Black Hat Asia 2023

ผู้เชี่ยวชาญเผยแคมเปญ Phishing ครั้งใหญ่มีเหยื่อกว่า 130 บริษัท

ผู้เชี่ยวชาญจาก Group-IB ได้ออกรายงานถึงแคมเปญการ Phishing ที่มีเหยื่อส่วนใหญ่เป็นบริษัทไอทีเองแท้ๆ โดยเหยื่อรายใหญ่ที่เพิ่งมีข่าวไปก็คือ Twilio และ Cloudflare นั่นเอง

วิธีการก็ง่ายมาคนร้ายได้ปลอมแปลงว่าเป็นบริษัท OKTA ที่ให้บริการ IAM โดยเหยื่อจะได้รับลิงก์ใน SMS ทางโทรศัพท์เป็นลิงก์สู่การรีเซตรหัสผ่าน ซึ่งหน้าตาเหมือนของจริงที่องค์กรใช้ ประเด็นที่ยังคาใจของผู้เชี่ยวชาญคือคนร้ายมีการเตรียมลิสต์เป้าหมายวางแผนไว้แค่ไหนอย่างไรหรือค่อยๆด้นสดไปที่ละขั้นตอนเพราะอีกหนึ่งเรื่องที่ต้องชมคือคนร้ายลงมือไวมากพอแทรกแซงได้ก็ขยายผลไปยังคู่ค้าของเหยื่ออย่างรวดเร็ว อีกเรื่องคือคนร้ายได้เบอร์โทรศัพท์มาอย่างไร ซึ่งคาดคะเนว่าอาจมีการไปเล่นงานผู้ให้บริการโทรศัพท์มาก่อนหรือไม่

จากการวิเคราะห์ข้อมูลของ Group-IB มองเห็นเป้าประสงค์ของคนร้าย 2 เรื่องคือ OKTA Credentials และ 2FA Code ขององค์กร ข้อสังเกตุที่ผู้เชี่ยวชาญพบคือ

  • พบ 169 โดเมนที่เกี่ยวข้องโดยจะมีคีย์เวิร์ดคือ SSO, VPN, OKTA, MFA และ HELP หน้าเพจเหล่านั้นก็เหมือนของจริงมาก
  • ชุดเครื่องมือที่ใช้ยังไม่เคยพบมาก่อน
  • จากโค้ดของเครื่องมือมีการคอนฟิคบอทเทเลแกรมสำหรับใส่ข้อมูลที่ถูกแทรกแซงลงไป
  • มีบันทึก 9,931 รายการของ Credentials ในการโจมตีครั้งนี้ 3,129 รายการเป็นอีเมลแต่ 2 ใน 3 เป็นอีเมลส่วนตัวดังนั้นทีมงานจึงต่อยอดไม่ได้มากนักรู้เพียงแต่ว่ามีบริษัทราว 114 แห่งในสหรัฐฯได้รับผลกระทบ ตรงนี้เองส่วนมากเป็นบริษัทด้านไอที ซอฟต์แวร์ หรือคลาวด์ บันทึกอีก 5,441 รายการเป็น MFA Code 

ในการสืบหาตัวคนร้ายฟีเจอร์ของเทเลแกรมช่วยทีมงานได้มากเพราะเปิดให้ทราบถึงชื่อชาแนลและผู้ดูแลที่มีนามแฝงว่า ‘X’ อย่างไรก็ดีทีมงานเสาะหาไปได้ถึงชื่อเดิมก่อนเปลี่ยนเป็น X แต่เชื่อมโยงได้ไปจนถึง Twitter และ GitHub คาดว่าเป็นคนในสหรัฐฯนี่เอง 

ปัจจุบัน Group-IB ได้แจ้งเตือนเหยื่อและเจ้าหน้าที่แล้ว แต่เรื่องนี้เป็นบทเรียนได้อย่างดีใน 2 เรื่องคือไม่ว่าอย่างไรมนุษย์ก็ยังเป็นจุดอ่อนที่สุดเมื่อเจอกับแคมเปญหลอกลวง และอีกเรื่องคือการตระหนักให้คิดเกี่ยวกับ IAM ใหม่ว่าน่าเชื่อได้แค่ไหนควรมีมาตรการอะไรเสริม เพราะอย่างกรณีของ Twilio คนร้ายได้ SSO Credential ต่อยอดไปหาผู้ใช้บริการเกือบ 2 พันราย แต่ในมุมของ Cloudflare กระทบน้อยกว่ามากเพราะการเข้าระบบภายในต้องมี Security Key แบบ Physical 

ที่มา : https://www.helpnetsecurity.com/2022/08/25/0ktapus-twilio-cloudflare-phishers-targets/ และ https://www.darkreading.com/remote-workforce/twilio-hackers-okta-credentials-sprawling-supply-chain-attack


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …

พบ ‘HinataBot’ บอทเน็ตที่อาจสร้างการโจมตี DDoS ขนาด 3.3 Tbps ได้

พบมัลแวร์บอตเน็ตใหม่ HinataBot มุ่งเป้าโจมตี Realtek SDK, Huawei Router และ Hadoop YARN Server เพื่อรวมการโจมตีที่อาจสร้าง Distributed Denial of …