
ที่มาภาพ: The Hacker News
การโจมตี Password Spray ผ่าน Azure CLI แฮ็กบัญชี Microsoft อย่างน้อย 78 รายจาก 81 ล้านครั้ง
⚡ สรุป 30 วิ
การวิจัยของ Huntress พบการโจมตี password spray ไปยัง Azure CLI ระหว่าง 12‑26 มิถุนายน 2024 โดยใช้ IPv6 ของ LSHIY LLC ทำให้บัญชี Microsoft อย่างน้อย 78…
Azure CLI ร่วมกับการโจมตีแบบ Password Spray ทำให้บัญชี Microsoft อย่างน้อย 78 รายถูกแฮ็กจากการพยายามเข้าสู่ระบบกว่า 81 ล้านครั้ง
Overview
การวิจัยด้านความปลอดภัยของ Huntress เผยว่ามีการดำเนินการโจมตีแบบ password spray ที่มุ่งเป้าไปยัง Azure Command‑Line Interface (CLI) อย่างต่อเนื่องและอัตโนมัติ ตั้งแต่กลางเดือนมิถุนายน 2024 จนถึงปลายเดือนเดียวกัน นักโจมตีใช้การลองรหัสผ่านทั่วไปบนบัญชี Microsoft จำนวนหลายหมื่นบัญชี ทำให้พบการเข้าถึงโดยไม่ได้รับอนุญาตอย่างน้อย 78 รายการ การโจมตีนี้เกิดจากที่อยู่ IPv6 ช่วง 2a0a:d683::/32 ซึ่งอยู่ในความควบคุมของผู้ให้บริการโครงข่าย LSHIY LLC (AS32167)
Attack Details
ตามรายงานของ Huntress จำนวน 81 ล้าน การพยายามล็อกอินถูกบันทึกในระยะเวลาสั้น ๆ ระหว่าง 12‑26 มิถุนายน 2024 ซึ่งแสดงให้เห็นถึงลักษณะการโจมตีที่ใช้สคริปต์อัตโนมัติในการกระจายคำขอไปยังหลาย ๆ จุดของ Azure CLI อย่างต่อเนื่อง การใช้ IPv6 แทน IPv4 ช่วยให้ผู้โจมตีหลบหลีกการตรวจจับจากระบบป้องกันแบบดั้งเดิมที่มักตั้งค่าให้ตรวจสอบที่อยู่ IPv4 มากกว่า
- ที่อยู่ IPv6 ที่เกี่ยวข้อง: 2a0a:d683::/32
- ผู้ให้บริการโครงข่าย: **LSHIY LLC (AS32167)
- จำนวนบัญชีที่ถูกเข้าถึง: 78
- จำนวนการพยายามล็อกอิน: 81 ล้าน ครั้ง
Technical Analysis
Password spray เป็นเทคนิคที่อาศัยการลองรหัสผ่านที่คาดว่าจะเป็นค่าที่ผู้ใช้ตั้งบ่อย (เช่น “Password123” หรือ “Welcome2024”) บนหลายบัญชีพร้อมกัน เพื่อลดความเสี่ยงที่ระบบล็อกบัญชีหลังจากพยายามผิดพลาดหลายครั้ง ในกรณีของ Azure CLI นักโจมตีเลือกใช้คอมมานด์ไลน์เพื่อส่งคำขอเข้าสู่ระบบโดยตรงผ่าน API ของ Azure แทนการทำผ่าน UI เว็บ ทำให้การตรวจจับบนบันทึกการเข้าสู่ระบบของ Azure Portal ไม่ได้ครอบคลุมทั้งหมด
การใช้ช่วง IPv6 ขนาดใหญ่ช่วยให้สามารถเปลี่ยนแปลงที่อยู่ย่อย ๆ ได้หลายพันครั้งภายในช่วงเดียวกัน ลดโอกาสที่ระบบบล็อกที่อยู่ IP เดียวกันหลายครั้ง นอกจากนี้ การโจมตีที่มุ่งไปยัง Azure CLI ยังบ่งชี้ว่าผู้โจมตีอาจพยายามเข้าถึงข้อมูลหรือบริการที่จัดการผ่านสคริปต์อัตโนมัติ เช่น การจัดการทรัพยากรคลาวด์หรือการดึงข้อมูลคอนฟิกูเรชัน
Impact & Response
ผลกระทบของการโจมตีนี้ส่วนใหญ่เกิดขึ้นกับผู้ใช้ Azure CLI ที่อาจเป็นนักพัฒนาซอฟต์แวร์หรือผู้ดูแลระบบคลาวด์ที่ใช้บัญชี Microsoft เดียวกันสำหรับการจัดการทรัพยากร การที่บัญชีถูกเข้าถึงโดยไม่ได้รับอนุญาตอาจนำไปสู่การดึงข้อมูลสำคัญ การเปลี่ยนแปลงการตั้งค่าความปลอดภัย หรือแม้กระทั่งการสร้างทรัพยากรใหม่ที่มีค่าใช้จ่ายสูง
Microsoft ยังคงให้บริการอัปเดตเกี่ยวกับการตรวจจับและป้องกันการโจมตีประเภทนี้ผ่าน Azure AD Conditional Access และการบังคับใช้ Multi‑Factor Authentication (MFA) อย่างต่อเนื่อง Huntress แนะนำให้ผู้ใช้ตรวจสอบประวัติการเข้าสู่ระบบของ Azure CLI อย่างละเอียด และทำการรีเซ็ตรหัสผ่านที่อาจถูกคาดเดาได้ทันที
Mitigation Recommendations
เพื่อป้องกันการโจมตีแบบ password spray บน Azure CLI ผู้ดูแลระบบควรดำเนินการตามแนวทางต่อไปนี้
- เปิดใช้งาน MFA สำหรับทุกบัญชี Microsoft ที่เข้าถึง Azure
- ใช้ Conditional Access เพื่อบังคับให้มีการตรวจสอบจากตำแหน่งที่อยู่ IP หรือเครือข่ายที่ได้รับการยอมรับเท่านั้น
- ตั้งค่านโยบาย password complexity ให้ผู้ใช้ต้องเลือกใช้รหัสผ่านที่มีความยาวและความซับซ้อนสูง
- ตรวจสอบ sign‑in logs ของ Azure AD อย่างสม่ำเสมอเพื่อค้นหาพฤติกรรมที่ผิดปกติ เช่น การพยายามล็อกอินจากหลายที่อยู่ IPv6 ในระยะสั้น
การดำเนินการเหล่านี้ช่วยลดโอกาสที่ผู้โจมตีจะใช้วิธีการสเปรย์รหัสผ่านได้อย่างมีประสิทธิภาพ และเพิ่มระดับการป้องกันต่อการเข้าถึงข้อมูลสำคัญบนคลาวด์
Summary
การโจมตี password spray ที่มุ่งเป้าไปยัง Azure CLI ทำให้บัญชี Microsoft อย่างน้อย 78 รายถูกแฮ็กจากการพยายามเข้าสู่ระบบกว่า 81 ล้านครั้งโดยใช้ที่อยู่ IPv6 ของ LSHIY LLC การตรวจจับและการใช้ MFA พร้อม Conditional Access เป็นขั้นตอนสำคัญในการลดความเสี่ยงต่อเหตุการณ์ลักษณะนี้ในอนาคต.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Azure CLI Password Spray Hits at Least 78 Microsoft Accounts in 81M+ Attempts
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 1 กรกฎาคม 2569 เวลา 12:46



