ហេគឃ័ររុស្ស៊ីបានកំពុងកេងចំណេញលើ OAuth 2.0 Authentication Workflows ផ្លូវការ ដើម្បីលួចគណនី Microsoft 365 របស់បុគ្គលិកអង្គភាព ដែលទាក់ទងនឹងសិទ្ធិមនុស្ស និងអ៊ុយក្រែន។
ជនខិលខូចកំពុងតែបន្លំជាមន្រ្តីមកពីអឺរ៉ុប និងបានទាក់ទងទៅកាន់គោលដៅតាមរយៈ WhatsApp និង Signal Messaging Platforms។ គោលបំណងគឺដើម្បីធ្វើឱ្យជនរងគ្រោះផ្តល់នូវកូដសម្រាប់ដំណើរការគណនី ឬចុចលើលីងព្យាបាទសម្រាប់ខ្លួនអាចធ្វើការប្រមូលយកព័ត៌មាន Logins និងកូដដំណើរការ One-time។ ក្រុមហ៊ុនសន្តិសុខ Volexity បានសង្កេតឃើញសកម្មភាពនេះតាំងពីដើមខែមីនា បន្ទាប់ពីមានប្រតិបត្តិការស្រដៀងគ្នានេះ ដែលបានរាយការណ៍ក្នុងខែកុម្ភៈ ដោយក្រុមហ៊ុន Volexity និង Microsoft ដោយបង្ហាញពីការបន្លំកូដផ្ទៀងផ្ទាត់ Device Code សម្រាប់លួចគណនី Microsoft 365។
ក្រុមហ៊ុន Volexity តាមដានហេគឃ័រដែលទទួលខុសត្រូវលើយុទ្ធនាការចំនួនពីរគឺ UTA0352 និង UTA0355 ដែលបានដំណើរការដោយទំនុកចិត្តដោយពួកគេទាំងពីរនាក់ជាជនជាតិរុស្ស៊ី។លំហូរនៃការវាយប្រហារ៖ នៅក្នុងរបាយការណ៍ដែលបានចេញផ្សាយនៅថ្ងៃនេះ អ្នកស្រាវជ្រាវរាយការណ៍ពីការវាយប្រហារដែលចាប់ផ្តើមជាមួយនឹងសារ Signal ឬ WhatsApp។ ក្រុមហ៊ុន Volexity កត់សម្គាល់ថា នៅក្នុងករណីមួយមានទំនាក់ទំនងមកពីគណនីរដ្ឋាភិបាលអ៊ុយក្រែនដែលត្រូវបានវាយប្រហារយកទៅគ្រប់គ្រង (compromised)។
អ្នកវាយប្រហារបានបន្លំជាមន្ត្រីនយោបាយអឺរ៉ុប ឬអ្នកការទូតអ៊ុយក្រែន និងបានបញ្ឆោតគោលដៅដោយការអញ្ជើញឱ្យចូលក្នុងកិច្ចប្រជុំវីដេអូឯកជន ដើម្បីពិភាក្សាលើកិច្ចការទាក់ទងនឹងអ៊ុយក្រែន។ នៅពេល Channel ទំនាក់ទំនងបានបង្កើត ហេគឃ័រផ្ញើ OAuth Phishing URL ក្រោមហេតុផលថា វាត្រូវការការចូលរួម Video Call។
UTA0352 ប្រហែលជាចែកការណែនាំឱ្យចូលរួមប្រជុំនៅក្នុងទម្រង់ PDF file ដែលមានបង្កប់ URL ព្យាបាទ ដើម្បីបញ្ចូលអ្នកប្រើប្រាស់ទៅក្នុង Microsoft និងកម្មវិធី Third-party ដែលប្រើប្រាស់ Microsoft 365 OAuth Workflows។ បន្ទាប់ពីគោលដៅផ្ទៀងផ្ទាត់ ពួកគេត្រូវបាននាំទៅកាន់ In-browser Version of Visual Studio Code ដែលបានបង្ហោះនៅលើ Insiders.vscode.dev។ ទំព័រចុះចតអាចទទួលបាន Login Paramenters សម្រាប់ Microsoft 365 ដែលរួមមាន OAuth និងគោលដៅ ដែលបង្ហាញដូចខាងក្រោម៖
ការប្រើបច្ចេកទេស Social Engineering ហេគឃ័រព្យាយាមបញ្ឆោតជនរងគ្រោះឱ្យផ្ញើកូដខាងលើត្រលប់ ដែលស្ថិតនៅក្រោមការបន្លំថា ចាំបាច់ត្រូវប្រើចូលរួមប្រជុំ។ ទោះបី String ជាកូដផ្ទៀងផ្ទាត់មានសុពលភាពសម្រាប់រយៈពេល ៦០ថ្ងៃ តែអាចត្រូវបានប្រើសម្រាប់ដំណើរការ Token សម្រាប់គ្រប់ឧបករណ៍របស់អ្នកប្រើប្រាស់។ ក្រុមហ៊ុន Volexity ថ្លែងថា វាគួរតែកត់សម្គាល់ថា កូដនេះក៏អាចលេចឡើងជាផ្នែករបស់ URI នៅក្នុង Address Bar។ Visual Studio Code បង្ហាញដូចជាត្រូវបាន Set up សម្រាប់ធ្វើឱ្យវាកាន់តែងាយនឹងស្រង់ចេញ និងចែករំលែកកូដនេះ ខណៈគម្រូផ្សេងទៀតជាច្រើននាំទៅកាន់ទំព័រទទេ (Blank Page)។ អ្នកស្រាវជ្រាវបានបង្ហាញនៅក្នុងដ្រាក្រាមដំណាក់កាលនៃការវាយប្រហារ ដែលមានគោលដៅលើអ្នកប្រើប្រាស់ដោយការពឹងផ្អែកលើ Visual Studio Code First-party Application ដូចខាងក្រោម៖
អ្នកស្រាវជ្រាវកត់សម្គាល់ថា មានការផ្លាស់ប្តូរនៃការវាយប្រហារបែបឆបោកនាពេលថ្មីៗនេះ ដែលអ្នកវាយប្រហារបានប្រើទម្រង់សម្រាប់ AzureAD v1.0 ជំនួស v2.0 ដោយភាពខុសគ្នាមាននៅក្នុង URL Parameters ដែលបានប្រើ។ យុទ្ធនាការនៅក្នុងខែមេសាបានកំណត់ថាជា UTA0355 គឺស្រដៀងគ្នាទៅនឹង UTA0352 ប៉ុន្តែការទំនាក់ទំនងចាប់ផ្តើមចេញមកពីគណនីអ៊ីម៉ែលរដ្ឋបាលអ៊ុយក្រែនដែលត្រូវបានគ្រប់គ្រង (Compromised) និងអ្នកវាយប្រហារបានប្រើកូដផ្ទៀងផ្ទាត់ OAuth ដែលបានលួចសម្រាប់ចូលក្នុងឧបករណ៍ថ្មី Microsoft Entra D (អតីត Azure Active Directory) របស់ជនរងគ្រោះ។ អ្នកស្រាវជ្រាវក្រុមហ៊ុន Volexity ថ្លែងថា នៅពេលឧបករណ៍បានចុះឈ្មោះ ពួកគេត្រូវតែធ្វើឱ្យគោលដៅជឿជាក់ដើម្បីយល់ព្រមផ្តល់នូវសំណើសុំការផ្ទៀងផ្ទាត់ពីរជាន់ (2FA) សម្រាប់អាចចូលប្រើអ៊ីម៉ែលរបស់ជនរងគ្រោះ។ ដើម្បីធ្វើដូច្នោះបាន ហេគឃ័របានប្រើបច្ចេកទេសឆបោកបែប Social Engineered ដោយនិយាយថា កូដ 2FA គឺចាំបាច់សម្រាប់ចូលទៅដំណើរការ Sharepoint Instance ដែលពាក់ព័ន្ធជាមួយនឹងកិច្ចប្រជុំសន្និសីទ។
អ្នកស្រាវជ្រាវបានថ្លែងថា នៅក្នុងកំណត់ហេតុដែលបានពិនិត្យដោយ Volexity បានឱ្យដឹងថា ការចុះឈ្មោះឧបករណ៍ដំបូងទទួលបានជោគជ័យភ្លាមៗ បន្ទាប់ពីការទំនាក់ទំនងជាមួយហេគឃ័រ។ ដំណើរការចូលទៅកាន់ទិន្នន័យអ៊ីម៉ែលកើតឡើងនៅថ្ងៃបន្ទាប់ ដែលនៅពេល UTA0355 បានរៀបចំស្ថានភាពបន្លំសុំ 2FA ហើយត្រូវបានយល់ព្រម។ ដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារបែបនេះ ក្រុមហ៊ុន Volexity ណែនាំឱ្យធ្វើការកំណត់ Alert នៅលើ Logins ដែលប្រើ Visual Studio Code clent_id ដើម្បីរារាំងដំណើរការទៅកាន់ ‘insiders.vscode.dev’ និង ‘uscode-redirect.azurewebsites.net’។ អ្នកស្រាវជ្រាវក៏ណែនាំឱ្យកំណត់គោលការណ៍ដំណើរការលក្ខខណ្ឌទៅ Limit Access ដើម្បី Approved Devices តែប៉ុណ្ណោះ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៤ ខែមេសា ឆ្នាំ២០២៥
