หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ออกประกาศแจ้งเตือนเกี่ยวกับการโจมตีของแฮกเกอร์ต่อระบบ cloud service ขององค์กรต่าง ๆ โดยการโจมตีนั้นใช้เทคนิคที่หลากหลาย เช่น phishing, brute force login และ pass-the-cookie attack และในเหตุการณ์การโจมตีในหลาย ๆ ครั้ง มีอย่างน้อยหนึ่งเหตุการณ์ที่แฮกเกอร์สามารถ sign in เข้าไปยังบัญชีผู้ใช้งานโดยที่บัญชีนั้นมีการใช้งาน MFA authentication ด้วย

CISA เชื่อว่าการที่แฮกเกอร์สามารถจัดการกับ MFA authentication protocols ได้เป็นเพราะเทคนิค pass-the-cookie attack ที่จะขโมย authenticated session ที่ผ่านการตรวจสอบสิทธิแล้วและใช้ session cookies เพื่อเข้าสู่ online services หรือ web apps ส่วนกรณีอื่นๆ นั้น แฮกเกอร์จะใช้เทคนิค phishing attack ในการขโมย user credential หลังจากโจมตีสำเร็จแฮกเกอร์ก็จะพยายามโจมตีไปยังบัญชีของผู้ใช้งานอื่น ๆ ที่อยู่ในองค์กรเดียวกันต่อไปอีก โดยจะสร้าง mailbox rules ใหม่เพื่อส่ง phishing email ไป RSS feed หรือ RSS folder เพื่อหลบเลี่ยงการแจ้งเตือนโดยผู้ตรวจสอบ

นอกจากนั้น CISA ยังให้ข้อมูลเพิ่มเติมว่าแฮกเกอร์จะพุ่งเป้าโจมตีไปยังพนักงานที่ใช้อุปกรณ์ของหน่วยงานหรือใช้อุปกรณ์ส่วนตัวในการเข้าถึง cloud service ขององค์กรจากที่บ้าน อีกทั้งจุดอ่อนด้าน cyber hygiene practices ขององค์กรยังเป็นปัจจัยหลักที่ทำให้การโจมตีของแฮกเกอร์ทำได้สำเร็จอีกด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/cisa-hackers-bypassed-mfa-to-access-cloud-service-accounts/



เนื้อหาที่เกี่ยวข้อง

1. MassLogger Trojan พุ่งเป้าขโมยข้อมูลผู้ใช้ Chrome และ Outlook

2. Clop ransomware ปล่อยข้อมูลของ Jones Day ลง Darkweb

3. พบ Javali Trojan มุ่งโจมตีกลุ่มธนาคารทั่วทวีปอเมริกาใต้

4. Microsoft เร่งผู้ใช้ควรอัปเดต Patch Windows แก้บั๊ก TCP/IP

5. บัญชี Spotify รั่วไหลอีกครั้งเกือบ 100,000 บัญชี