65/68 (IT) ประจำวันอังคารที่ 18 กุมภาพันธ์ 2568
นักวิจัยด้านความปลอดภัยจาก Microsoft เตือนว่า กลุ่มภัยคุกคามทางไซเบอร์ที่ชื่อว่า Storm-2372 ซึ่งมีความเชื่อมโยงกับรัสเซีย ได้ใช้เทคนิคการโจมตีแบบ “Device Code Phishing” เพื่อขโมยโทเค็นการเข้าสู่ระบบจากหน่วยงานรัฐบาล องค์กรไม่แสวงหากำไร (NGOs) และอุตสาหกรรมต่าง ๆ มาตั้งแต่เดือนสิงหาคม 2567 เทคนิคนี้ใช้กลลวงให้ผู้ใช้เข้าสู่ระบบแอปพลิเคชัน productivity ต่าง ๆ เช่น WhatsApp, Signal และ Microsoft Teams โดยแฮกเกอร์จะขโมยโทเค็นการเข้าสู่ระบบเพื่อเข้าควบคุมบัญชีที่ถูกโจมตี กลุ่ม Storm-2372 มีเป้าหมายครอบคลุมหลายภูมิภาค ได้แก่ ยุโรป อเมริกาเหนือ แอฟริกา และตะวันออกกลาง โดยพุ่งเป้าไปที่หน่วยงานด้านเทคโนโลยี การป้องกันประเทศ โทรคมนาคม สาธารณสุข การศึกษาระดับสูง และพลังงาน/น้ำมันและก๊าซธรรมชาติ โดยรายงานระบุว่า “การโจมตีแบบ Device Code Phishing ใช้ช่องโหว่ในกระบวนการตรวจสอบสิทธิ์เพื่อขโมยโทเค็น ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงบัญชีและข้อมูลได้อย่างต่อเนื่องตราบใดที่โทเค็นยังมีผล” โดยนักวิจัยพบข้อความ phishing ที่ปลอมแปลงเป็นคำเชิญประชุมผ่าน Microsoft Teams เมื่อผู้ใช้คลิกที่ลิงก์และทำการตรวจสอบสิทธิ์ด้วยรหัสอุปกรณ์ที่แฮกเกอร์สร้างขึ้น ผู้โจมตีจะได้รับโทเค็นการเข้าถึงที่ถูกต้องและใช้เพื่อขโมยเซสชันการเข้าสู่ระบบ นอกจากนี้ แฮกเกอร์ยังสามารถใช้โทเค็นเหล่านี้เพื่อเข้าถึงบริการอื่น ๆ ที่ผู้ใช้มีสิทธิ์ เช่น อีเมลหรือคลาวด์ โดยไม่จำเป็นต้องรู้รหัสผ่าน
หลังจากการเปิดเผยรายงาน Microsoft พบว่า Storm-2372 ได้เปลี่ยนมาใช้ Client ID เฉพาะสำหรับ Microsoft Authentication Broker ในกระบวนการ Device Code Sign-in เพื่อพยายามปกปิดกิจกรรมของพวกเขา โดยกลุ่มผู้คุกคามใช้ Client ID ในการลงทะเบียนอุปกรณ์ใน Entra ID เพื่อขอ Primary Refresh Token และเข้าถึงทรัพยากรต่าง ๆ รวมถึงการรวบรวมอีเมล โดย Microsoft ได้แนะนำให้องค์กรต่าง ๆ ป้องกันการโจมตีด้วยการปิดการใช้งาน Device Code Flow ในกรณีที่ไม่จำเป็นในกรณีที่ไม่จำเป็น ทำการเปิดใช้การยืนยันตัวตนสองปัจจัย (MFA) และใช้หลักการของสิทธิ์การเข้าถึงต่ำสุด (Principle of Least Privilege) เพื่อลดความเสี่ยงจากการโจมตีทางไซเบอร์ในอนาคต
แหล่งข่าว https://securityaffairs.com/174270/apt/storm-2372-used-device-code-phishing-technique.html
