ការិយាល័យស៊ើបអង្កេតសហព័ន្ធ (FBI) កំពុងចេញសេចក្តីព្រមានអំពី Kali365 ដែលជាវេទិកាផ្ដល់សេវាកម្មបោកប្រាស់ (Phishing-as-a-Service ឬ PhaaS)។ វេទិកានេះត្រូវបានគេយកមកប្រើប្រាស់ដើម្បីលួចគ្រប់គ្រងគណនី Microsoft 365 តាមរយៈការបំពានលើប្រព័ន្ធផ្ទៀងផ្ទាត់កូដឧបករណ៍ OAuth (OAuth device code authentication) ដើម្បីលួចយកដំណើរការរបស់ Session Tokens ដើម្បីអាចរំលងប្រព័ន្ធការពារផ្ទៀងផ្ទាត់ពីរតំណាក់កាល (MFA)។
យោងតាមសេចក្តីជូនដំណឹងជាសាធារណៈ (PSA) របស់ FBI បានឱ្យដឹងថា វេទិកា Kali365 នេះ បានលេចមុខឡើងដំបូងគេនៅក្នុងខែមេសា ឆ្នាំ ២០២៦ ហើយត្រូវបានចែកចាយតាមរយៈប៉ុស្តិ៍តេឡេក្រាម (Telegram channels) ទៅកាន់ក្រុមឧក្រិដ្ឋជនបច្ចេកវិទ្យា ដែលស្វែងរកវិធីងាយស្រួលជាងមុនក្នុងការវាយប្រហារលើគណនី Microsoft 365 ដោយមិនចាំបាច់លួចលេខសម្ងាត់ ឬស្ទាក់ចាប់យកកូដ MFA ឡើយ។វេទិកានេះប្រើប្រាស់វិធីសាស្ត្របោកប្រាស់យកកូដឧបករណ៍ (Device code phishing) ដែលជាវិធីសាស្ត្រមួយកំពុងមានការកើនឡើង និងពេញនិយមខ្លាំង តាមរយៈការបំពានលើមុខងារផ្ដល់សិទ្ធិឧបករណ៍ OAuth 2.0 (OAuth 2.0 Device Authorization grant flow) ដែលជាមុខងារស្របច្បាប់របស់ក្រុមហ៊ុន Microsoft ដើម្បីចូលទៅកាន់គណនី Microsoft Entra និង Microsoft 365។
វិធីសាស្ត្រផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (Authentication Method) នេះ ត្រូវបានបង្កើតឡើងក្នុងគោលបំណងអនុញ្ញាតឱ្យឧបករណ៍ដែលមានសមត្ថភាពបញ្ចូលទិន្នន័យមានកម្រិត (ដូចជា ទូរទស្សន៍ឆ្លាតវៃ Smart TVs, ប្រព័ន្ធបន្ទប់ប្រជុំ, ឧបករណ៍ស្ទ្រីមវីដេអូ Streaming devices, ម៉ាស៊ីនព្រីន, និងឧបករណ៍ IoT ជាដើម) អាចធ្វើការផ្ទៀងផ្ទាត់ចូលប្រើប្រាស់ តាមរយៈឧបករណ៍ផ្សេងមួយទៀត ដោយប្រើប្រាស់លេខកូដខ្លីមួយ នៅលើគេហទំព័រសម្រាប់ចូលគណនីតាមកូដឧបករណ៍របស់ Microsoft គឺ http://microsoft.com/devicelogin។កាលពីខែកុម្ភៈ គេហទំព័រព័ត៌មានបច្ចេកវិទ្យា BleepingComputer បានរាយការណ៍ថា ក្រុមឧក្រិដ្ឋជនជម្រិតទារប្រាក់ រួមទាំងក្រុមឧក្រិដ្ឋជនបច្ចេកវិទ្យា ShinyHunters ផងនោះ បាននិងកំពុងកំណត់គោលដៅវាយប្រហារលើគណនី Microsoft Entra តាមរយៈវិធីសាស្ត្របោកប្រាស់យកកូដឧបករណ៍ (Device-code phishing) និងការបោកប្រាស់តាមសំឡេង (Voice phishing)។
ក្នុងការវាយប្រហារទាំងនេះ ជនខិលខូចបានចាប់ផ្ដើមដំណើរការស្នើសុំផ្ដល់សិទ្ធិឧបករណ៍ដោយខ្លួនឯង ដើម្បីបង្កើតជាលេខកូដមួយឡើង បន្ទាប់មកពួកគេបានប្រើប្រាស់ល្បិចបោកប្រាស់ និងសិល្បៈបញ្ចុះបញ្ចូល (Social engineering) ដើម្បីបន្លំភ្នែកជនរងគ្រោះឱ្យយកលេខកូដនោះទៅវាយបញ្ចូលនៅលើទំព័រចូលគណនីរបស់ក្រុមហ៊ុន Microsoft។នៅពេលដែលជនរងគ្រោះវាយបញ្ចូលលេខកូដ និងបំពេញការផ្ទៀងផ្ទាត់ពីរតំណាក់កាល (MFA) រួចរាល់ ក្រុមហ៊ុន Microsoft នឹងចេញ « Token ចូលប្រើប្រាស់ OAuth» (OAuth access token) មួយ ដែលផ្ដល់សិទ្ធិពេញលេញដល់ជនខិលខូចក្នុងការចូលទៅកាន់គណនីរបស់ជនរងគ្រោះ ដោយមិនចាំបាច់ឱ្យពួកគេដោះស្រាយរបាំងការពារ MFA ណាមួយឡើយ។
បច្ចុប្បន្ន ជនខិលខូចមានសិទ្ធិចូលប្រើប្រាស់ពេញលេញទៅលើរាល់កម្មវិធីទាំងអស់ដែលអ្នកប្រើប្រាស់ធ្លាប់មានសិទ្ធិ ដោយឆ្លងកាត់គណនីចូលប្រព័ន្ធតែមួយ (Single-sign-on account) របស់ពួកគេ រួមមាន Microsoft 365, Salesforce ឬ Cloud SaaS ផ្សេងៗទៀត ដែលបន្ទាប់មកត្រូវបានគេយកទៅប្រើប្រាស់ដើម្បីលួចទិន្នន័យ។ទីភ្នាក់ងារ FBI បានព្រមានថា Kali365 ថែមទាំងបើកផ្លូវឱ្យពួកវាយប្រហារដែលមានជំនាញកម្រិតទាប អាចប្រើប្រាស់សមត្ថភាពបោកប្រាស់កម្រិតខ្ពស់បានផងដែរ រួមមាន៖ នុយបោកប្រាស់ដែលបង្កើតឡើងដោយបញ្ញាសិប្បនិម្មិត (AI-generated phishing lures) គំរូយុទ្ធនាការស្វ័យប្រវត្ត ការគ្រប់គ្រងតាមដានជនរងគ្រោះតាមពេលវេលាជាក់ស្តែង (Real-time tracking dashboards) និងមុខងារលួចចាប់យក Token (Token-capture)។
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបច្ចេកវិទ្យានៅក្រុមហ៊ុន Arctic Wolf បានរាយការណ៍អំពីសកម្មភាពរបស់ Kali365 នៅក្នុងខែមេសា បន្ទាប់ពីបានសង្កេតឃើញយុទ្ធនាការរីករាលដាលយ៉ាងខ្លាំង ដែលកំណត់គោលដៅលើស្ថាប័ននានានៅទូទាំងពិភពលោក។អ្នកស្រាវជ្រាវបាននិយាយថា យុទ្ធនាការទាំងនោះជាចម្បងបានកំណត់គោលដៅលើបរិស្ថានដំណើរការរបស់ Microsoft 365 ដោយប្រើប្រាស់អ៊ីម៉ែលបោកប្រាស់ដែលនាំជនរងគ្រោះទៅកាន់គេហទំព័រចូលកូដឧបករណ៍របស់ Microsoft ដែលជាកន្លែងដែលពួកគេបានផ្ដល់សិទ្ធិឱ្យពួកអ្នកវាយប្រហារចូលទៅកាន់គណនីរបស់ពួកគេដោយមិនដឹងខ្លួន។
អ្នកស្រាវជ្រាវបានបន្តទៀតថា ការវាយប្រហារដែលកើតឡើងជាលទ្ធផល បានផ្ដល់ឱ្យពួកហេគឃ័រនូវសិទ្ធិចូលទៅកាន់ប្រអប់សំបុត្រ (Mailboxes) របស់ជនរងគ្រោះ ដែលជាកន្លែងរបស់ពួកគេបានបង្កើត «ច្បាប់ប្រអប់សំបុត្រព្យាបាទ» (Malicious inbox rules) ឡើងក្នុងគោលបំណងដើម្បីលាក់បាំងសកម្មភាពរបស់ពួកគេ។នៅក្នុងការវាយប្រហារមួយចំនួន ពួកអ្នកវាយប្រហារថែមទាំងបានចុះឈ្មោះឧបករណ៍ថ្មីៗ ទៅក្នុងបរិស្ថានប្រព័ន្ធ Microsoft របស់ជនរងគ្រោះ ដែលធ្វើឱ្យពួកគេកាន់តែពង្រីកសិទ្ធិចូលប្រើប្រាស់របស់ខ្លួនទៅក្នុងបណ្តាញដែលត្រូវបានលួចចូលនោះ។
ក្រុមហ៊ុន Arctic Wolf បានរកឃើញថា Kali365 ដំណើរការដូចជាអាជីវកម្មមួយ ដោយមានអ្នកគ្រប់គ្រង (Admins) មើលការខុសត្រូវលើការអភិវឌ្ឍផលិតផល មានអ្នកលក់បន្ត (Resellers) ដែលផ្សព្វផ្សាយសេវាកម្មនេះទៅកាន់ជនខិលខូចដទៃទៀត និងមានសមាជិកសម្ព័ន្ធ (Affiliates) ដែលជាអ្នកធ្វើសកម្មភាពវាយប្រហារបោកប្រាស់ផ្ទាល់។អ្នកស្រាវជ្រាវនិយាយថា វេទិកានេះផ្ដល់នូវរបៀបវាយប្រហារពីរផ្សេងគ្នា ដោយរបៀបទីមួយគឺការបោកប្រាស់យកកូដឧបករណ៍ (Device code phishing) និងរបៀបទីពីរគឺរបៀបចន្លោះកណ្តាល (Adversary-in-the-middle ឬ AitM) ដែលមានឈ្មោះថា “Cookie Link”។
មុខងារ Cookie Link នេះ ដើរតួជាប្រូកស៊ី (Proxy) នាំជនរងគ្រោះឆ្លងកាត់ហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ វាអាចលួចចាប់យកប្រវត្តិនៃដំណើរការកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលបានផ្ទៀងផ្ទាត់ (Authenticated browser sessions) ឃុកឃីប្រវត្តិនៃដំណើរការ (Session cookies) និង Token បន្ទាប់ពីគោលដៅបានចូលប្រព័ន្ធ រួមទាំងដោះស្រាយរបាំង MFA រួចរាល់។
ទីភ្នាក់ងារ FBI ណែនាំឱ្យក្រុមហ៊ុននានារឹតបន្តឹង ឬបិទទាំងស្រុងនូវលំហូរនៃការផ្ទៀងផ្ទាត់កូដឧបករណ៍ ដោយប្រើប្រាស់គោលការណ៍ Conditional Access policies ប្រសិនបើអាចធ្វើទៅបាន ធ្វើសវនកម្មលើការប្រើប្រាស់កូដឧបករណ៍ដែលមានស្រាប់ និងបិទគោលការណ៍ផ្ទេរសិទ្ធិផ្ទៀងផ្ទាត់ (Authentication transfer policies) ដែលអនុញ្ញាតឱ្យប្រវត្តិនៃដំណើរការផ្ទៀងផ្ទាត់អាចផ្លាស់ទីរវាងឧបករណ៍នានា។
ស្ថាប័នសន្តិសុខនេះ ក៏បានជំរុញឱ្យស្ថាប័នដែលរងផលប៉ះពាល់ រាយការណ៍អំពីឧប្បត្តិហេតុនានាទៅកាន់មជ្ឈមណ្ឌលបណ្តឹងឧក្រិដ្ឋកម្មអ៊ីនធឺណិត (Internet Crime Complaint Center) និងរក្សាទុកនូវអ៊ីម៉ែលបោកប្រាស់ ព័ត៌មាននៃការចូលប្រព័ន្ធដែលគួរឱ្យសង្ស័យ និងការចុះឈ្មោះឧបករណ៍ដែលគ្មានការអនុញ្ញាត។ការបោកប្រាស់យកកូដឧបករណ៍ (Device code phishing) ត្រូវបានគេមើលឃើញថាមានការយកមកប្រើប្រាស់យ៉ាងទូលំទូលាយនៅក្នុងឆ្នាំ ២០២៦ នេះ ដោយមានជនខិលខូច និងវេទិកាផ្សេងទៀតកំពុងប្រើប្រាស់វាជាផ្នែកមួយនៃយុទ្ធនាការ និងការវាយប្រហារបោកប្រាស់របស់ពួកគេ។ការយកមកប្រើប្រាស់នេះ រួមបញ្ចូលទាំងវេទិកា PhaaS ឈ្មោះ EvilTokens និង Tycoon2FA ដែលកំពុងប្រើប្រាស់វាដើម្បីវាយប្រហារលើគណនី Microsoft 365 និង Entra ដូចគ្នាដែរ។
FBI warns of Kali365 phishing kit targeting Microsoft 365 accounts
