
ที่มาภาพ: The Register
EvilTokens ใช้รหัสอุปกรณ์หลบการตรวจสอบ MFA ขยายเป็นบริการฟิชชิงขั้นสูง
⚡ สรุป 30 วิ
EvilTokens ใช้รหัสอุปกรณ์ข้าม MFA ของ Microsoft 365 และพัฒนาเป็นแพลตฟอร์ม ARToken ให้บริการฟิชชิง (PhaaS) พร้อมเทคนิคหลบการวิเคราะห์และเครื่องมือ BEC ทีม Cisco…
EvilTokens – ชุดอุปกรณ์ฟิชชิงที่ใช้รหัสอุปกรณ์เพื่อหลีกเลี่ยงการตรวจสอบหลายขั้นตอน (MFA) – ถูกเปิดเผยว่าอันตรายยิ่งกว่าที่เคยคาดไว้ หลังจากทีมตอบสนองเหตุการณ์ของ Cisco Talos รายงานว่าพบแพลตฟอร์ม “ARToken” ที่ทำหน้าที่เป็นบริการฟิชชิงแบบเป็นบริการ (PhaaS) และมีความสามารถในการหลบหนีการวิเคราะห์ที่ซับซ้อนกว่าเดิม
Overview
EvilTokens ถูกบันทึกครั้งแรกโดยบริษัทความปลอดภัยไซเบอร์ของฝรั่งเศส Sekoia ในเดือนมีนาคม 2569 โดยอธิบายว่าผู้โจมตีสามารถใช้รหัสอุปกรณ์เพื่อข้ามการตรวจสอบ MFA ของ Microsoft 365 ได้ ทีมวิจัยของ Microsoft รายงานต่อสาธารณะในเดือนเมษายนว่าแคมเปญนี้กำลังทำให้หลายร้อยองค์กรต้องเผชิญกับการโจมตีในแต่ละวัน
ตามข้อมูลของ Microsoft VP of security research Tanmay Ganacharya ระบุว่า “ตั้งแต่ 15 มีนาคม 2569 เราได้ตรวจพบแคมเปญที่แตกต่างกัน 10‑15 แคมเปญต่อ 24 ชั่วโมง” การกระจายแคมเปญในปริมาณมากพร้อมพayload ที่หลากหลายทำให้การตรวจจับด้วยรูปแบบเป็นเรื่องท้าทายมากขึ้น
New Findings
เมื่อวันพุธที่ 1 กรกฎาคม 2566 ทีมตอบสนองของ Cisco Talos ได้เปิดเผยข้อมูลใหม่เกี่ยวกับวิธีที่ฟิชชิงเข้าถึงกล่องจดหมายของเหยื่อและการทำงานของแพลตฟอร์ม “ARToken” ซึ่งดูเหมือนจะเป็นลูกค้าของ EvilTokens ตามที่ Michael Kelley นักวิศวกรวิจัยความปลอดภัยของ Cisco Talos กล่าว
Kelley ระบุว่า “การดำเนินการของ ARToken มีการใช้โครงสร้างพื้นฐาน, สัญญา API, และรูปแบบการทำงานที่ตรงกับแพลตฟอร์ม EvilTokens” ทำให้สันนิษฐานได้ว่า ARToken เป็นส่วนหนึ่งของเครือข่ายฟิชชิงแบบบริการ (PhaaS) ที่ให้ผู้โจมตีเข้าถึงชุดเครื่องมือครบวงจรได้อย่างง่ายดาย
Attack Vector
Talos ตรวจพบอีเมลฟิชชิงสองฉบับที่ส่งมาหากันประมาณสี่นาทีในวันที่ 20 เมษายน 2566 โดยอีเมลเหล่านี้ใช้ความสัมพันธ์ระหว่างผู้จัดหาวัสดุทางชีววิทยาในสหรัฐอเมริกาและผู้รับเหมาไฟและระบบประปาที่เป็นบริษัทจริงเป็นพาหะ
อีเมลนำเสนอ “ใบแจ้งหนี้ที่ค้างชำระ” โดยแสดงโดเมนของผู้รับเหมาในส่วน From อย่างแท้จริง แต่ Reply‑To จะเปลี่ยนไปยังโดเมนที่ไม่เกี่ยวข้อง ผู้โจมตียังทำให้ข้อความลิงก์ในอีเมลแสดงชื่อ SharePoint ของผู้ขายจริง แต่ลิงก์ที่แท้จริง (href) นำไปสู่ไซต์ SharePoint สำเนาที่สร้างโดยผู้โจมตีบน Microsoft 365 workspace ที่ควบคุม
การใช้โฮสต์ sharepoint.com ที่เป็นของ Microsoft ทำให้ระบบกรองสแปมและฟิชชิงมีแนวโน้มที่จะพิจารณาว่าเป็นอีเมลปลอดภัย ลดโอกาสที่เหยื่อจะสังเกตเห็นการหลอกลวง
Evasion Techniques
Cisco Talos พบว่า ARToken มีการเสริมความสามารถในการหลบหนีการวิเคราะห์ที่ “ซับซ้อนกว่าที่เคยบันทึกไว้” รวมถึงการใช้ API เดียวกับ EvilTokens ดั้งเดิม แต่เพิ่มกลไกป้องกันการตรวจจับและการวิเคราะห์ของระบบความปลอดภัย
ตัวอย่างเช่น การเข้ารหัสข้อมูลที่ส่งผ่าน API และการทำงานแบบ dynamic code generation ที่ทำให้แยกแยะพฤติกรรมอันตรายจากกิจกรรมปกติได้ยาก นอกจากนี้แพลตฟอร์มยังใช้การสลับเวอร์ชันของโครงสร้าง URL เพื่อหลบหลีกการบล็อกโดยระบบป้องกัน URL
Post‑Exploitation Toolkit
การสำรวจแพลตฟอร์ม ARToken ยังเผยเครื่องมือหลังการรุกที่ครอบคลุมหลายฟังก์ชัน ได้แก่
- การจัดการโทเคนและการตั้งค่าความคงทน (persistence) บนบัญชีผู้ใช้ Microsoft 365
- เครื่องมือ **BEC (Business Email Compromise) ที่ให้สิทธิ์การอ่านกล่องจดหมาย Outlook ของเหยื่ออย่างเต็มรูปแบบ
- ความสามารถในการส่งอีเมลในนามผู้ใช้, สร้างกฎการส่งต่อหรือการลบข้อความโดยอัตโนมัติ
- ระบบตรวจจับคีย์เวิร์ดในอีเมลทั้งหมดเพื่อทำการสกัดข้อมูลหรือกระตุ้นการโจมตีต่อไป
Kelley สรุปว่า “ฟีเจอร์เหล่านี้บ่งชี้ว่าแพลตฟอร์มนี้ไม่ได้เป็นเพียงชุดฟิชชิงแบบอุปกรณ์รหัสเท่านั้น แต่เป็นสภาพแวดล้อมการดำเนินการ BEC ที่ครบวงจร”
Impact
การขยายตัวของ EvilTokens/ARToken ทำให้หลายองค์กรต้องเผชิญกับความเสี่ยงใหม่ที่เกี่ยวข้องกับการละเมิด MFA ซึ่งเป็นหนึ่งในมาตรการรักษาความปลอดภัยที่เชื่อถือได้สูงสุด การที่ผู้โจมตีสามารถยืนหยัดในฐานะผู้ใช้จริงและทำการส่งอีเมลปลอมโดยใช้บัญชีของเหยื่อโดยตรง ทำให้การตรวจจับและตอบโต้การโจมตียากขึ้นอย่างมาก
ตามข้อมูลของ Microsoft มีการบันทึกแคมเปญหลายสิบแคมเปญต่อวันทั่วโลก ทำให้คาดว่าจำนวนองค์กรที่ได้รับผลกระทบจะเพิ่มขึ้นต่อเนื่อง นักวิเคราะห์แนะนำให้องค์กรเร่งตรวจสอบการใช้ device‑code flow ในระบบ Azure AD และพิจารณาใช้การตรวจสอบพฤติกรรมผู้ใช้ (UEBA) เพื่อระบุกิจกรรมที่ผิดปกติบนบัญชี Microsoft 365
Summary
EvilTokens ได้พัฒนาตัวเองเป็นบริการฟิชชิงแบบครบวงจรผ่านแพลตฟอร์ม ARToken ที่มีความสามารถหลบหนีการตรวจจับและให้เครื่องมือ BEC ที่ก้าวหน้า การเพิ่มความซับซ้อนของวิธีการโจมตีนี้ทำให้การปกป้อง MFA และระบบอีเมลขององค์กรต้องอาศัยมาตรการตรวจจับเชิงพฤติกรรมและการจัดการโทเคนที่เข้มงวดมากยิ่งขึ้น.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- EvilTokens device-code phishing kit totally more evil than we all thought
- ผู้เขียน
- Unknown
- แหล่ง
- The Register
- วันที่เผยแพร่
- 2 กรกฎาคม 2569 เวลา 04:50



