Microsoft ได้ออกรายงานเกี่ยวกับการตรวจพบแคมเปญการโจมตีใหม่ผ่าน OAuth หรือ Open Authorization ซึ่งเป็นมาตรฐานการยืนยันตัวตนเพื่อเข้าใช้งานแอปพลิเคชันยอดนิยม โดย Microsoft Threat Intelligence ได้เตือนถึงการโจมตีที่มุ่งเป้าโปรโตคอลนี้หากมีการใช้การยืนยันตัวตนที่ไม่แข็งแรงเพียงพอ เช่น ไม่เปิดใช้งาน Multi-factor authentication โดยแบ่งแคมเปญออกเป็น 3 กลุ่ม ได้แก่
1. Storm-1283 กลุ่มผู้ไม่หวังดี มุ่งเป้าโจมตี OAuth app มีเป้าหมายเพื่อติดตั้ง Cryptocurrency mining ในระบบ Virtual machine โดยมีความเสียหายเกิดขึ้นแล้วตั้งแต่ 10,000 จนถึง 1.5 ล้านเหรียญ
2. กลุ่มแฮ็กเกอร์มุ่งเป้าโจมตีบัญชีผู้ใช้งาน OAuth ผ่านทาง Phishing campaign มีการเข้ายึดอีเมลของค์กรผ่านทาง Microsoft Outlook Web Application (OWA) เพื่อเจาะเอาข้อมูลในไฟล์แนบต่างๆออกไป จากการตรวจสอบ กลุ่มแฮ็กเกอร์รายนี้มีการส่งอีเมลออกไปแล้วมากกว่า 9 แสนฉบับ
3. การโจมตีจากกลุ่ม Strom-1286 มุ่งเป้าโจมตีบัญชีที่ไม่มีการเปิดใช้งาน Multi-factor authentication โดยใช้วิธีโจมตีด้วย Password-spraying attack เพื่อเข้าถึงบัญชี หลังจากนั้นจะนำบัญชีที่เจาะได้มาสร้าง OAuth app ตัวใหม่เพื่อใช้ในการโจมตีต่อไป
ผู้ดูแลระบบควรทำการตรวจสอบระบบที่ใช้งานและเปิดฟีเจอร์ความปลอดภัยในการยืนยันตัวตน หรือบังคับใช้งาน Multi-factor authentication เพื่อป้องกันแคมเปญการโจมตีเหล่านี้
————————————————————————————————————————————-
ที่มา : TechTalkThai / วันที่เผยแพร่ 14 ธ.ค.66
Link : https://www.techtalkthai.com/microsoft-reports-new-attacking-campaigns-target-oauth/
