Microsoft Exchange Server
ถูก hack ผ่าน OAuth application
6 ตุลาคม 2565
Microsoft พบผู้ไม่หวังดีสามารถเข้าถึง Microsoft Exchange ที่อยู่บน Cloud ได้ด้วยการโจมตีแบบ Credential stuffing โดยมีเป้าหมายการโจมตีไปยัง OAuth Application ที่เป็นอันตราย และทำการส่ง Phishing email เพื่อขโมยข้อมูลประจำตัวของผู้ใช้งานที่ไม่ได้เปิดใช้งานเรื่องของการตรวจสอบสิทธิ์ Multi-factor Authentication (MFA) ทำให้ผู้ที่ไม่หวังดีใช้ประโยชน์จากช่องทางนี้ ในการเข้าถึงข้อมูลของผู้ใช้ที่อยู่บนคลาวด์ได้
จากเหตุการณ์ที่เกิดขึ้นทำให้ผู้โจมตีสามารถเข้าถึงระบบ Microsoft Exchange ได้สำเร็จ และทำการสร้าง OAuth application รวมถึงเพิ่มช่องทางการติดต่อไปยัง Email servers และทำการสร้าง transport rules เพื่อเป็นการหลีกเลี่ยงการตรวจจับ จากนั้นจะส่ง phishing email ไปยัง Exchange servers
หลังจากดำเนินการเรียบร้อยแล้วผู้โจมตีจะทำการปิดการเชื่องต่อทั้งหมด รวมถึงลบ transport rules ที่ได้มีการสร้างไว้ เพื่อเป็นการลบล่องลอยการทำงาน และป้องกันไม่ให้ถูกตรวจพบ
ส่วน OAuth application จะหยุดการทำงานเป็นเวลาหลายเดือน และจะเริ่มกลับมาทำงานอีกครั้งจนกว่าจะมีการกลับเปิดใช้งานในการโจมตีครั้งถัดไป แคมเปญอีเมลเหล่านี้มากจากโครงสร้างพื้นฐานจาก Amazon SES และ Mail Chimp ที่มีการใช้งานทั่วไปสำหรับการรับส่งอีเมลตามปกติ
Attack chain (Microsoft)
หลังจากตรวจพบการโจมตี Redmond ได้ทำการลบ Applications ทั้งหมดที่มีความเชื่อมโยงกับเครือข่ายนี้ และทำการแจ้งเตือน รวมถึงแนะนำวิธีการแก้ไขให้กับลูกค้าที่ได้รับผลกระทบทั้งหมด
Microsoft กล่าวเพิ่มเติมว่าผู้โจมตีกลุ่มนี้มีความเชื่อมโยงกับการส่ง phishing email มาเป็นเวลาหลายปี รวมถึงการส่งอีเมล สแปม จำนวนมากภายระยะเวลาอันสั้นด้วยวิธีการต่างๆ เช่น การเชื่อมต่อ mail server จากที่อยู่ IP address ที่อันตราย หรือการส่งอีเมลโดยตรงจากโครงสร้างพื้นฐานที่มีการใช้งานอย่างถูกต้องตามกฎหมาย
สิ่งที่ดึงดูผู้ใช้งานให้มาใช้บริการ จะเป็นเรื่องของการชิงโชครางวัลต่างๆ โดยให้ผู้ใช้แจ้งรายละเอียดของบัตรเครดิต และการสมัครใช้งานโดยใช้แบรด์ Microsoft เพื่อเพิ่มความน่าสนใจ
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา