ปลดหน้ากาก AiTM: กลโกงใหม่ที่แอบฝังตัวใน Microsoft 365

ภัยคุกคามไซเบอร์วันนี้ซับซ้อนขึ้นเรื่อยๆ โดยเฉพาะการโจมตีแบบ AiTM (Adversary-in-the-Middle) หรือการดักฟังกลางทาง ที่สามารถหลีกเลี่ยง MFA (Multi-Factor Authentication) ได้ แฮกเกอร์หาวิธีใหม่ๆ มาหลอกล่อ จนล่าสุดพบว่ามีการพัฒนาไปอีกขั้นที่น่าเป็นห่วง

AiTM ทำงานอย่างไรในแบบดั้งเดิม

AiTM ทำงานโดยผู้โจมตีจะสร้างเว็บไซต์ปลอมเป็นตัวกลาง เมื่อเหยื่อหลงเชื่อกรอก ชื่อผู้ใช้งาน และ รหัสผ่าน บนหน้าเว็บปลอม ข้อมูลจะถูกส่งไปยังล็อกอินจริงของ Microsoft 365

เมื่อได้รับรหัส MFA ผู้โจมตีจะดักจับไปกรอกต่อ เมื่อยืนยันตัวตนสำเร็จ ผู้โจมตีจะ ดักจับ Session Cookie ที่ส่งกลับมา ทำให้ล็อกอินเข้าสู่ระบบของเหยื่อได้โดยไม่ต้องใช้รหัสผ่านหรือ MFA

กลโกงขั้นกว่า: การแฝงตัวผ่าน Manifest ของแอปพลิเคชัน

สิ่งที่นักวิจัยค้นพบคือ AiTM รูปแบบใหม่ที่ไม่จบแค่ขโมย Session Cookie ผู้โจมตีใช้ Session Cookie เพื่อเข้าถึง Azure AD ของเหยื่อ และ สร้างแอปพลิเคชันปลอม (Rogue Application) ภายในองค์กร

ความอันตรายคือ ผู้โจมตีจะเข้าไป แก้ไขไฟล์ Manifest ของแอปปลอม ซึ่งเป็นพิมพ์เขียวที่กำหนดการทำงานและสิทธิ์ โดยปรับค่า signInAudience เป็น AzureADMyOrg เพื่อให้แอปดูเหมือนเป็นส่วนหนึ่งขององค์กร

และแก้ไข replyUrls ชี้ไปยังเซิร์ฟเวอร์ AiTM ของตนเอง ทำให้แอปปลอมดักจับการยืนยันตัวตนและได้สิทธิ์สูง เช่น ควบคุม Exchange, SharePoint หรือ Teams ได้เต็มที่

ทำไมกลยุทธ์นี้จึงอันตรายกว่าเดิม

กลยุทธ์นี้อันตรายกว่าเดิม ประการแรกคือ ความคงอยู่ (Persistence) ผู้โจมตีมีช่องทางเข้าถึงผ่านแอปปลอมที่ฝังไว้ แม้ Session Cookie เดิมจะหมดอายุ

ประการที่สองคือ การซ่อนตัว (Stealth) การสร้างแอปภายในอาจไม่ถูกสังเกตง่าย และสุดท้ายคือ การยกระดับสิทธิ์ (Privilege Escalation) แอปปลอมเหล่านี้อาจได้รับสิทธิ์สูงเกินจำเป็น ทำให้ผู้โจมตีมีอำนาจมหาศาลในการเข้าถึงข้อมูลหรือเปลี่ยนแปลงระบบ

วิธีป้องกันและตรวจจับการโจมตี AiTM แบบใหม่นี้

สิ่งสำคัญคือการเฝ้าระวังและมาตรการป้องกันที่เหมาะสม

เฝ้าระวังบันทึกกิจกรรมใน Azure AD

หมั่นตรวจสอบ บันทึกกิจกรรม (Audit Logs) ของ Azure AD โดยเฉพาะ การลงทะเบียนแอปพลิเคชัน (Application Registrations) ใหม่ๆ หรือ การเปลี่ยนแปลง Manifest โดยเฉพาะค่า signInAudience และ replyUrls ที่ผิดปกติ

รวมถึง การให้สิทธิ์ (Consent Grants) แก่แอปพลิเคชันที่สูงเกินจำเป็นหรือน่าสงสัย ต้องรีบสอบสวน

กำหนดนโยบายและฝึกอบรมผู้ใช้งาน

ใช้ Conditional Access Policies เพื่อจำกัดสิทธิ์การสร้างหรือแก้ไขแอป ให้ความรู้พนักงานเกี่ยวกับการโจมตีฟิชชิ่ง แม้ลิงก์จะดูน่าเชื่อถือและเรียกกรอก MFA

และควรพิจารณาใช้ FIDO2 hardware tokens ซึ่งทนทานต่อ AiTM ได้ดีกว่ารหัส MFA ทั่วไป

การทำความเข้าใจกลไกการโจมตีใหม่ๆ เช่นนี้ เป็นกุญแจสำคัญในการปกป้องข้อมูลและระบบขององค์กรให้ปลอดภัยจากภัยคุกคามทางไซเบอร์ที่พัฒนาไปไม่หยุดยั้ง การป้องกันที่เข้มแข็งต้องมาพร้อมกับการเฝ้าระวังที่ชาญฉลาดและทันต่อสถานการณ์