77/68 (IT) ประจำวันพุธที่ 26 กุมภาพันธ์ 2568
นักวิจัยด้านความปลอดภัยจาก SecurityScorecard พบว่ามีอุปกรณ์ที่ถูกแฮกกว่า 130,000 เครื่อง ถูกใช้เป็นเครื่องมือในการโจมตีแบบ Password Spraying ต่อบัญชี Microsoft 365 โดยแฮกเกอร์ใช้เทคนิค “การเข้าสู่ระบบแบบไม่โต้ตอบ” (Non-Interactive Sign-Ins) ซึ่งไม่ต้องผ่านการตรวจสอบตัวตนหลายขั้นตอน (MFA) ทำให้สามารถหลบเลี่ยงระบบรักษาความปลอดภัยได้ง่าย พร้อมกับใช้ข้อมูลบัญชีที่ถูกขโมยจากมัลแวร์ขโมยข้อมูล เพื่อเข้าถึงบัญชีขององค์กรในหลากหลายอุตสาหกรรม เช่น การเงิน การแพทย์ หน่วยงานรัฐ และสถาบันการศึกษา
ผู้โจมตีใช้ช่องโหว่จากโปรโตคอลการยืนยันตัวตนแบบเก่า (Basic Authentication) ซึ่งส่งข้อมูลบัญชีโดยไม่มีการเข้ารหัส พร้อมทั้งประสานงานการโจมตีผ่าน เซิร์ฟเวอร์สั่งการ (C2) 6 แห่ง ที่เชื่อมต่อกับอุปกรณ์ที่ถูกแฮกผ่านบริการคลาวด์จากประเทศจีน ซึ่งอาจนำไปสู่การเข้าถึงอีเมล เอกสาร และเครื่องมือทำงานร่วมกันขององค์กรได้อย่างไม่ถูกตรวจจับ นอกจากนี้ ยังเสี่ยงต่อการโจมตีแบบฟิชชิงและการเคลื่อนที่ภายในระบบเครือข่ายองค์กร (Lateral Movement)
ผู้เชี่ยวชาญแนะนำให้องค์กรที่ใช้ Microsoft 365 ควรอัปเดตระบบตรวจสอบความปลอดภัยเพื่อรวมเหตุการณ์ non-interactive log events และตรวจสอบบันทึกการลงชื่อเข้าใช้อย่างละเอียด โดยเฉพาะรายการ non-interactive และความพยายามที่น่าสงสัย นอกจากนี้ ควรเปลี่ยนจากการใช้โปรโตคอลการตรวจสอบสิทธิ์พื้นฐาน (Basic Authentication)ไปสู่วิธีการสมัยใหม่ที่รองรับ MFA อย่างสมบูรณ์ และตรวจสอบการรับส่งข้อมูลที่ผิดปกติเพื่อลดความเสี่ยงจากภัยคุกคามเหล่านี้
แหล่งข่าว https://hackread.com/botnet-devices-microsoft-365-password-spraying-attack/
