EvilTokens ใช้รหัสอุปกรณ์หลบการตรวจสอบ MFA ขยายเป็นบริการฟิชชิงขั้นสูง

ที่มาภาพ: The Register

Security-อ่าน 7 นาทีThe Register

EvilTokens ใช้รหัสอุปกรณ์หลบการตรวจสอบ MFA ขยายเป็นบริการฟิชชิงขั้นสูง

⚡ สรุป 30 วิ

EvilTokens ใช้รหัสอุปกรณ์ข้าม MFA ของ Microsoft 365 และพัฒนาเป็นแพลตฟอร์ม ARToken ให้บริการฟิชชิง (PhaaS) พร้อมเทคนิคหลบการวิเคราะห์และเครื่องมือ BEC ทีม Cisco…

EvilTokens – ชุดอุปกรณ์ฟิชชิงที่ใช้รหัสอุปกรณ์เพื่อหลีกเลี่ยงการตรวจสอบหลายขั้นตอน (MFA) – ถูกเปิดเผยว่าอันตรายยิ่งกว่าที่เคยคาดไว้ หลังจากทีมตอบสนองเหตุการณ์ของ Cisco Talos รายงานว่าพบแพลตฟอร์ม “ARToken” ที่ทำหน้าที่เป็นบริการฟิชชิงแบบเป็นบริการ (PhaaS) และมีความสามารถในการหลบหนีการวิเคราะห์ที่ซับซ้อนกว่าเดิม

Overview

EvilTokens ถูกบันทึกครั้งแรกโดยบริษัทความปลอดภัยไซเบอร์ของฝรั่งเศส Sekoia ในเดือนมีนาคม 2569 โดยอธิบายว่าผู้โจมตีสามารถใช้รหัสอุปกรณ์เพื่อข้ามการตรวจสอบ MFA ของ Microsoft 365 ได้ ทีมวิจัยของ Microsoft รายงานต่อสาธารณะในเดือนเมษายนว่าแคมเปญนี้กำลังทำให้หลายร้อยองค์กรต้องเผชิญกับการโจมตีในแต่ละวัน

ตามข้อมูลของ Microsoft VP of security research Tanmay Ganacharya ระบุว่า “ตั้งแต่ 15 มีนาคม 2569 เราได้ตรวจพบแคมเปญที่แตกต่างกัน 10‑15 แคมเปญต่อ 24 ชั่วโมง” การกระจายแคมเปญในปริมาณมากพร้อมพayload ที่หลากหลายทำให้การตรวจจับด้วยรูปแบบเป็นเรื่องท้าทายมากขึ้น

New Findings

เมื่อวันพุธที่ 1 กรกฎาคม 2566 ทีมตอบสนองของ Cisco Talos ได้เปิดเผยข้อมูลใหม่เกี่ยวกับวิธีที่ฟิชชิงเข้าถึงกล่องจดหมายของเหยื่อและการทำงานของแพลตฟอร์ม “ARToken” ซึ่งดูเหมือนจะเป็นลูกค้าของ EvilTokens ตามที่ Michael Kelley นักวิศวกรวิจัยความปลอดภัยของ Cisco Talos กล่าว

Kelley ระบุว่า “การดำเนินการของ ARToken มีการใช้โครงสร้างพื้นฐาน, สัญญา API, และรูปแบบการทำงานที่ตรงกับแพลตฟอร์ม EvilTokens” ทำให้สันนิษฐานได้ว่า ARToken เป็นส่วนหนึ่งของเครือข่ายฟิชชิงแบบบริการ (PhaaS) ที่ให้ผู้โจมตีเข้าถึงชุดเครื่องมือครบวงจรได้อย่างง่ายดาย

Attack Vector

Talos ตรวจพบอีเมลฟิชชิงสองฉบับที่ส่งมาหากันประมาณสี่นาทีในวันที่ 20 เมษายน 2566 โดยอีเมลเหล่านี้ใช้ความสัมพันธ์ระหว่างผู้จัดหาวัสดุทางชีววิทยาในสหรัฐอเมริกาและผู้รับเหมาไฟและระบบประปาที่เป็นบริษัทจริงเป็นพาหะ

อีเมลนำเสนอ “ใบแจ้งหนี้ที่ค้างชำระ” โดยแสดงโดเมนของผู้รับเหมาในส่วน From อย่างแท้จริง แต่ Reply‑To จะเปลี่ยนไปยังโดเมนที่ไม่เกี่ยวข้อง ผู้โจมตียังทำให้ข้อความลิงก์ในอีเมลแสดงชื่อ SharePoint ของผู้ขายจริง แต่ลิงก์ที่แท้จริง (href) นำไปสู่ไซต์ SharePoint สำเนาที่สร้างโดยผู้โจมตีบน Microsoft 365 workspace ที่ควบคุม

การใช้โฮสต์ sharepoint.com ที่เป็นของ Microsoft ทำให้ระบบกรองสแปมและฟิชชิงมีแนวโน้มที่จะพิจารณาว่าเป็นอีเมลปลอดภัย ลดโอกาสที่เหยื่อจะสังเกตเห็นการหลอกลวง

Evasion Techniques

Cisco Talos พบว่า ARToken มีการเสริมความสามารถในการหลบหนีการวิเคราะห์ที่ “ซับซ้อนกว่าที่เคยบันทึกไว้” รวมถึงการใช้ API เดียวกับ EvilTokens ดั้งเดิม แต่เพิ่มกลไกป้องกันการตรวจจับและการวิเคราะห์ของระบบความปลอดภัย

ตัวอย่างเช่น การเข้ารหัสข้อมูลที่ส่งผ่าน API และการทำงานแบบ dynamic code generation ที่ทำให้แยกแยะพฤติกรรมอันตรายจากกิจกรรมปกติได้ยาก นอกจากนี้แพลตฟอร์มยังใช้การสลับเวอร์ชันของโครงสร้าง URL เพื่อหลบหลีกการบล็อกโดยระบบป้องกัน URL

Post‑Exploitation Toolkit

การสำรวจแพลตฟอร์ม ARToken ยังเผยเครื่องมือหลังการรุกที่ครอบคลุมหลายฟังก์ชัน ได้แก่

  • การจัดการโทเคนและการตั้งค่าความคงทน (persistence) บนบัญชีผู้ใช้ Microsoft 365
  • เครื่องมือ **BEC (Business Email Compromise) ที่ให้สิทธิ์การอ่านกล่องจดหมาย Outlook ของเหยื่ออย่างเต็มรูปแบบ
  • ความสามารถในการส่งอีเมลในนามผู้ใช้, สร้างกฎการส่งต่อหรือการลบข้อความโดยอัตโนมัติ
  • ระบบตรวจจับคีย์เวิร์ดในอีเมลทั้งหมดเพื่อทำการสกัดข้อมูลหรือกระตุ้นการโจมตีต่อไป

Kelley สรุปว่า “ฟีเจอร์เหล่านี้บ่งชี้ว่าแพลตฟอร์มนี้ไม่ได้เป็นเพียงชุดฟิชชิงแบบอุปกรณ์รหัสเท่านั้น แต่เป็นสภาพแวดล้อมการดำเนินการ BEC ที่ครบวงจร”

Impact

การขยายตัวของ EvilTokens/ARToken ทำให้หลายองค์กรต้องเผชิญกับความเสี่ยงใหม่ที่เกี่ยวข้องกับการละเมิด MFA ซึ่งเป็นหนึ่งในมาตรการรักษาความปลอดภัยที่เชื่อถือได้สูงสุด การที่ผู้โจมตีสามารถยืนหยัดในฐานะผู้ใช้จริงและทำการส่งอีเมลปลอมโดยใช้บัญชีของเหยื่อโดยตรง ทำให้การตรวจจับและตอบโต้การโจมตียากขึ้นอย่างมาก

ตามข้อมูลของ Microsoft มีการบันทึกแคมเปญหลายสิบแคมเปญต่อวันทั่วโลก ทำให้คาดว่าจำนวนองค์กรที่ได้รับผลกระทบจะเพิ่มขึ้นต่อเนื่อง นักวิเคราะห์แนะนำให้องค์กรเร่งตรวจสอบการใช้ device‑code flow ในระบบ Azure AD และพิจารณาใช้การตรวจสอบพฤติกรรมผู้ใช้ (UEBA) เพื่อระบุกิจกรรมที่ผิดปกติบนบัญชี Microsoft 365

Summary

EvilTokens ได้พัฒนาตัวเองเป็นบริการฟิชชิงแบบครบวงจรผ่านแพลตฟอร์ม ARToken ที่มีความสามารถหลบหนีการตรวจจับและให้เครื่องมือ BEC ที่ก้าวหน้า การเพิ่มความซับซ้อนของวิธีการโจมตีนี้ทำให้การปกป้อง MFA และระบบอีเมลขององค์กรต้องอาศัยมาตรการตรวจจับเชิงพฤติกรรมและการจัดการโทเคนที่เข้มงวดมากยิ่งขึ้น.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
EvilTokens device-code phishing kit totally more evil than we all thought
ผู้เขียน
Unknown
แหล่ง
The Register
วันที่เผยแพร่
2 กรกฎาคม 2569 เวลา 04:50

Related

บทความที่เกี่ยวข้อง

นักวิจัยแสดงให้โมเดลภาษาใหญ่เปิดสูตรสังเคราะห์โคเคนด้วยการหลอกแบบ role confusionSecurity
2 กรกฎาคม 2569 เวลา 06:30

นักวิจัยแสดงให้โมเดลภาษาใหญ่เปิดสูตรสังเคราะห์โคเคนด้วยการหลอกแบบ role confusion

งานวิจัยของ Charles Ye, Jasmine Cui และ Dylan Hadfield‑Menell แสดงว่า LLM สามารถถูกหลอกให้ให้สูตรโคเคนได้โดยใช้เทคนิค role confusion ผ่านการโจมตีแบบ prompt…

The Register7 นาที
ShinyHunters แฮ็ก NAIC ผ่านช่องโหว่ศูนย์วันของ PeopleSoftSecurity
2 กรกฎาคม 2569 เวลา 03:30

ShinyHunters แฮ็ก NAIC ผ่านช่องโหว่ศูนย์วันของ PeopleSoft

กลุ่ม ShinyHunters ใช้ช่องโหว่ศูนย์วันของ Oracle PeopleSoft เข้าถึงระบบของ NAIC และดึงข้อมูลสาธารณะและไฟล์กำหนดค่าออกมา NAIC…

BleepingComputer6 นาที
SysMon รวมใน Windows 11 ฟรี ช่วยบันทึกกิจกรรมที่ Task Manager พลาดSecurity
1 กรกฎาคม 2569 เวลา 23:00

SysMon รวมใน Windows 11 ฟรี ช่วยบันทึกกิจกรรมที่ Task Manager พลาด

Microsoft รวม SysMon ของ Sysinternals เข้าใน Windows 11 ฟรี ผู้ใช้เปิดใช้งานผ่าน PowerShell เพื่อบันทึกเหตุการณ์เช่น การสร้างโปรเซส การเชื่อมต่อเครือข่าย…

XDA Developers7 นาที
เผย PoC สาธารณะช่องโหว่ CVE‑2026‑55200 บนไลบรารี libssh2 ทำให้ไคลเอนต์ SSH เสี่ยงต่อการรันโค้ดSecurity
1 กรกฎาคม 2569 เวลา 14:00

เผย PoC สาธารณะช่องโหว่ CVE‑2026‑55200 บนไลบรารี libssh2 ทำให้ไคลเอนต์ SSH เสี่ยงต่อการรันโค้ด

นักวิจัยเผย PoC สาธารณะสำหรับช่องโหว่ CVE‑2026‑55200 บน libssh2 ทำให้ไคลเอนต์ SSH เสี่ยงต่อการทำลายหน่วยความจำและรันโค้ดโดยไม่ต้องยืนยันตัวตน…

The Hacker News6 นาที
คัดลอกลิงก์แล้ว!