ไมโครซอฟท์ออกรายงานถึงกลุ่มแฮ็กเกอร์ Storm-0558 ที่โจมตีจากประเทศจีนโดยมีแนวทางมุ่งขโมยข้อมูล โดยคนร้ายสามารถขโมยกุญแจเซ็นโทเค็นของ Azure AD ออกไปจากไมโครซอฟท์ได้ ทำให้สามารถเซ็นโทเค็นปลอมตัวเป็นบัญชีผู้ใช้อะไรก็ได้ของเหยื่อ
หน่วยงานที่ถูกโจมตีคือฝ่ายบริหารฝั่งพลเรือนของรัฐบาลกลางสหรัฐฯ (Federal Civilian Executive Branch – FCEB) โดยพบล็อกใน Microsoft 365 ว่ามีรายงาน MailItems Accessed ซึ่งเป็นการเข้าอ่านเมลจากไคลเอนต์ต่าง ๆ แต่ที่แปลกออกไปคือค่า AppID นั้นไม่เคยพบ แปลว่าอยู่ ๆ ก็มีคนใช้อีเมลไคลเอนต์ประหลาดเข้ามาอ่านอีเมล
หลังจากไมโครซอฟท์ได้รับแจ้งจากลูกค้า ตรวจสอบพบว่าคนร้ายเข้าอ่านเมลทาง Outlook Web Access ซึ่งน่าจะแปลว่าเครื่องผู้ใช้ถูกแฮ็ก เพื่อขโมยโทเค็นหลังจากผู้ใช้ล็อกอินตามปกติ แต่เมื่อวิเคราะห์เหตุต่อเนื่องภายหลังจึงพบว่าโทเค็นที่ใช้ล็อกอินนั้นไม่ตรงกับโทเค็นที่ออกไปจากระบบ Azure AD โดยโทเค็นที่เซ็นออกไปมี scope ผิดปกติที่ Azure AD ไม่เคยออกโทเค็นในรูปแบบเช่นนั้น
ภายหลังไมโครซอฟท์จึงยืนยันว่า Storm-0558 ขโมยกุญแจเซ็นโทเค็น Microsoft Account ออกไปได้ ทำให้สามารถปลอมตัวเป็นผู้ใช้ Outlook ได้ทุกคนและไมโครซอฟท์ก็ยกเลิกกุญแจที่ถูกขโมยออกไปแล้ว พร้อมกับเปลี่ยนกุญแจทั้งหมดที่ใช้งานอยู่, แยกระบบเก็บกุญแจและกระบวนการออกกุญแจ โดยเชื่อว่ามาตรการนี้หยุดคนร้ายได้แล้วแต่ก็กำลังตรวจสอบช่องทางอื่น ๆ ที่คนร้ายอาจจะเข้ามาขโมยกุญแจออกไปได้
ทางด้าน CISA หน่วยงานความปลอดภัยไซเบอร์สหรัฐฯ แนะนำให้หน่วยงานต่างๆ เปิด Purview Audit เพื่อเก็บข้อมูลเพิ่มเติม (ต้องใช้ไลเซนส์ E5), เปิดให้หน่วยงานความปลอดภัยไซเบอร์ขององค์กรเข้าค้น log ได้ผ่านทางศูนย์ SOC, และเปิด Microsoft 365 Unified Audit Logging (UAL) ไว้เสมอ
—————————————————————————————————————————————————
ที่มา : Blognone by Lew / วันที่เผยแพร่ 17 ก.ค.66
Link : https://www.blognone.com/node/134870
