บอตเน็ตขนาดใหญ่โจมตี Microsoft 365 ผ่านช่องโหว่ Basic Authentication

พบการโจมตีแบบ Password Spray ขนาดใหญ่ที่มุ่งเป้าบัญชี Microsoft 365 ทั่วโลก โดยใช้บอตเน็ตที่มีอุปกรณ์ติดมัลแวร์กว่า 130,000 เครื่อง หลีกเลี่ยงระบบยืนยันตัวตนสองชั้นผ่านช่องโหว่ Basic Authentication

จากรายงานของ SecurityScorecard พบว่าผู้โจมตีกำลังใช้ข้อมูลรหัสผ่านที่ถูกขโมยด้วย Infostealer Malware เพื่อทำการโจมตีบัญชี Microsoft 365 ในวงกว้าง โดยอาศัยการเข้าสู่ระบบแบบ Non-interactive ผ่าน Basic Authentication ซึ่งเป็นวิธีการพิสูจน์ตัวตนแบบเก่าที่ส่งข้อมูลรหัสผ่านแบบ plaintext หรือเข้ารหัสแบบ Base64 ทำให้สามารถหลีกเลี่ยงระบบยืนยันตัวตนสองชั้น (MFA) และไม่ถูกตรวจจับโดยระบบ Conditional Access Policies (CAP) ในหลายกรณี Microsoft มีแผนจะยกเลิกการสนับสนุน Basic Authentication ในเดือนกันยายน 2025 แต่ปัจจุบันยังคงเปิดใช้งานอยู่ในบางระบบ

การโจมตีนี้ใช้อุปกรณ์ที่ติดมัลแวร์กว่า 130,000 เครื่องเพื่อกระจายการพยายามเข้าสู่ระบบจาก IP Address ที่แตกต่างกัน ช่วยหลีกเลี่ยงการถูกตรวจจับว่าเป็นการโจมตี องค์กรสามารถตรวจพบร่องรอยของการโจมตีได้จาก log ของ Entra ID ที่จะแสดงความพยายามเข้าสู่ระบบแบบ Non-interactive เพิ่มขึ้น, การพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้งจาก IP ที่แตกต่างกัน และการใช้งานของ User Agent “fasthttp” ใน log การยืนยันตัวตน นักวิจัยยังพบความเชื่อมโยงกับผู้โจมตีที่อาจเกี่ยวข้องกับจีน โดยเซิร์ฟเวอร์ควบคุม (C2) ของบอตเน็ตตั้งเวลาในโซน Asia/Shanghai และใช้บริการ Proxy จาก UCLOUD HK และ CDS Global Cloud ซึ่งเชื่อมโยงกับจีน

SecurityScorecard แนะนำให้องค์กรปิดการใช้งาน Basic Authentication ใน Microsoft 365, บล็อก IP Address ที่ระบุในรายงาน, เปิดใช้งาน Conditional Access Policies เพื่อจำกัดการพยายามเข้าสู่ระบบ และใช้ระบบยืนยันตัวตนสองชั้นกับทุกบัญชี เพื่อป้องกันการโจมตีในลักษณะนี้

ที่มา: https://www.bleepingcomputer.com/news/security/botnet-targets-basic-auth-in-microsoft-365-password-spray-attacks/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …