128/69 (IT) ประจำวันพฤหัสบดีที่ 5 มีนาคม 2569
นักวิจัยด้านความปลอดภัยของ Microsoft เปิดเผยการพบแคมเปญฟิชชิงที่มุ่งเป้าโจมตีหน่วยงานภาครัฐและองค์กรสาธารณะ โดยใช้เทคนิคการปรับแต่งกระบวนการเปลี่ยนเส้นทาง (URL redirection) ของโปรโตคอล OAuth เพื่อหลบเลี่ยงกลไกป้องกันของระบบอีเมลและเว็บเบราว์เซอร์ แทนที่จะขโมยรหัสผ่านหรือใช้ช่องโหว่ของซอฟต์แวร์ ผู้โจมตีใช้พฤติกรรมตามการออกแบบของ OAuth เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังโครงสร้างพื้นฐานของผู้โจมตี ทำให้ภัยคุกคามลักษณะนี้จัดอยู่ในกลุ่มการโจมตีที่อาศัยตัวตน (identity-based threat)
รายงานระบุว่า ผู้โจมตีสร้างแอปพลิเคชัน OAuth ที่เป็นอันตรายใน tenant ของตนเอง และกำหนดค่า redirect URI ให้ชี้ไปยังโดเมนที่โฮสต์มัลแวร์ จากนั้นส่งอีเมลฟิชชิงที่มีลิงก์ OAuth ที่ถูกปรับแต่ง โดยมักปลอมเป็นเอกสาร การชำระเงิน หรือการประชุม เมื่อเหยื่อคลิกลิงก์ ระบบจะเรียกใช้ OAuth authorization endpoint พร้อมพารามิเตอร์ที่ถูกออกแบบให้เกิดข้อผิดพลาด เช่น prompt=none หรือการกำหนด scope ที่ไม่ถูกต้อง ส่งผลให้ระบบยืนยันตัวตนประเมินสถานะเซสชันและนโยบายความปลอดภัยก่อนจะเปลี่ยนเส้นทางไปยังโดเมนของผู้โจมตี ทำให้ลิงก์ดูเหมือนเป็นบริการที่เชื่อถือได้ เช่น Microsoft Entra ID หรือ Google Workspace แต่แท้จริงแล้วนำผู้ใช้ไปยังเว็บไซต์อันตราย
ในบางแคมเปญ ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังหน้า /download/ ที่ดาวน์โหลดไฟล์ ZIP อัตโนมัติ ซึ่งภายในมีไฟล์ LNK อันตรายหรือ HTML smuggling loader เมื่อเปิดใช้งาน ไฟล์ดังกล่าวจะเรียกใช้คำสั่ง PowerShell เพื่อตรวจสอบระบบ ดาวน์โหลดไฟล์เพิ่มเติม และโหลด DLL ที่เป็นอันตรายเข้าสู่หน่วยความจำ ก่อนเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (Command-and-Control: C2) ทำให้การโจมตีขยายจากการหลอกลวงผู้ใช้ไปสู่การยึดเครื่องปลายทางและสร้างความคงอยู่ในระบบ ทั้งนี้ Microsoft แนะนำให้องค์กรควบคุมการใช้งาน OAuth อย่างเข้มงวด จำกัดสิทธิ์การยินยอมของผู้ใช้ ตรวจสอบสิทธิ์ของแอปพลิเคชันเป็นประจำ และลบแอปที่ไม่ใช้งานหรือมีสิทธิ์เกินจำเป็น พร้อมใช้มาตรการด้านการยืนยันตัวตนและนโยบาย Conditional Access เพื่อป้องกันการใช้ประโยชน์จากกลไกการยืนยันตัวตนที่เชื่อถือได้ในการโจมตีลักษณะดังกล่าว
