Proofpoint รายงานพบบัญชีใช้งาน Azure นับร้อยถูกแทรกแซง

Proofpoint ผู้เชี่ยวชาญด้าน Email Security ได้เผยแพร่รายงานการติดตามแคมเปญการโจมตีของคนร้ายที่ยังไม่ถูกระบุตัวตนแน่ชัด แต่ใจความสำคัญคือพบบัญชีใช้งานบริการ Microsoft จำนวนมากถูกแทรกแซงได้ อีกทั้งเหยื่อที่ถูกหมายตามักมีตำแหน่งสูงในองค์กร เช่น Vice President, CFO, CEO และอื่นๆ

เมื่อวันจันทร์ที่ผ่านมา Proofpoint ได้รายงานผลการศึกษาพฤติกรรมของคนร้ายกลุ่มหนึ่ง ซึ่งมีการพุ่งเป้าทำการ Phishing เหยื่ออย่างเจาะจง โดยมีการลวงให้เข้าสู่ลิงก์อันตรายในเอกสาร ที่เหยื่อเป็นผู้มีหน้ามีตาในองค์กร เช่น VP, CEO, Sale Director, Account Manager, Financial Manager เป็นต้น

พฤติกรรมที่ Proofpoint พบคือคนร้ายได้อาศัย Linux Agent ที่เสมือนกับว่าเป็นผู้ใช้ปกติ เช่น Chrome 120 ให้ไม่ถูกจับสังเกตได้ง่าย อย่างไรก็ดีสิ่งที่คนร้ายทำคือมีการเข้าถึงแอปพลิเคชัน Office365 อย่าง Exchange365 และอื่นๆ ที่น่าสังเกตคือเตรียมพร้อมฝังตัวเพื่อย้อนกลับมาได้อีกด้วยการเพิ่มกลไก MFA เข้ากับช่องทางที่คนร้ายควบคุม เช่น SMS หรือแม้กระทั่ง Authenticator App

อย่างไรก็ดียังไม่การสรุปแน่ชัดว่าคนร้ายเป็นกลุ่มใดอย่างชัดเจน แต่แน่นอนว่าคนร้ายมีการลบร่องรอยการเข้ามา และไปแก้ไขกลไกบางอย่างเอาไว้ รวมถึงการการใช้โดเมนที่ถูกขโมยมาและ Proxy อีกหลายชั้น ซึ่งมีความเชื่อมโยงเส้นทางผ่านผู้ให้บริการอินเทอร์เน็ตของรัสเซียและไนจีเรีย ข่าวนี้เองก็ตอกย้ำถึงความสำคัญในการมีความตระหนักรู้ได้เป็นอย่างดี ว่าคนยังคงเป็นช่องโหว่ที่ถูกหมายตาเสมอ

ที่มา : https://www.scmagazine.com/news/azure-account-takeover-campaign-targets-senior-execs และ https://www.techtarget.com/searchsecurity/news/366569954/Proofpoint-Hundreds-of-Azure-accounts-compromised