ผู้เชี่ยวชาญเผยแคมเปญ Phishing ครั้งใหญ่มีเหยื่อกว่า 130 บริษัท

ผู้เชี่ยวชาญจาก Group-IB ได้ออกรายงานถึงแคมเปญการ Phishing ที่มีเหยื่อส่วนใหญ่เป็นบริษัทไอทีเองแท้ๆ โดยเหยื่อรายใหญ่ที่เพิ่งมีข่าวไปก็คือ Twilio และ Cloudflare นั่นเอง

วิธีการก็ง่ายมาคนร้ายได้ปลอมแปลงว่าเป็นบริษัท OKTA ที่ให้บริการ IAM โดยเหยื่อจะได้รับลิงก์ใน SMS ทางโทรศัพท์เป็นลิงก์สู่การรีเซตรหัสผ่าน ซึ่งหน้าตาเหมือนของจริงที่องค์กรใช้ ประเด็นที่ยังคาใจของผู้เชี่ยวชาญคือคนร้ายมีการเตรียมลิสต์เป้าหมายวางแผนไว้แค่ไหนอย่างไรหรือค่อยๆด้นสดไปที่ละขั้นตอนเพราะอีกหนึ่งเรื่องที่ต้องชมคือคนร้ายลงมือไวมากพอแทรกแซงได้ก็ขยายผลไปยังคู่ค้าของเหยื่ออย่างรวดเร็ว อีกเรื่องคือคนร้ายได้เบอร์โทรศัพท์มาอย่างไร ซึ่งคาดคะเนว่าอาจมีการไปเล่นงานผู้ให้บริการโทรศัพท์มาก่อนหรือไม่

จากการวิเคราะห์ข้อมูลของ Group-IB มองเห็นเป้าประสงค์ของคนร้าย 2 เรื่องคือ OKTA Credentials และ 2FA Code ขององค์กร ข้อสังเกตุที่ผู้เชี่ยวชาญพบคือ

  • พบ 169 โดเมนที่เกี่ยวข้องโดยจะมีคีย์เวิร์ดคือ SSO, VPN, OKTA, MFA และ HELP หน้าเพจเหล่านั้นก็เหมือนของจริงมาก
  • ชุดเครื่องมือที่ใช้ยังไม่เคยพบมาก่อน
  • จากโค้ดของเครื่องมือมีการคอนฟิคบอทเทเลแกรมสำหรับใส่ข้อมูลที่ถูกแทรกแซงลงไป
  • มีบันทึก 9,931 รายการของ Credentials ในการโจมตีครั้งนี้ 3,129 รายการเป็นอีเมลแต่ 2 ใน 3 เป็นอีเมลส่วนตัวดังนั้นทีมงานจึงต่อยอดไม่ได้มากนักรู้เพียงแต่ว่ามีบริษัทราว 114 แห่งในสหรัฐฯได้รับผลกระทบ ตรงนี้เองส่วนมากเป็นบริษัทด้านไอที ซอฟต์แวร์ หรือคลาวด์ บันทึกอีก 5,441 รายการเป็น MFA Code 

ในการสืบหาตัวคนร้ายฟีเจอร์ของเทเลแกรมช่วยทีมงานได้มากเพราะเปิดให้ทราบถึงชื่อชาแนลและผู้ดูแลที่มีนามแฝงว่า ‘X’ อย่างไรก็ดีทีมงานเสาะหาไปได้ถึงชื่อเดิมก่อนเปลี่ยนเป็น X แต่เชื่อมโยงได้ไปจนถึง Twitter และ GitHub คาดว่าเป็นคนในสหรัฐฯนี่เอง 

ปัจจุบัน Group-IB ได้แจ้งเตือนเหยื่อและเจ้าหน้าที่แล้ว แต่เรื่องนี้เป็นบทเรียนได้อย่างดีใน 2 เรื่องคือไม่ว่าอย่างไรมนุษย์ก็ยังเป็นจุดอ่อนที่สุดเมื่อเจอกับแคมเปญหลอกลวง และอีกเรื่องคือการตระหนักให้คิดเกี่ยวกับ IAM ใหม่ว่าน่าเชื่อได้แค่ไหนควรมีมาตรการอะไรเสริม เพราะอย่างกรณีของ Twilio คนร้ายได้ SSO Credential ต่อยอดไปหาผู้ใช้บริการเกือบ 2 พันราย แต่ในมุมของ Cloudflare กระทบน้อยกว่ามากเพราะการเข้าระบบภายในต้องมี Security Key แบบ Physical 

ที่มา : https://www.helpnetsecurity.com/2022/08/25/0ktapus-twilio-cloudflare-phishers-targets/ และ https://www.darkreading.com/remote-workforce/twilio-hackers-okta-credentials-sprawling-supply-chain-attack


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

“ฟอร์ติเน็ตจับมือมหาวิทยาลัยศรีปทุม” เพื่อลดช่องว่างด้านทักษะ เพื่อต่อสู้ภัยไซเบอร์ของบุคลากรไทย [Guest Post]

“เปิดโอกาสให้บุคลากรไทยเข้าถึงหลักสูตรความรู้ด้านความปลอดภัยไซเบอร์ระดับโลกล่าสุดของฟอร์ติเน็ต เพื่อปั้นผู้เชี่ยวชาญมืออาชีพรุ่นเน็กซ์เจนเนอเรชั่น” ฟอร์ติเน็ต ผู้นำระดับโลกด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์แบบอัตโนมัติและครบวงจร ได้ลงนามในบันทึกความเข้าใจ (MOU) กับมหาวิทยาลัยศรีปทุม เพื่อจัดหลักสูตรการฝึกอบรมและออกประกาศนียบัตรด้านความปลอดภัยทางไซเบอร์อันเป็นที่ยอมรับในอุตสาหกรรมระดับโลกให้นักศึกษาของไทย ความร่วมมือครั้งสำคัญนี้จะช่วยให้นักศึกษาของมหาวิทยาลัยศรีปทุมเพิ่มทักษะด้านการรักษาความปลอดภัยไซเบอร์ที่ตรงกับความต้องการขององค์กรในประเทศไทยจากหลักสูตรที่ได้รับรางวัลของฟอร์ติเน็ต เพื่อเตรียมให้นักศึกษาพร้อมเป็นผู้เชี่ยวชาญ ลดช่องว่างด้านทักษะ ช่วยสร้างโลกดิจิทัลของไทยให้ปลอดภัย

เดลล์ เทคโนโลยีส์ ประกาศเสริมความแข็งแกร่งในการเตรียมพร้อมเพื่อการรับมือกับภัยคุกคามไซเบอร์ด้วยนวัตกรรมด้านความปลอดภัยและการปกป้องข้อมูลบนมัลติคลาวด์ [Guest Post]

ซอฟต์แวร์ที่ทำงานด้วยพลังของ AI จากเดลล์ และความสามารถในการดูแลรักษาความปลอดภัยในการปฏิบัติงานช่วยขับเคลื่อนการทำงานแบบ Zero Trust ที่ปกป้องทั้งข้อมูล พร้อมลดความเสี่ยงจากการโจมตีทางไซเบอร์