Proofpoint รายงานพบบัญชีใช้งาน Azure นับร้อยถูกแทรกแซง

Proofpoint ผู้เชี่ยวชาญด้าน Email Security ได้เผยแพร่รายงานการติดตามแคมเปญการโจมตีของคนร้ายที่ยังไม่ถูกระบุตัวตนแน่ชัด แต่ใจความสำคัญคือพบบัญชีใช้งานบริการ Microsoft จำนวนมากถูกแทรกแซงได้ อีกทั้งเหยื่อที่ถูกหมายตามักมีตำแหน่งสูงในองค์กร เช่น Vice President, CFO, CEO และอื่นๆ

เมื่อวันจันทร์ที่ผ่านมา Proofpoint ได้รายงานผลการศึกษาพฤติกรรมของคนร้ายกลุ่มหนึ่ง ซึ่งมีการพุ่งเป้าทำการ Phishing เหยื่ออย่างเจาะจง โดยมีการลวงให้เข้าสู่ลิงก์อันตรายในเอกสาร ที่เหยื่อเป็นผู้มีหน้ามีตาในองค์กร เช่น VP, CEO, Sale Director, Account Manager, Financial Manager เป็นต้น

พฤติกรรมที่ Proofpoint พบคือคนร้ายได้อาศัย Linux Agent ที่เสมือนกับว่าเป็นผู้ใช้ปกติ เช่น Chrome 120 ให้ไม่ถูกจับสังเกตได้ง่าย อย่างไรก็ดีสิ่งที่คนร้ายทำคือมีการเข้าถึงแอปพลิเคชัน Office365 อย่าง Exchange365 และอื่นๆ ที่น่าสังเกตคือเตรียมพร้อมฝังตัวเพื่อย้อนกลับมาได้อีกด้วยการเพิ่มกลไก MFA เข้ากับช่องทางที่คนร้ายควบคุม เช่น SMS หรือแม้กระทั่ง Authenticator App

อย่างไรก็ดียังไม่การสรุปแน่ชัดว่าคนร้ายเป็นกลุ่มใดอย่างชัดเจน แต่แน่นอนว่าคนร้ายมีการลบร่องรอยการเข้ามา และไปแก้ไขกลไกบางอย่างเอาไว้ รวมถึงการการใช้โดเมนที่ถูกขโมยมาและ Proxy อีกหลายชั้น ซึ่งมีความเชื่อมโยงเส้นทางผ่านผู้ให้บริการอินเทอร์เน็ตของรัสเซียและไนจีเรีย ข่าวนี้เองก็ตอกย้ำถึงความสำคัญในการมีความตระหนักรู้ได้เป็นอย่างดี ว่าคนยังคงเป็นช่องโหว่ที่ถูกหมายตาเสมอ

ที่มา : https://www.scmagazine.com/news/azure-account-takeover-campaign-targets-senior-execs และ https://www.techtarget.com/searchsecurity/news/366569954/Proofpoint-Hundreds-of-Azure-accounts-compromised

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้