บอตเน็ตขนาดใหญ่โจมตี Microsoft 365 ผ่านช่องโหว่ Basic Authentication

พบการโจมตีแบบ Password Spray ขนาดใหญ่ที่มุ่งเป้าบัญชี Microsoft 365 ทั่วโลก โดยใช้บอตเน็ตที่มีอุปกรณ์ติดมัลแวร์กว่า 130,000 เครื่อง หลีกเลี่ยงระบบยืนยันตัวตนสองชั้นผ่านช่องโหว่ Basic Authentication

จากรายงานของ SecurityScorecard พบว่าผู้โจมตีกำลังใช้ข้อมูลรหัสผ่านที่ถูกขโมยด้วย Infostealer Malware เพื่อทำการโจมตีบัญชี Microsoft 365 ในวงกว้าง โดยอาศัยการเข้าสู่ระบบแบบ Non-interactive ผ่าน Basic Authentication ซึ่งเป็นวิธีการพิสูจน์ตัวตนแบบเก่าที่ส่งข้อมูลรหัสผ่านแบบ plaintext หรือเข้ารหัสแบบ Base64 ทำให้สามารถหลีกเลี่ยงระบบยืนยันตัวตนสองชั้น (MFA) และไม่ถูกตรวจจับโดยระบบ Conditional Access Policies (CAP) ในหลายกรณี Microsoft มีแผนจะยกเลิกการสนับสนุน Basic Authentication ในเดือนกันยายน 2025 แต่ปัจจุบันยังคงเปิดใช้งานอยู่ในบางระบบ

การโจมตีนี้ใช้อุปกรณ์ที่ติดมัลแวร์กว่า 130,000 เครื่องเพื่อกระจายการพยายามเข้าสู่ระบบจาก IP Address ที่แตกต่างกัน ช่วยหลีกเลี่ยงการถูกตรวจจับว่าเป็นการโจมตี องค์กรสามารถตรวจพบร่องรอยของการโจมตีได้จาก log ของ Entra ID ที่จะแสดงความพยายามเข้าสู่ระบบแบบ Non-interactive เพิ่มขึ้น, การพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้งจาก IP ที่แตกต่างกัน และการใช้งานของ User Agent “fasthttp” ใน log การยืนยันตัวตน นักวิจัยยังพบความเชื่อมโยงกับผู้โจมตีที่อาจเกี่ยวข้องกับจีน โดยเซิร์ฟเวอร์ควบคุม (C2) ของบอตเน็ตตั้งเวลาในโซน Asia/Shanghai และใช้บริการ Proxy จาก UCLOUD HK และ CDS Global Cloud ซึ่งเชื่อมโยงกับจีน

SecurityScorecard แนะนำให้องค์กรปิดการใช้งาน Basic Authentication ใน Microsoft 365, บล็อก IP Address ที่ระบุในรายงาน, เปิดใช้งาน Conditional Access Policies เพื่อจำกัดการพยายามเข้าสู่ระบบ และใช้ระบบยืนยันตัวตนสองชั้นกับทุกบัญชี เพื่อป้องกันการโจมตีในลักษณะนี้

ที่มา: https://www.bleepingcomputer.com/news/security/botnet-targets-basic-auth-in-microsoft-365-password-spray-attacks/