ឧបករណ៍ឆបោកថ្មីចំនួន២ Jalisco និង OmegaLord ត្រូវបានរកឃើញនៅក្នុងការវាយប្រហារដែលមានគោលដៅលើគណនី Microsoft 365 ដោយប្រើប្រាស់តិចនិកលួចការផ្ទៀងផ្ទាត់ច្រើនជាន់ (MFA)។ខណៈ Jalisco ប្រើវិធីសាស្រ្តឆបោក Device-code រីឯ OmegaLord បន្លំជា PDF Reader ដើម្បីប្រមូលអត្តសញ្ញាណ Account Login និងលេខទូរស័ព្ទ ដែលអាចជួយឱ្យអ្នកវាយប្រហារស្ទាក់ចាប់ ឬលួច កូដ ឬ MFA Requests។ ឧបករណ៍ឆបោកទាំង២នេះត្រូវបានរកឃើញដោយក្រុមហ៊ុនសន្តិសុខសាយប័រ ReliaQuest ដែលកត់សម្គាល់ថា ខណៈការឆបោក Device-code បានក្លាយជាវិធីសាស្រ្តដ៏ពេញនិយមនោះ តិចនិកឆបោកបែបបុរាណនៅបន្តវិវត្តដើម្បីគេចពីការការពារទំនើប។

តិចនិកឆបោក Device-code បានបំពានលើដំណើរការ OAuth 2.0 Device Authorization Grant ដែលធ្វើឡើងដោយការឆបោក និងបានបញ្ឆោតជនរងគ្រោះឱ្យអនុញ្ញាតឧបករណ៍ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារអាចចូលប្រើគណនី Microsoft របស់ពួកគេបាន។ ការវាយប្រហារនេះជាទូទៅចាប់ផ្តើមឡើង នៅពេលដែលជនខិលខូច (Threat actor) ធ្វើការស្នើសុំចូលប្រើប្រាស់ (Sign-in request) ទៅកាន់សេវាកម្មរបស់ Microsoft ដូចជា Microsoft 365 ជាដើម ដែលធ្វើឱ្យប្រព័ន្ធបង្កើតកូដបញ្ជាក់ការអនុញ្ញាតឧបករណ៍ (Device authorization code) ឡើងមក។

ដោយការប្រើបច្ចេកទេសឆបោកបែប Social Engineering អ្នកវាយប្រហារធ្វើឱ្យជនរងគ្រោះធ្វើការ Sign in ទៅកាន់ទំព័រស្របច្បាប់ Microsoft រួចបញ្ចូលកូដអនុញ្ញាត ដូច្នេះជនរងគ្រោះយល់ព្រមផ្តល់សិទ្ធិឱ្យឧបករណ៍ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ នៅពេលឧបករណ៍នោះមានសិទ្ធិ អ្នកវាយប្រហារអាចចូលប្រើគណនីជនរងគ្រោះបានដោយមិនចាំបាច់មានឈ្មោះ ឬលេខសម្ងាត់ទេ។ ឧបករណ៍ Jalisco បង្កើត Fresh Microsoft OAuth Device Codes ស្វ័យប្រវត្តិនៅពេលជនរងគ្រោះបើកទំព័រឆបោក។
ឧបករណ៍ឆបោករក្សាទុក និងប្រើកូដផ្ទៀងផ្ទាត់ឧបករណ៍ភ្លាម បន្ទាប់ពីពួកវាត្រូវបានបង្កើត។ ដោយសារតែវាដំណើរការលឿន វាអាចប្រើកូដមុនពេលផុតសុពលភាព យកឈ្នះរយៈពេលកម្រិត ១៥នាទីរបស់ Microsoft ដែលមានបំណងកាត់បន្ថយការវាយប្រហារបែបឆបោក (Phishing) ដោយប្រើ Device-code។ Jalisco ក៏រួមមាន Web Portal ជាទីតាំងដែលប្រតិបត្តិកររបស់វាអាចគ្រប់គ្រង Captured Sessions និងគណនីដែលត្រូវបានគ្រប់គ្រង បើតាមអ្នកស្រាវជ្រាវ។ ក្រុមហ៊ុន ReliaQuest កត់សម្គាល់ថា នៅក្នុងករណីខ្លះ វាបានឃើញអ្នកវាយប្រហារចុះឈ្មោះឧបករណ៍ព្យាបាទចំនួន៥ នៅលើគណនីដែលរងការគ្រប់គ្រងតែមួយ ដោយពេលខ្លះប្រើឈ្មោះដែលហាក់ដូចជាមិនបង្កគ្រោះថ្នាក់ដែលមានពាក្យ “Microsoft ឬ Windows” ដើម្បីកាត់បន្ថយការសង្ស័យ។ បន្ទាប់ពីគ្រប់គ្រងលើឧបករណ៍ អ្នកវាយប្រហារស្វែងរកនៅលើ SharePoint និង SaaS Services ផ្សេងទៀតមើលទិន្នន័យងាយរងគ្រោះ និងទាញវាចេញក្នុងរយៈពេលខ្លី ក្រោយមកបន្តទាមទារប្រាក់ចាប់ជម្រិត និងគំរាមបញ្ចេញទិន្នន័យទាំងនោះ។ ReliaQuest ថ្លែងថា អ្នកគំរាមកំហែងប្រើគណនីដែលត្រូវបានគ្រប់គ្រងសម្រាប់ចូលប្រើប្រាស់ទិន្នន័យសម្ងាត់ដូចជា ព័ត៌មានអតិថិជន ឬបុគ្គលិក (PII) កំណត់ត្រាហិរញ្ញវត្ថុ និងការទំនាក់ទំនងផ្ទៃក្នុងដែលបានរក្សាទុកនៅក្នុង SharePoint និង SaaS Platforms ដទៃទៀត។ ការទាញយកទិន្នន័យកើតឡើងភ្លាមៗ នៅក្នុងរយៈពេល ៦នាទី មុនពេលប្រព័ន្ធការពារកំណត់អត្តសញ្ញាការបំពាន។
OmegaLord គឺជាឧបករណ៍ឆបោកបែបបុរាណ ដែលប្រើ PDF Reader Login Page ក្លែងក្លាយ ដើម្បីលួចអាសយដ្ឋានអ៊ីម៉ែល ពាក្យសម្ងាត់ និងលេខទូរស័ព្ទ ដែលទំនងជាមានបំណងជួយអ្នកវាយប្រហារឱ្យគេចពីប្រព័ន្ធការពារ MFA។អ្នកស្រាវជ្រាវ ReliaQuest កត់សម្គាល់ថា ការកំណត់គោលដៅច្បាស់លាស់លើលេខទូរស័ព្ទគឺជាឧបករណ៍ផ្សេងមួយទៀតរួមជាមួយ ការក្លែងបន្លំ Device-code ដោយសារតែតិចនិកនេះជួយពួកគេទទួលបានកូដសុវត្ថិភាព MFA ជាជាងការយកឈ្នះលើបច្ចេកវិទ្យា។ ឧបករណ៍ឆបោក Jalisco គឺជាឧបករណ៍ផ្សេងទៀតដែលពឹងផ្អែកលើ Device-code Method ដើម្បីរក្សាការចូលប្រើក្នុងគណនីរបស់ជនរងគ្រោះជាមួយនឹង EvilTokens, Kali365, Tycoon2FA, Venom និង Forg365។ ក្រុមហ៊ុន ReliaQuest បានផ្តល់អនុសាសន៍ឱ្យកាត់បន្ថយចំនួនកំណត់នៃការចុះឈ្មោះឧបករណ៍ (Device-registration limit) នៅក្នុងប្រព័ន្ធ Entra ID ពីតម្លៃដើម (Default) ចំនួន «៥០» មកត្រឹមតែ «១ ឬ ២» វិញ ដែលការធ្វើបែបនេះក៏នឹងជួយកាត់បន្ថយពេលវេលាក្នុងការឆ្លើយតប និងដោះស្រាយបញ្ហា (Response និង remediation times) ផងដែរ ក្នុងករណីដែលមានការលួចគ្រប់គ្រងគណនី (Account hijack) កើតឡើង។ ជាងនេះទៀត វាបានណែនាំឱ្យរារាំង Device code Authentication តាមរយៈ Microsoft Entra Conditional Access រឹតបន្តឹងការផ្តល់សិទ្ធិ OAuth Device Authorization នៅក្នុង Okta និងត្រួតពិនិត្យ ព្រមទាំងលុបការចុះឈ្មោះកម្មវិធី (App) ដែលមិនចាំបាច់ចោល។
ប្រភព BleepingComputer ចុះផ្សាយថ្ងៃទី១៤ ខែកក្កដា ឆ្នាំ២០២៦










