เมนู

Microsoft Exchange Server
ถูก hack ผ่าน OAuth application

Exchang Full

เพิ่มช่องทางการเชื่อมต่อไปยัง Mail serverสร้าง transport rules เพื่อเลี่ยงการตรวจจับ ในส่ง phishing email ไปยัง Exchange Server

6 ตุลาคม 2565

Microsoft พบผู้ไม่หวังดีสามารถเข้าถึง Microsoft Exchange ที่อยู่บน Cloud ได้ด้วยการโจมตีแบบ Credential stuffing โดยมีเป้าหมายการโจมตีไปยัง OAuth Application ที่เป็นอันตราย และทำการส่ง Phishing email เพื่อขโมยข้อมูลประจำตัวของผู้ใช้งานที่ไม่ได้เปิดใช้งานเรื่องของการตรวจสอบสิทธิ์ Multi-factor Authentication (MFA) ทำให้ผู้ที่ไม่หวังดีใช้ประโยชน์จากช่องทางนี้ ในการเข้าถึงข้อมูลของผู้ใช้ที่อยู่บนคลาวด์ได้

จากเหตุการณ์ที่เกิดขึ้นทำให้ผู้โจมตีสามารถเข้าถึงระบบ Microsoft Exchange ได้สำเร็จ และทำการสร้าง OAuth application รวมถึงเพิ่มช่องทางการติดต่อไปยัง Email servers และทำการสร้าง transport rules เพื่อเป็นการหลีกเลี่ยงการตรวจจับ จากนั้นจะส่ง phishing email ไปยัง Exchange servers

หลังจากดำเนินการเรียบร้อยแล้วผู้โจมตีจะทำการปิดการเชื่องต่อทั้งหมด รวมถึงลบ transport rules ที่ได้มีการสร้างไว้ เพื่อเป็นการลบล่องลอยการทำงาน และป้องกันไม่ให้ถูกตรวจพบ

ส่วน OAuth application จะหยุดการทำงานเป็นเวลาหลายเดือน และจะเริ่มกลับมาทำงานอีกครั้งจนกว่าจะมีการกลับเปิดใช้งานในการโจมตีครั้งถัดไป แคมเปญอีเมลเหล่านี้มากจากโครงสร้างพื้นฐานจาก Amazon SES และ Mail Chimp ที่มีการใช้งานทั่วไปสำหรับการรับส่งอีเมลตามปกติ

Attack chain (Microsoft)

หลังจากตรวจพบการโจมตี Redmond ได้ทำการลบ Applications ทั้งหมดที่มีความเชื่อมโยงกับเครือข่ายนี้ และทำการแจ้งเตือน รวมถึงแนะนำวิธีการแก้ไขให้กับลูกค้าที่ได้รับผลกระทบทั้งหมด

Microsoft กล่าวเพิ่มเติมว่าผู้โจมตีกลุ่มนี้มีความเชื่อมโยงกับการส่ง phishing email มาเป็นเวลาหลายปี รวมถึงการส่งอีเมล สแปม จำนวนมากภายระยะเวลาอันสั้นด้วยวิธีการต่างๆ เช่น การเชื่อมต่อ mail server จากที่อยู่ IP address ที่อันตราย หรือการส่งอีเมลโดยตรงจากโครงสร้างพื้นฐานที่มีการใช้งานอย่างถูกต้องตามกฎหมาย

สิ่งที่ดึงดูผู้ใช้งานให้มาใช้บริการ จะเป็นเรื่องของการชิงโชครางวัลต่างๆ โดยให้ผู้ใช้แจ้งรายละเอียดของบัตรเครดิต และการสมัครใช้งานโดยใช้แบรด์ Microsoft เพื่อเพิ่มความน่าสนใจ