ឧបករណ៍ឆបោកអាចឆ្លងកាត់ MFA ថ្មីតម្រង់ទៅរក Microsoft 365 និងគណនី Gmail

0

ឧក្រឹដ្ឋជនបានបង្កើនការប្រើប្រាស់ Phishing-as-a-Service (PhaaS) Platform ឈ្មោះ “Tycoon 2FA” ដើម្បីវាយប្រហារលើ Microsoft 365 និងគណនី Gmail ដោយឆ្លងកាត់ការផ្ទៀងផ្ទាត់ច្រើនកត្តា (2FA)។Tycoon 2FA ត្រូវបានរកឃើញដោយអ្នកវិភាគ Sekoia កាលពីខែតុលា ឆ្នាំ២០២៣ នៅពេលដែលគាត់ដើរស្វែងរកការគំរាមកំហែង ប៉ុន្តែមេរោគនេះទំនងជាមានដំណើរការចាប់តាំងពីខែសីហា ឆ្នាំ២០២៣ មកម្ល៉េះ នៅពេលដែលក្រុម Saad Tycoon បានចម្លងមេរោគនេះតាមរយៈ Telegram Channels របស់ពួកគេ។

PhaaS kit ក៏បានចែករំលែកស្រដៀងគ្នានេះដែរជាមួយនឹង Adversary-in-the-Middle (AitM) Platform ដូចជា Dadsec OTT ដែលស្នើសុំកូដសម្រាប់ប្រើឡើងវិញ (Reuse) ប្រសិនបើអាច ឬសហការជាមួយអ្នកអភិវឌ្ឍ។ កាលពីដើមឆ្នាំ២០២៤ មេរោគ Tycoon 2FA បានបញ្ចេញជំនាន់ថ្មីដែលជាអ្នកជំនាញលួចលាក់ (Stealthier) ហើយបានបង្ហាញពីការបន្តសកម្មភាពសម្រាប់ដំណើរការសេវាមេរោគនេះ (Improve Kit)។ ថ្មីៗនេះ សេវាកម្មមេរោគនេះបានបង្កើនដល់ទៅ ១,១០០ Domains និងត្រូវបានសង្កេតឃើញថាមានការឆបោករាប់ពាន់ករណី។

ការវាយប្រហារ Tycoon 2FA ពាក់ព័ន្ធនឹងដំណើរការច្រើនជំហានរបស់ហេគឃ័រដើម្បីលួច Session Cookies ដោយប្រើ Reverse Proxy Server ដែលបង្ហោះគេហទំព័រឆបោក ដើម្បីស្ទាក់ចាប់ការបញ្ចូល (input) របស់ជនរងគ្រោះ និងបញ្ជូនពួកគេទៅកាន់សេវាស្របច្បាប់។ នៅពេលអ្នកប្រើបានបំពេញ MFA និងការផ្ទៀងផ្ទាត់រួចរាល់ ម៉ាស៊ីនមេចាប់យក Session Cookies បើយោងតាមការពន្យល់របស់ Sekoia។ តាមរយៈនេះ ហេគឃ័រអាចប្រើ (Replay) Session របស់អ្នកប្រើប្រាស់ និងឆ្លងកាត់ការផ្ទៀងផ្ទាត់ច្រើនកត្តា (Multi-Factor Authentication (MFA)) mឆechanisms។ នៅក្នុងរបាយការណ៍របស់ Sekoia បានរៀបរាប់ពី ដំណើរការចំនួន៧ របស់ហេគឃ័រដូចខាងក្រោម៖

១. ដំណាក់កាល ០ ៖ ហេគឃ័រចែកចាយលីងមេរោគតាមរយៈអ៊ីម៉ែលដោយបង្កប់ URLs ឬ QR Codes សម្រាប់បញ្ឆោតជនរងគ្រោះឱ្យចូលទៅកាន់គេហទំព័រឆបោក

២. ដំណាក់កាលទី ១៖ ប្រឈមនឹងបញ្ហាសុវត្ថិភាពរបស់ bots (Cloudflare Turnstile) ដែលអនុញ្ញាតឱ្យតែមនុស្សចូលដំណើរការគេហទំព័របោកបញ្ឆោតប៉ុណ្ណោះ

៣. ដំណាក់កាលទី ២៖ Background scripts ទាញយកអុីម៉ែលរបស់ជនរងគ្រោះពី URL ប្តូរទៅធ្វើការឆបោក

៤. ដំណាក់កាលទី ៣៖ អ្នកប្រើប្រាស់ត្រូវបានបញ្ជូនទៅកាន់គេហទំព័រឆបោកដោយសម្ងាត់ ដោយការប្តូរជនរងគ្រោះទៅជិតនឹង Login Page ក្លែងក្លាយ

៥. ដំណាក់កាលទី ៤៖ ដំណាក់កាលនេះបង្ហាញ Microsoft Login Page ក្លែងក្លាយដើម្បីលួចអត្តសញ្ញាណ ដោយប្រើ WebSockets សម្រាប់ច្រោះយកទិន្នន័យ

៦. ដំណាក់កាលទី ៥៖ ដំណាក់កាលនេះប្រឈមនឹងការថតចម្លង 2FA ដោយស្ទាក់ចាប់ 2FA Token ឬឆ្លើយតបនឹងការឆ្លងកាត់វិធានការសុវត្ថិភាព

៧. ដំណាក់កាលទី ៦៖ ចុងក្រោយ ជនរងគ្រោះត្រូវបានបញ្ជូនទៅកាន់គេហទំព័រក្លែងបន្លំដែលមើលទៅដូចគេហទំព័រស្របច្បាប់ ដើម្បីបិទបាំងការវាយប្រហារ។

Sekoia រៀបរាប់ពីមេរោគ Tycoon 2FA ជំនាន់មុន និងបានបញ្ចេញនៅឆ្នាំនេះថា មានការកែប្រែសំខាន់ៗដែលធ្វើឱ្យមេរោគកាន់តែមានសមត្ថភាពបន្លំ និងគេចពីការតាមចាប់ប្រសើរឡើង។ មានការផ្លាស់ប្តូរ key រួមមានបច្ចុប្បន្នភាព JavaScript និង HTML code ដែលជាការផ្លាស់ប្តូរដើម្បីទទួលបាន Resource និងការច្រោះយកកាន់តែធំ ដើម្បីបិទចរាចរណ៍ Bots និងគេចពីធូលវិភាគ (Analytical Tools)។ ឧទាហរណ៍ Kit បច្ចុប្បន្នពន្យាពេលការ Loading Resources អាក្រក់រហូតទាល់តែ Cloudflare Turnstile Challenge ត្រូវបានដោះស្រាយ ដោយប្រើ Pseudorandom Names សម្រាប់ URLs ដើម្បីបន្លំសកម្មភាពរបស់មេរោគ។ Tor Network Traffic ឬ IP Addresses ដែលលីងទៅកាន់ Data Centers បច្ចុប្បន្នត្រូវបានកំណត់អត្តសញ្ញាណល្អជាងមុន ខណៈ ដែលចរាចរណ៍ត្រូវបានបដិសេធ ដោយផ្អែកលើ User-Agent Strings ជាក់លាក់។

ចំពោះទំហំនៃការប្រតិបត្តិការ Sekoia បានរាយការណ៍ថា វាសំខាន់ណាស់ ព្រោះភស្តុតាងបង្ហាញថា អ្នកប្រើប្រាស់ជាច្រើនកំពុងតែប្រើ Typoon 2FA សម្រាប់ធ្វើការបន្លំ។ កាបូប Bitcoin ដែលលីងទៅប្រតិបត្តិករត្រូវបានកត់ត្រាថាមានចំនួនជាង ១,៨០០ ប្រតិបត្តិការតាំងពីខែតុលា ឆ្នាំ២០១៩ ជាមួយនឹងការកត់សម្គាល់ឃើញថា ចាប់ផ្តើមតាំងពីខែសីហា ឆ្នាំ២០២៣ នៅពេលដែលសេវាមេរោគនេះត្រូវបានដាក់ចេញឱ្យប្រើប្រាស់។ ជាង ៥៣០ប្រតិបត្តិការមានទឹកប្រាក់មិនតិចជាង ១២០ដុល្លារនោះទេ គឺជាតម្លៃចូលសម្រាប់ការប្រើប្រាស់លីងបន្លំរយៈពេល ១០ថ្ងៃ។ នៅពាក់កណ្តាលខែមីនា ឆ្នាំ២០២៤ កាបូបរបស់ហេគឃ័របានទទួលប្រាក់សរុបចំនួន ៣៩៤,០១៥ដុល្លារនៃប្រាក់គ្រីបតូ។

សេវាមេរោគ Tycoon 2FA គ្រាន់តែជាការបន្ថែមថ្មីបំពេញចន្លោះចំហរបស់សេវា PhaaS ដែលបានផ្តល់ជូននូវជម្រើសសម្រាប់ឧក្រឹដ្ឋជនតែប៉ុណ្ណោះ។ Platforms ផ្សេងដែលគួរកត់សម្គាល់គឺថាអាចឆ្លងកាត់ការការពារ 2FA រួមទាំង LabHost, Greatness និង Robin Banks ថែមទៀតផង។ បញ្ជីសូចនាករនៃការ Compromise (IoCs ) ដែលភ្ជាប់ទៅនឹងប្រតិបតិ្តការមេរោគ Tycoon 2FA, Sekoia បានរកឃើញ Repository ជាង 50 Entries។

បច្ចុប្បន្នភាព៖ អ្នកនាំពាក្យរបស់ក្រុមហ៊ុន Google បានថ្លែងថា មានការវាយប្រហារដ៏ល្បី យើងបានទប់ស្កាត់ចំពោះការវាយប្រហារបែបនេះ ដែលរួមមាន Passkeys សម្រាប់កាត់បន្ថយផលប៉ះពាល់នៃការឆបោកបែប Phishing និងការវាយប្រហារបែប Social engiឆneering ផ្សេងៗ។ ការស្រាវជ្រាវរបស់ក្រុមហ៊ុន Google បានបង្ហាញថា Security Keys ផ្តល់ការការពាររឹងមាំប្រឆាំងនឹង Automated Bots ការវាយប្រហារ Bulk Phishing និង Targeted Attacks ជាង SMS, App-Based One-Time Passwords និង Forms ផ្សេងទៀតរបស់ការផ្ទៀងផ្ទាត់២កត្តា (2FA)៕

https://www.bleepingcomputer.com/news/security/new-mfa-bypassing-phishing-kit-targets-microsoft-365-gmail-accounts/

ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៥ ខែមីនា ឆ្នាំ២០២៤

LEAVE A REPLY

Please enter your comment!
Please enter your name here