BlueDelta กลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งเชื่อมโยงกับหน่วยข่าวกรองทางการทหารของรัสเซีย (GRU) ได้ขยายปฏิบัติการขโมยข้อมูลประจำตัวอย่างมีนัยสำคัญตลอดปี 2025 ระหว่างเดือนกุมภาพันธ์ถึงกันยายน กลุ่มนี้ได้เปิดตัวแคมเปญฟิชชิงหลายครั้ง โดยมีเป้าหมายเพื่อหลอกลวงผู้ใช้บริการ Microsoft Outlook Web Access, Google และ Sophos VPN ให้เปิดเผยข้อมูลการเข้าสู่ระบบ การโจมตีเหล่านี้แสดงให้เห็นถึงการพัฒนาเทคนิคของ BlueDelta ที่มุ่งเป้าไปที่เจ้าหน้าที่รัฐ ผู้ปฏิบัติงานในภาคพลังงาน และผู้เชี่ยวชาญด้านการวิจัยทั่วทวีปยุโรปและยูเรเซีย ด้วยการใช้บริการโฮสติ้งฟรีเพื่อสร้างหน้าเข้าสู่ระบบปลอมและกลไกการเปลี่ยนเส้นทางที่ซับซ้อน.
Severity: สูง
System Impact:
- Microsoft Outlook Web Access (OWA)
- บริการ Google
- บริการ Sophos VPN
- เครือข่ายการสื่อสารของรัฐบาล
- องค์กรที่เกี่ยวข้องกับการวิจัยด้านพลังงาน
- องค์กรความร่วมมือด้านกลาโหม
Technical Attack Steps:
- แฮกเกอร์เปิดตัวแคมเปญฟิชชิงหลายครั้ง โดยมีลิงก์ที่ออกแบบมาเพื่อหลอกลวงผู้ใช้งาน
- เหยื่อคลิกลิงก์ฟิชชิงและจะเห็นเอกสาร PDF ที่ถูกต้องตามกฎหมายจากองค์กรต่างๆ เช่น Gulf Research Center ปรากฏขึ้นชั่วคราวประมาณ 2 วินาที
- หน้าเว็บจะเปลี่ยนเส้นทางอัตโนมัติไปยังหน้าเข้าสู่ระบบปลอมที่เลียนแบบอินเทอร์เฟซของ Microsoft, Google หรือ Sophos ที่ถูกต้อง
- โค้ด JavaScript ที่เป็นอันตรายจะดึงที่อยู่อีเมลของเหยื่อจากพารามิเตอร์ URL
- มีการส่งสัญญาณ ‘page-opened’ ที่มีอีเมล, ที่อยู่ IP และข้อมูลเบราว์เซอร์ของเหยื่อกลับไปยังเซิร์ฟเวอร์ควบคุมของ BlueDelta
- เมื่อเหยื่อป้อนข้อมูลประจำตัว (ชื่อผู้ใช้และรหัสผ่าน) JavaScript เพิ่มเติมจะจับข้อมูลเหล่านี้ไว้
- ข้อมูลประจำตัวที่ถูกขโมยจะถูกส่งผ่านคำขอ HTTP POST ไปยังปลายทางที่ควบคุมโดยผู้โจมตี
- URL ที่แสดงในเบราว์เซอร์จะถูกแก้ไขจากโดเมนฟิชชิงเป็น ‘/owa/’ หรือ ‘/pdfviewer?pdf=browser’ เพื่อสร้างความน่าเชื่อถือ
- จากนั้นหน้าเว็บจะเปลี่ยนเส้นทางไปยัง PDF จริงหรือพอร์ทัลเข้าสู่ระบบจริงขององค์กรเป้าหมาย ทำให้เหยื่อเชื่อว่ากระบวนการตรวจสอบสิทธิ์เสร็จสมบูรณ์
Recommendations:
Short Term:
- แจ้งเตือนผู้ใช้งานเกี่ยวกับแคมเปญฟิชชิงล่าสุด และเน้นย้ำถึงความสำคัญของการตรวจสอบ URL และแหล่งที่มาของอีเมล
- บังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบริการทั้งหมด โดยเฉพาะ Microsoft OWA, Google และ Sophos VPN
- ตรวจสอบบันทึกการเข้าสู่ระบบและกิจกรรมของผู้ใช้เพื่อหารูปแบบที่น่าสงสัยหรือการเข้าสู่ระบบที่ไม่ได้รับอนุญาต
Long Term:
- ลงทุนในการฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์อย่างต่อเนื่องสำหรับพนักงาน เพื่อให้พวกเขาสามารถระบุและรายงานการโจมตีฟิชชิงได้
- ใช้โซลูชันการรักษาความปลอดภัยอีเมลขั้นสูง (เช่น DMARC, DKIM, SPF) เพื่อป้องกันอีเมลฟิชชิง และเกตเวย์เว็บที่ปลอดภัย (SWG) เพื่อบล็อกการเข้าถึงเว็บไซต์ที่เป็นอันตราย
- พิจารณาการใช้บริการ Threat Intelligence เพื่อรับทราบข้อมูลเกี่ยวกับภัยคุกคามใหม่ๆ และเทคนิคที่ใช้โดยกลุ่ม BlueDelta
- ดำเนินการประเมินช่องโหว่และการทดสอบการเจาะระบบเป็นประจำ เพื่อระบุและแก้ไขจุดอ่อนที่ผู้โจมตีอาจใช้ประโยชน์ได้
- บังคับใช้นโยบายรหัสผ่านที่รัดกุมและแนะนำให้มีการเปลี่ยนรหัสผ่านเป็นประจำ
Source: https://cybersecuritynews.com/bluedelta-hackers-attacking-microsoft-owa/
Share this content: