยพบว่าลิงก์นั้นถูกวางไว้ในไฟล์ HTML ที่แนบมา เมื่อเหยื่อเปิดไฟล์ HTML ที่เป็นอันตรายซึ่งอาจปลอมเป็นเอกสาร หรือข้อความเสียง เบราว์เซอร์จะเปิดขึ้นพร้อมกับการแสดงผลที่คล้ายกับ MS Outlook animation     ซึ่งนี่คือ W3LL Panel phishing page ที่พร้อมใช้งานสำหรับการเก็บข้อมูลของบัญชี Microsoft 365 ในการวิเคราะห์ไฟล์แนบจากการโจมตีแบบฟิชชิงจาก W3LL ที่พบ Group-IB ได้สังเกตว่าเป็นไฟล์ HTML ที่แสดงเว็ปไซต์ใน iframe โดยใช้ JavaScript ที่ถูกเข้ารหัส base64

W3LL phishing attachment observed in the wild

    ในเวอร์ชันใหม่ล่าสุด ซึ่งอัปเดตในช่วงปลายเดือนมิถุนายน W3LL ได้เพิ่ม การสร้างความสับสน และการเข้ารหัสแบบ multiple layers โดยจะโหลดสคริปต์โดยตรงจาก W3LL Panel แทนที่จะรวมไว้ในโค้ด HTML

ลำดับการทำงานสำหรับเวอร์ชันล่าสุดมีลักษณะดังนี้ :

Updated W3LL phishing attachment

การโจมตีบัญชีองค์กร Microsoft 365

  นักวิจัยของ Group-IB อธิบายว่าลิงก์เริ่มต้นในการโจมตีฟิชชิงไม่ได้นำไปสู่หน้าการเข้าสู่ระบบ Microsoft 365 ที่ถูกปลอมแปลงใน W3LL Panel การเชื่อมต่อลักษณะดังกล่าวถูกกำหนดขึ้นเพื่อป้องกันการตรวจสอบหน้าฟิชชิงของ W3LL Panel เพื่อที่ W3LL จะโจมตีบัญชี Microsoft 365 นั้นจะใช้เทคนิค Adversary/Man-in-the-middle (AitM/MitM) โดยการเชื่อมต่อระหว่างเหยื่อ และเซิร์ฟเวอร์ของ Microsoft จะผ่าน W3LL Panel และ W3LL Store ที่ทำหน้าที่เป็นระบบ backend

   เป้าหมายคือการได้มาซึ่งคุกกี้เซสชันการ authentication ของเหยื่อ สำหรับวิธีนี้ W3LL Panel จำเป็นต้องดำเนินการหลายขั้นตอน ซึ่งรวมถึง:

• ผ่านการตรวจสอบ CAPTCHA
• ตั้งค่าหน้าการเข้าสู่ระบบที่ปลอมแปลงให้เหมือนจริง
• ตรวจสอบบัญชีของเหยื่อ
• ได้มาซึ่งอัตลักษณ์ขององค์กรเป้าหมาย (เช่น ชื่อแบรนด์, โลโก้ฯ)
• รับคุกกี้สำหรับการเข้าสู่ระบบ
• ระบุประเภทของบัญชี
• ตรวจสอบรหัสผ่าน
• รับรหัสผ่านแบบใช้ครั้งเดียว (OTP)
• รับคุกกี้เซสชันที่ผ่านการ authentication

    หลังจากที่ W3LL Panel ได้รับคุกกี้เซสชันที่ผ่านการ authentication แล้ว บัญชีจะถูกเข้าถึงได้ และเหยื่อจะเห็นเอกสาร PDF เพื่อทำให้ดูเหมือนการเข้าสู่ระบบนั้นถูกต้อง

ขั้นตอนการค้นหาบัญชี

   เมื่อใช้ CONTOOL ผู้ไม่ประสงค์ดีสามารถทำให้การค้นหาอีเมล, เบอร์โทรศัพท์, ไฟล์แนบ, เอกสาร, หรือ URL ที่เหยื่อใช้โดยอัตโนมัติ ซึ่งอาจช่วยในการโจมตีไปยังระบบอื่น ๆ เครื่องมือนี้ยังสามารถตรวจสอบ กรอง และแก้ไขอีเมลที่เข้ามาได้ รวมทั้งรับการแจ้งเตือนผ่านบัญชี Telegram โดยขึ้นอยู่กับ keywords ที่ระบุไว้

ตามรายงานของ Group-IB ผลลัพธ์ทั่วไปของการโจมตีคือ :

• การขโมยข้อมูล
• ใบแจ้งหนี้ปลอมที่มีข้อมูลการชำระเงินของผู้ไม่ประสงค์ดี
• การปลอมตัวเป็นบริการเพื่อส่งคำขอชำระเงินปลอมให้กับลูกค้า
• Classic BEC fraud - เพื่อเข้าถึงผู้บริหารระดับสูง และดำเนินการเพื่อสั่งให้พนักงานโอนเงิน หรือซื้อสินค้า
• แพร่กระจายมัลแวร์

การทำเงินของกลุ่ม W3LL

    รายงานของ Group-IB ได้ศึกษาลึกลงไปในฟังก์ชันของ W3LL Panel โดยอธิบายในระดับเทคนิคว่าคุณสมบัติบางอย่างทำงานอย่างไรเพื่อให้บรรลุเป้าหมายที่ตั้งไว้ ไม่ว่าจะเป็นการหลบเลี่ยงการตรวจจับ หรือการรวบรวมข้อมูล โดยเป็นส่วนสำคัญที่มีค่าแก่ผู้พัฒนา และมีราคา 500 ดอลลาร์สหรัฐสำหรับการใช้งานระยะเวลา 3 เดือน และราคาต่ออายุ 150 ดอลลาร์สหรัฐฯ ต่อเดือน ซึ่งผู้ใช้จำเป็นต้องซื้อ license เพื่อเปิดใช้งานด้วยอีกด้วย

W3LL Store and Panel

    กลุ่มผู้ไม่ประสงค์ดี W3LL ก่อตั้งขึ้นเมื่อประมาณ 5 ปีที่แล้ว และมีแฮ็กเกอร์ใช้งานมากกว่า 500 คน โดยมีฟีเจอร์ให้เลือกใช้งานมากกว่า 12,000 รายการ นอกจากเครื่องมือที่เกี่ยวข้องกับการโจมตีด้วยฟิชชิ่ง และ BEC ที่กล่าวมาแล้ว W3LL ยังให้บริการเข้าถึงบริการเว็ปไซต์ที่ถูกโจมตี (web shell, อีเมล, ระบบการจัดการเนื้อหา) และเซิร์ฟเวอร์ SSH และ RDP, บัญชีโฮสติ้ง และบริการคลาวด์, โดเมนอีเมลธุรกิจ, บัญชี VPN, และบัญชีอีเมลที่ถูกยึดครอง (hijacked email accounts) ให้บริการอีกด้วย นักวิจัยจาก Group-IB รายงานว่า ระหว่างเดือนตุลาคม ปี 2022 ถึงกรกฎาคม ปี 2023 W3LL ขายเครื่องมือนี้ได้มากกว่า 3,800 รายการ โดยมีรายได้โดยประมาณมากกว่า 500,000 ดอลลาร์สหรัฐ

Ref : bleepingcomputer

ผู้ไม่ประสงค์ดีใช้ Google AMP ในการโจมตีแบบฟิชชิง

มีการเตือนจากผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ถึงรูปแบบการโจมตีแบบฟิชชิงที่เพิ่มขึ้นโดยการใช้ Google Accelerated Mobile Pages (AMP) ในทางที่ผิดเพื่อหลบเลี่ยงการตรวจสอบจากมาตรการรักษาความปลอดภัยของอีเมล และเข้าถึงอีเมลของพนักงานในองค์กร

Google AMP เป็นเฟรมเวิร์ก HTML แบบโอเพ่นซอร์สที่ร่วมกันพัฒนาโดย Google และพาร์ทเนอร์กว่า 30 ราย เพื่อทำให้เนื้อหาเว็ปโหลดเร็วขึ้นบนอุปกรณ์มือถือ

โดยโฮสต์ AMP pages จะอยู่บนเซิร์ฟเวอร์ของ Google ซึ่งเนื้อหา และสื่อมีเดียบางส่วนจะถูกโหลดไว้ล่วงหน้าเพื่อให้ส่งข้อมูลได้เร็วขึ้น

แนวคิดการใช้ Google AMP URLs ที่ฝังอยู่ในอีเมลฟิชชิง คือการทำให้มาตรการรักษาความปลอดภัยของอีเมลไม่มองว่าอีเมลฟิชชิงดังกล่าวเป็นอันตราย หรือน่าสงสัย เนื่องจากมาจากระบบของ Google

โดย URLs ของ AMP จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ฟิชชิงที่เป็นอันตราย และขั้นตอนนี้ยังเพิ่มความซับซ้อนสำหรับการตรวจสอบอีกด้วย

ข้อมูลจาก Cosense ในช่วงกลางเดือนกรกฎาคม ซึ่งแสดงให้เห็นว่าผู้ไม่ประสงค์ดีอาจมีการปรับใช้วิธีการโจมตีดังกล่าว

Cofense ระบุในรายงานว่า ประมาณ 77 % URL ของ Google AMP ถูกพบอยู่ในโดเมน google.com และ 23% อยู่ในโดเมน google.co.uk

โดย path "google.com/amp/s/" จะเป็น URL ปกติ ทำให้การบล็อก URL นี้อาจส่งผลกระทบต่อการใช้งาน Google AMP อื่น ๆ ทั้งหมด อย่างไรก็ตามการตั้งค่าให้มีการตรวจสอบ URL เหล่านี้ก็ถือว่ามีความสำคัญ และอย่างน้อยก็เพื่อเตือนผู้รับให้ระวังการเปลี่ยนเส้นทางของ URL ที่อาจเป็นอันตราย

การโจมตีแบบพิเศษ

Cosense ระบุว่าผู้ไม่ประสงค์ดีที่ใช้ Google AMP ยังมีการใช้เทคโนโลยีเพิ่มเติมเพื่อช่วยหลีกเลี่ยงการตรวจจับที่ช่วยทำให้การโจมตีนั้นสำเร็จมากขึ้น

ในหลายกรณีที่พบโดย Cofense ตัวอย่าง เช่น ผู้ไม่ประสงค์ดีจะใช้อีเมล HTML แบบใช้รูปภาพแทนเนื้อหาข้อความแบบดั้งเดิมเป็นการสร้างความสับสนให้กับเครื่องมือที่ใช้สแกนข้อความที่ตรวจสอบข้อความฟิชชิงในเนื้อหาข้อความในอีเมล

อีกตัวอย่างหนึ่ง ผู้ไม่ประสงค์ดีใช้ขั้นตอนการเปลี่ยนเส้นทางโดยใช้ URL ของ Microsoft.com เพื่อหลอกเหยื่อไปยังโดเมน Google AMP และสุดท้ายไปยังไซต์ฟิชชิงจริง

สุดท้าย ผู้ไม่ประสงค์ดีใช้บริการ CAPTCHA ของ Cloudflare เพื่อขัดขวางการวิเคราะห์ฟิชชิงอัตโนมัติของ security bots เพื่อป้องกันไม่ให้ซอฟต์แวร์สามารถรวบรวมข้อมูลได้

โดยรวมแล้ว ในปัจจุบันผู้ไม่ประสงค์ดีด้วยรูปแบบฟิชชิงมักใช้วิธีหลบเลี่ยงการตรวจจับหลากหลายวิธี ซึ่งทำให้เครื่องมือรักษาความปลอดภัย (security tools) ตรวจจับภัยคุกคาม และบล็อกการโจมตีได้ยากขึ้น

Ref : bleepingcomputer

พบกลุ่ม Hacker ในชื่อ ‘Greatness’ มุ่งเป้าหมายการโจมตี Phishing ไปยัง Microsoft 365

    ผู้เชี่ยวชาญจาก Cisco Talos เปิดเผยการค้นพบกลุ่ม Hacker Phishing-as-a-Service (PhaaS) ในชื่อ 'Greatness' ที่พบการโจมตีเป็นจำนวนมากไปยังองค์กรเป้าหมายที่ใช้ Microsoft 365 ในสหรัฐอเมริกา แคนาดา สหราชอาณาจักร ออสเตรเลีย และแอฟริกาใต้

โดย Cisco Talos เปิดเผยว่า เริ่มพบการโจมตีของ Greatness phishing platform ในช่วงกลางปี ​​2022 และเพิ่มขึ้นอย่างรวดเร็วในเดือนธันวาคม 2022 และพบอีกครั้งในเดือนมีนาคม 2023 ซึ่งกลุ่มเป้าหมายส่วนใหญ่อยู่ในกลุ่มอุตสาหกรรม ภาคการผลิต การดูแลสุขภาพ เทคโนโลยี การศึกษา อสังหาริมทรัพย์ การก่อสร้าง การเงิน และบริการธุรกิจ

การโจมตีของ 'Greatness'

    Greatness Phishing-as-a-Service ใช้เครื่องมือเช่นเดียวกับ Phishing-as-a-Service กลุ่มอื่น ๆ โดยเมื่อเริ่มการโจมตี Hacker จะดำเนินการผ่านทาง admin panel โดยใช้ API key และระบุรายชื่อที่อยู่อีเมลเป้าหมาย หลังจากนั้น PhaaS platform จะสร้าง infrastructure พื้นฐานในการโจมตี เช่น server ที่จะเผยแพร่หน้า phishing page ตลอดจนสร้างไฟล์แนบ HTML การสร้างเนื้อหาอีเมล์ และจัดเตรียมเนื้อหาอื่น ๆ ที่สำคัญในการโจมตี

    จากนั้นจะทำการส่ง phishing email ที่แนบไฟล์ HTML อันตรายไปยังเป้าหมาย เมื่อเป้าหมายทำการเปิดอีเมล์ โค้ด JavaScript ที่เป็นอันตรายจะทำการเรียกเบราว์เซอร์เพื่อเชื่อมต่อกับ 'Greatness' server เพื่อดึงหน้า phishing page มาแสดงให้แก่เป้าหมาย ซึ่งหน้า phishing page ดังกล่าว จะแทรกโลโก้ และภาพพื้นหลังของบริษัทเป้าหมายโดยอัตโนมัติจากหน้าเข้าสู่ระบบ Microsoft 365

   โดย Hacker จะทำการกรอกอีเมล์ของเป้าหมายไว้ เหลือเพียงแค่รหัสผ่านเพื่อให้เหยื่อไม่สงสัย เมื่อเป้าหมายทำการกรอกรหัสผ่านแล้ว phishing page จะทำหน้าที่เป็นพร็อกซีระหว่างเบราว์เซอร์ของเป้าหมาย และหน้าเข้าสู่ระบบ Microsoft 365 จริง เพื่อขโมย session cookie ของบัญชีเป้าหมาย

    หากบัญชีเป้าหมายของเป้าหมายมีการเปิดการรับรองความถูกต้องโดยใช้ Multifactor Authentication (MFA) ไว้ Hacker จะส่งคำขอตรวจสอบสิทธิดังกล่าวไปยังเป้าหมายเพื่อให้ทำการกรอกรหัส

  เมื่อเป้าหมายทำการใส่หัส MFA แล้ว Hacker จะทำการรับรองความถูกต้องในบัญชีเป้าหมายบนแพลตฟอร์ม Microsoft จริง และส่ง session cookie ของบัญชีเป้าหมายที่ผ่านการรับรองความถูกต้องไปยังบริษัทในเครือผ่านช่องทาง Telegram หรือบน web panel ของ Hacker หลังจากนั้นก็จะแสดงข้อความการการรับรองความถูกต้องที่ผิดพลาด หรือ session การตรวจสอบความถูกต้องหมดเวลาไปยังเป้าหมาย เพื่อออกจากหน้า phishing page

   จากนั้น Hacker ก็สามารถใช้ session cookie นี้เพื่อเข้าถึงอีเมล ไฟล์ และข้อมูลของเหยื่อในบริการ Microsoft 365 เพื่อเข้าสู่ระบบเครือข่ายขององค์กร และนำไปสู่การโจมตีที่อันตรายยิ่งกว่า เช่น การติดตั้งแรนซัมแวร์

Ref : bleepingcomputer

เว็บไซต์ AnyDesk ปลอม มากกกว่า 1,300 เว็บไซต์ พยายามใช้ Vidar malware เพื่อขโมยข้อมูล

 

เป็นวิธีการที่ใช้กันจำนวนมาก มากกว่า 1,300 Domain ที่แอบอ้างเป็น เว็บไซต์ AnyDesk อย่างเป็นทางการที่กำลังทำงานอยู่ โดยจะเปลี่ยนเส้นทางไปยัง Dropbox เพื่อให้ Vidar malware ขโมยข้อมูล

AnyDesk เป็นที่นิยม ในการใช้ควบคุมคอมพิวเตอร์จากระยะไกลสำหรับ Window, Linux, MacOS โดยผู้ใช้หลายล้านคนทั่วโลกที่ใช้ เพื่อการเชื่อมต่อระยะไกล หรือผู้ดูแลใช้ในการดูแลระบบ แต่เนื่องจากตัวช่วยนี้เป็นที่นิยม จึงมักจะถูกใช้เป็นแหล่งกระจาย Malware ด้วย ตัวอย่างเช่น ในเดือนตุลาคม 2022 ทาง Cyble ได้รายงานว่า มีตัว Mitsu Stealer ใช้เว็บ AnyDesk ในการ Phishing เพื่อพยายามใช้ Malware ตัวใหม่ของพวกเขา Cyble — Mitsu Stealer distributed via AnyDesk Phishing Site

สำหรับภัยคุกคามที่ยังคงดำเนินการอยู่นี้ ถูกพบโดยผู้เชี่ยวชาญ crep1x ของ SEKOIA ได้ออกมาเตือนเกี่ยวกับภัยคุกคามนี้บน Twitter และได้แชร์รายชื่อของ Hostname ที่เป็นอันตราย โดยรายชื่อทั้งหมดนี้ถูกแก้ไขไปที่ IP address : 185.149.120[.]9.  https://gist.githubusercontent.com/qbourgue/a81873df59004858a107a7c10b3a3fd7/raw/e731b15ee245bca08834c6da9a69fe8dd16f5f83/vidar_fqdn_impersonating_anydesk_website.txt โดยรายชื่อ Hostname ข้างต้นรวมไปถึง การพิมพ์ผิดเพื่อหา AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS, Application ซื้อขาย Cryptocurrency เป็นต้น อย่างไรก็ตาม แม้ว่าชื่อที่ว่ามาทั้งหมดจะนำไปที่เว็บไซต์ปลอมของ AnyDesk ดังรูปด้านล่าง

ซึ่ง Domain ที่เป็นอันตรายส่วนใหญ่ยังคงทำงานอยู่ ในขณะตัวอื่นๆ ได้ถูกรายงาน และถูกปิดการใช้งาน โดยเว็บไซต์หลัก หรือถูกบล๊อคโดย Antivirus ดังนั้นลิ้ง Dropbox ของพวกเขาจะไม่ทำงานอีก หลังจากได้รับรายงาน เรื่องไฟล์ที่เป็นอันตรายให้กับบริการ Cloud storage แต่อย่างไรก็ตาม ผู้ไม่ประสงค์ดีสามารถแก้ไขได้โดยง่าย ด้วยการอัพเดท URL ที่ใช้ดาวน์โหลด ไปยังเว็บไซต์อื่น

ทุกเว็บไซต์จะนำไปสู่ Vidar Stealer

            ในรูปแบบการบุกรุกแบบใหม่นี้ เว็บไซต์จะกระจาย ZIP file ในชื่อ ‘AnyDeskDownload.zip’ เป็นตัวติดตั้งปลอมของ AnyDesk software ซึ่งแทนที่จะติดตั้ง Remote access Software แต่จะติดตั้ง Vidar stealer แทนเพื่อใช้ Malware ขโมยข้อมูล ซึ่งใช้มาตั้งแต่ 2018 เมื่อได้ทำการติดตั้งแล้ว Malware จะขโมย Browser history, Account credentials, Saved passwords, Cryptocurrency wallet data, Banking information และข้อมูลที่สำคัญอื่นๆ โดยข้อมูลเหล่านี้จะถูกส่งกลับไปที่ผู้โจมตี ซึ่งจะถูกใช้ในหลายหลายวิธีที่อันตราย หรือขายข้อมูลนี้ต่อให้ ผู้ไม่ประสงค์ดี ซึ่งผู้ใช้ทั่วไปมักจะจบลงด้วยเว็บไซต์ที่เป็นอันตรายเหล่านี้ เมื่อทำการค้นหา Software เวอร์ชันละเมิดลิขสิทธิ์บน Google จากนั้นพวกเขาจะถูกนำไปสู่อีกหลาย Domains ที่สามารถเปลี่ยนเส้นทางไปจบที่ Domains ที่จะค่อยส่ง Payload ที่เป็นอันตราย ซึ่งแทนที่จะซ่อน Malware ไว้เบื้องหลังการเปลี่ยนเส้นทาง เพื่อหลบเลี่ยงการตรวบพบ และถูกลบ แต่ตัว Vidar ใช้ Dropbox file hosting service ที่ได้รับความเชื่อถือจาก Antivirus เพื่อส่ง Payload ที่เป็นอันตรายแทน

BleepingComputer ได้พบ Vidar เมื่อไม่นานมานี้ ได้เริ่มพยายามคุกคาม โดยผ่านทางการพิมพ์ชื่อ Domains ผิดโดยมีจำนวนกว่า 200 Domain เพื่อนำไปยังกับ Software แอบอ้างกว่า 27 Brands / SEKOIA ได้รายงานว่ามีตัวขโมยข้อมูลกระจายอยู่อีกมาก บนเว็บไซต์กว่า 128 แห่ง ที่เกี่ยวกับการ Cracked software ซึ่งยังไม่แน่ใจว่าส่วนนี้เกี่ยวข้องกับเว็บไซต์ AnyDesk ปลอมหรือไม่

โดยแนะนำให้ผู้ใช้ดาวน์โหลด Software จาก Bookmark สำหรับดาวน์โหลด Software โดยเฉพาะ และหลีกเลี่ยงการกดจากโฆษณาบน Google Search และใช้ URL จากเว็บทางการเท่านั้น บนหน้าเอกสาร Wikipedia หรือ OS’s package manager

Ref: https://www.bleepingcomputer.com/

การโจมตีแบบ Phishing ใช้โพสต์บน Facebook เพื่อหลีเลี่ยงการป้องกันจาก E-mail

    พบการใช้ Phishing รูปแบบใหม่ โดยการใช้โพสต์ Facebook เป็นส่วนหนึ่งของการโจมตีเพื่อหลอกให้ผู้ใช้ให้ข้อมูลของบัญชีประจำตัว และข้อมูลที่ระบุตัวบุคคลได้ Personally Identifiable Information (PII) E-mail ที่ส่งไปยังเป้าหมาย จะสร้างสถานะการณ์เป็นแจ้งปัญหาด้านลิขสิทธิ์ โพสต์ใดโพสต์หนึ่งของผู้รับโดยเตือนว่า บัญชีของพวกเขา จะถูกลบใน 48 ชั่วโมง ถ้าไม่ยื่นอุทธรณ์

    โดย Link ที่ให้กดเพื่อ ยื่นอุทธรณ์ในการลบบัญชี จะเป็นโพสต์จริงบน Facebook.com ซึ่งช่วยให้ผู้ไม่ประสงค์ดี สามารถผ่านระบบ การป้องกันของ E-mail และทำให้มั่นใจได้ว่า ข้อความได้ถูกส่งไปยัง กล่องจดหมายของเป้าหมาย โดย โพสต์บน Facebook จะปลอมเป็น “Page Support” โดยใช้ Facebook logo เพื่อให้เห็นราวกับว่าทาง Facebook เป็นผู้จัดการเรื่องจริง ๆ

    อย่างไรก็ตาม ในโพสต์นั้นจะมี Link ไปยังหน้าต่าง Phishing ภายนอกอีกครั้งหนึ่งในชื่อ Meta เป็นเจ้าของบริษัท Facebook เพื่อลดโอกาสที่ เป้าหมายจะตระหนักถึงการโจมตีครั้งนี้ ผู้เชี่ยวชาญ ของ Trustwave ค้นพบว่า การ Phishing นี้พบว่ามี 3 URLs ที่ยังคงออนไลน์อยู่

meta[.]forbusinessuser[.]xyz/?fbclid=123

meta[.]forbusinessuser[.]xyz/main[.]php

meta[.]forbusinessuser[.]xyz/checkpoint[.]php

    เว็ปไซต์ Phishing ที่ถูกสร้างขึ้นมาให้ดูเหมือนกับ Page Facebook แบบถูกลิขสิทธิ์ ซึ่งมีแบบฟอร์ม ที่ให้เหยื่อกรอกข้อมูลชื่อเต็ม, Email, เบอร์มือถือ, ชื่อผู้ใช้

    ขึ้นอยู่กับข้อมูลที่ส่ง และ Page นี้ยังเก็บ IP address ของเหยื่อ และข้อมูลตำแหน่ง และแอบนำเอาทุกอย่าง ไปที่ บัญชี Telegram ที่ผู้ไม่ประสงค์ดีควบคุมอยู่ ผู้ไม่ประสงค์ดี อาจจะเก็บข้อมูลเพิ่ม โดยผ่านการป้องกันแบบลายนิ้วมือ หรือคำถามความปลอดภัย ในขณะที่กำลังยึด บัญชี Facebook ของเหยื่ออยู่ ในขณะเดียวกัน ก็จะนำเหยื่อไปสู่หน้า Phishing หน้าต่อไป โดยจะแสดง ความต้องการรหัสปลอมแบบใช้ครั้งเดียว (OTP) จำนวน 6 หลัก พร้อมจำกัดเวลา

    เมื่อไรก็ตามที่เหยื่อใส่ Code มาจะแจ้งผลเป็น Error และถ้ามีการคลิ๊ก ‘Need another way to authenticate?’ ผู้เชี่ยวชาญ ของ Trustwave พบว่า ผู้ไม่ประสงค์ดีใช้ Goolgle Analytics บนหน้า Phishing เพื่อช่วยให้พวกเขาสามารถติดตาม ประสิทธิภาพการบุกรุกได้ดีขึ้น

เทคนิคที่ใช้เผยแพร่ 

Trustware รายงานว่า ได้พบหลาย บัญชี Facebook ที่กำลังสร้างโพสต์ปลอม เพื่อให้ดูเหมือน Support page ที่จะนำเหยื่อไปยัง Phishing website

    โพสต์เหล่านี้ ใช้ URL shorteners สำหรับ Link ที่เป็น Phishing website เพื่อหลบการตั้งค่าสถานะต่าง ๆ และถูกลบ โดย Social media platform นั้น ๆ เหยื่ออาจเข้าสู่โพสต์ จากทาง Phishing email เหมือนกับในรายงานก่อนหน้านี้หรือ ทางข้อความตอบรับบน Facebook 

วิธีการป้องกัน

• ตรวจสอบ URL ของลิงก์ทุกครั้งในการกรอกข้อมูล รวมถึงไม่กดเข้าลิงก์ที่ไม่น่าเชื่อถือ
• เข้าร่วมการ Training Cybersecurity Awareness เพื่อสร้างความตระหนักถึงภัยคุกคามทางไซเบอร์ และการใช้งาน Social Media

bleepingcomputer