Botnet จำนวนมากกำลังโจมตีบัญชี Microsoft 365 ในรูปแบบ Password Spraying
Last updated: 26 Feb 2025
109 Views
สรุปข้อมูล
พบ Botnet กว่า 130,000 เครื่องมีเป้าหมายการโจมตีบัญชี Microsoft 365 ทั่วโลกด้วยวิธี Password Spraying โดยผู้โจมตีใช้ Basic Authentication ที่ส่งข้อมูลรับรองในรูปแบบข้อความทั้งหมด เพื่อหลีกเลี่ยงการยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication) ในการเข้าถึงบัญชีผู้ใช้งานของเหยื่อ แม้ว่าปัจจุบัน Microsoft กำลังเลิกใช้ Basic Authentication แล้วก็ตาม นอกจากนี้ในรานงานยังระบุว่าองค์กรที่พึ่งพาการเข้าสู่ระบบแบบ Interactive Sign-In อาจไม่สามารถตรวจจับการโจมตีเหล่านี้ได้ เนื่องจากเหตุการณ์ดังกล่าวถูกบันทึกไว้ใน Non-Interactive Sign-In logs ซึ่งมักถูกมองข้ามในการตรวจสอบความปลอดภัย
รายละเอียดการโจมตี
แฮกเกอร์ใช้เทคนิค Password Spraying โดยใช้รหัสผ่านทั่วไปกับบัญชี Microsoft 365 จำนวนมาก เพื่อลดโอกาสที่บัญชีจะถูกล็อกและเพิ่มโอกาสในการเข้าถึงเป้าหมาย การโจมตีนี้อาศัยช่องโหว่ของ Basic Authentication ที่ส่งข้อมูลล็อกอินในรูปแบบที่ไม่ได้เข้ารหัส ช่วยให้แฮกเกอร์ดักจับและขโมยข้อมูลได้ รวมถึงช่วยให้ข้ามการยืนยันตัวตนหลายปัจจัย (MFA) และ Conditional Access Policies (CAP) ได้ง่าย นอกจากนี้ การโจมตีถูกบันทึกใน Non-Interactive Sign-In logs ซึ่งมักถูกมองข้าม เนื่องจากเกิดจากการเข้าถึงโดยแอปพลิเคชันหรือสคริปต์ ทำให้แฮกเกอร์สามารถดำเนินการโจมตีโดยไม่มีการแจ้งเตือนด้านความปลอดภัย
แฮกเกอร์ใช้ข้อมูลล็อกอินที่ขโมยมาจาก Infostealer Malware ซึ่งเป็นมัลแวร์ที่ออกแบบมาเพื่อขโมยข้อมูลรับรองจากระบบที่ถูกบุกรุก เพื่อนำไปใช้ในการโจมตีบัญชี Microsoft 365 ด้วยบ็อตเน็ตที่สามารถลดโอกาสล็อกบัญชีโดยอัตโนมัติ ทำให้สามารถพยายามเข้าสู่ระบบได้อย่างต่อเนื่อง นอกจากนี้ ยังพบว่ามีการใช้ "fasthttp" เป็น User-Agent ซึ่งเป็นตัวบ่งชี้ของ Password Spraying
จากการวิเคราะห์ของ SecurityScorecard พบว่าการโจมตีนี้มีความเชื่อมโยงกับ กลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับจีน โดยเซิร์ฟเวอร์ควบคุมบ็อตเน็ต (C2 Servers) มีการตั้งค่า โซนเวลาเป็น Asia Shanghai ซึ่งเป็นข้อบ่งชี้ถึงต้นทางของการดำเนินการโจมตี บ็อตเน็ตนี้ดำเนินการผ่าน IP ของ SharkTech, CDSC-AS1 และ UCLOUD HK ซึ่งเป็นโฮสติ้งหลักที่เกี่ยวข้องกับกิจกรรมอันตราย
ผลกระทบจากการโจมตี
การโจมตีนี้มีผลกระทบอย่างมากต่อองค์กรที่ยังคงใช้ Basic Authentication และไม่ได้เปิดใช้งานมาตรการป้องกันขั้นสูง หากการโจมตีสำเร็จ แฮกเกอร์สามารถเข้าถึงบัญชีโดยไม่ได้รับอนุญาต ซึ่งอาจนำไปสู่การขโมยข้อมูลสำคัญ การรั่วไหลของข้อมูล หรือการดำเนินการโจมตีเพิ่มเติม เนื่องจาก Basic Authentication เปิดโอกาสให้แฮกเกอร์สามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัย เช่น MFA และ CAP จึงทำให้มีความเสี่ยงสูงต่อการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต นอกจากนี้ หากบัญชีขององค์กรถูกแฮก ข้อมูลสำคัญอาจถูกขายบนตลาดมืด (Dark Web) หรือใช้เพื่อดำเนินการโจมตีอื่น ๆ เช่น Phishing และ Social Engineering รวมถึงบ็อตเน็ตนี้ยังสามารถใช้บัญชีที่ถูกแฮก เพื่อโจมตีเป้าหมายอื่น ๆ ภายในเครือข่าย (Lateral Movement)
คำแนะนำ
- ปิดใช้งาน Basic Authentication
- ตั้งค่า Password ที่ประกอบด้วยตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษ
- เพิ่มการใช้งาน Multi-Factor Authentication (MFA) ในการเข้าสู่ระบบ
- ตั้งค่า Policy สำหรับการล็อกบัญชีหลังจากความพยายามเข้าสู่ระบบล้มเหลวจำนวนมาก
แหล่งอ้างอิง
