CDIC 2023

ผู้เชี่ยวชาญเผยแคมเปญ Phishing ครั้งใหญ่มีเหยื่อกว่า 130 บริษัท

ผู้เชี่ยวชาญจาก Group-IB ได้ออกรายงานถึงแคมเปญการ Phishing ที่มีเหยื่อส่วนใหญ่เป็นบริษัทไอทีเองแท้ๆ โดยเหยื่อรายใหญ่ที่เพิ่งมีข่าวไปก็คือ Twilio และ Cloudflare นั่นเอง

วิธีการก็ง่ายมาคนร้ายได้ปลอมแปลงว่าเป็นบริษัท OKTA ที่ให้บริการ IAM โดยเหยื่อจะได้รับลิงก์ใน SMS ทางโทรศัพท์เป็นลิงก์สู่การรีเซตรหัสผ่าน ซึ่งหน้าตาเหมือนของจริงที่องค์กรใช้ ประเด็นที่ยังคาใจของผู้เชี่ยวชาญคือคนร้ายมีการเตรียมลิสต์เป้าหมายวางแผนไว้แค่ไหนอย่างไรหรือค่อยๆด้นสดไปที่ละขั้นตอนเพราะอีกหนึ่งเรื่องที่ต้องชมคือคนร้ายลงมือไวมากพอแทรกแซงได้ก็ขยายผลไปยังคู่ค้าของเหยื่ออย่างรวดเร็ว อีกเรื่องคือคนร้ายได้เบอร์โทรศัพท์มาอย่างไร ซึ่งคาดคะเนว่าอาจมีการไปเล่นงานผู้ให้บริการโทรศัพท์มาก่อนหรือไม่

จากการวิเคราะห์ข้อมูลของ Group-IB มองเห็นเป้าประสงค์ของคนร้าย 2 เรื่องคือ OKTA Credentials และ 2FA Code ขององค์กร ข้อสังเกตุที่ผู้เชี่ยวชาญพบคือ

  • พบ 169 โดเมนที่เกี่ยวข้องโดยจะมีคีย์เวิร์ดคือ SSO, VPN, OKTA, MFA และ HELP หน้าเพจเหล่านั้นก็เหมือนของจริงมาก
  • ชุดเครื่องมือที่ใช้ยังไม่เคยพบมาก่อน
  • จากโค้ดของเครื่องมือมีการคอนฟิคบอทเทเลแกรมสำหรับใส่ข้อมูลที่ถูกแทรกแซงลงไป
  • มีบันทึก 9,931 รายการของ Credentials ในการโจมตีครั้งนี้ 3,129 รายการเป็นอีเมลแต่ 2 ใน 3 เป็นอีเมลส่วนตัวดังนั้นทีมงานจึงต่อยอดไม่ได้มากนักรู้เพียงแต่ว่ามีบริษัทราว 114 แห่งในสหรัฐฯได้รับผลกระทบ ตรงนี้เองส่วนมากเป็นบริษัทด้านไอที ซอฟต์แวร์ หรือคลาวด์ บันทึกอีก 5,441 รายการเป็น MFA Code 

ในการสืบหาตัวคนร้ายฟีเจอร์ของเทเลแกรมช่วยทีมงานได้มากเพราะเปิดให้ทราบถึงชื่อชาแนลและผู้ดูแลที่มีนามแฝงว่า ‘X’ อย่างไรก็ดีทีมงานเสาะหาไปได้ถึงชื่อเดิมก่อนเปลี่ยนเป็น X แต่เชื่อมโยงได้ไปจนถึง Twitter และ GitHub คาดว่าเป็นคนในสหรัฐฯนี่เอง 

ปัจจุบัน Group-IB ได้แจ้งเตือนเหยื่อและเจ้าหน้าที่แล้ว แต่เรื่องนี้เป็นบทเรียนได้อย่างดีใน 2 เรื่องคือไม่ว่าอย่างไรมนุษย์ก็ยังเป็นจุดอ่อนที่สุดเมื่อเจอกับแคมเปญหลอกลวง และอีกเรื่องคือการตระหนักให้คิดเกี่ยวกับ IAM ใหม่ว่าน่าเชื่อได้แค่ไหนควรมีมาตรการอะไรเสริม เพราะอย่างกรณีของ Twilio คนร้ายได้ SSO Credential ต่อยอดไปหาผู้ใช้บริการเกือบ 2 พันราย แต่ในมุมของ Cloudflare กระทบน้อยกว่ามากเพราะการเข้าระบบภายในต้องมี Security Key แบบ Physical 

ที่มา : https://www.helpnetsecurity.com/2022/08/25/0ktapus-twilio-cloudflare-phishers-targets/ และ https://www.darkreading.com/remote-workforce/twilio-hackers-okta-credentials-sprawling-supply-chain-attack


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เชิญร่วมงานสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 วันที่ 6 ตุลาคม 2023

Bay Computing ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วมสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 ซึ่งจัดขึ้นภายใต้ธีม “First Class Cybersecurity to …

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Incident Response’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

Incident Response เป็นหนึ่งในหัวข้อหลักของแผนการที่ทุกองค์กรควรมือ คำถามคือทุกวันนี้องค์กรหรือบริษัทที่ท่านมีส่วนรวมมีแผนรับมือเหล่านี้ได้ดีเพียงใด ครอบคลุมความเสี่ยงและเคยผ่านสถานการณ์จริงมาได้ดีแค่ไหน ซึ่งหากปฏิบัติตามแผนได้ดีก็อาจจะช่วยลดผลกระทบของความเสียหายได้อย่างมีนัยสำคัญ ด้วยเหตุนี้เองจึงอยากขอเชิญชวนผู้สนใจทุกท่านมาเพิ่มพูนความรู้ในคอร์สสุดพิเศษจาก Sosecure โดยเนื้อหาจะกล่าวถึง Framework, Incident Response และ Incident Handling …