ไมโครซอฟท์ออกรายงานถึงกลุ่มแฮกเกอร์ Storm-0558 ที่โจมตีจากประเทศจีนโดยมีแนวทางมุ่งขโมยข้อมูล โดยคนร้ายสามารถขโมยกุญแจเซ็นโทเค็นของ Azure AD ออกไปจากไมโครซอฟท์ได้ ทำให้สามารถเซ็นโทเค็นปลอมตัวเป็นบัญชีผู้ใช้อะไรก็ได้ของเหยื่อ

หน่วยงานที่ถูกโจมตีคือฝ่ายบริหารฝั่งพลเรือนของรัฐบาลกลางสหรัฐฯ (Federal Civilian Executive Branch - FCEB) โดยพบล็อกใน Microsoft 365 ว่ามีรายงาน MailItemsAccessed ซึ่งเป็นการเข้าอ่านเมลจากไคลเอนต์ต่างๆ แต่ที่แปลกออกไปคือค่า AppID นั้นไม่เคยพบ แปลว่าอยู่ๆ ก็มีคนใช้อีเมลไคลเอนต์ประหลาดเข้ามาอ่านอีเมล

หลังจากไมโครซอฟท์ได้รับแจ้งจากลูกค้า ตรวจสอบพบว่าคนร้ายเข้าอ่านเมลทาง Outlook Web Access ซึ่งน่าจะแปลว่าเครื่องผู้ใช้ถูกแฮก เพื่อขโมยโทเค็นหลังจากผู้ใช้ล็อกอินตามปกติ แต่เมื่อวิเคราะห์เหตุต่อเนื่องภายหลังจึงพบว่าโทเค็นที่ใช้ล็อกอินนั้นไม่ตรงกับโทเค็นที่ออกไปจากระบบ Azure AD โดยโทเค็นที่เซ็นออกไปมี scope ผิดปกติที่ Azure AD ไม่เคยออกโทเค็นในรูปแบบเช่นนั้น

ภายหลังไมโครซอฟท์จึงยืนยันว่า Storm-0558 ขโมยกุญแจเซ็นโทเค็น Microsoft Account ออกไปได้ ทำให้สามารถปลอมตัวเป็นผู้ใช้ Outlook ได้ทุกคนและไมโครซอฟท์ก็ยกเลิกกุญแจที่ถูกขโมยออกไปแล้ว พร้อมกับเปลี่ยนกุญแจทั้งหมดที่ใช้งานอยู่, แยกระบบเก็บกุญแจและกระบวนการออกกุญแจ โดยเชื่อว่ามาตรการนี้หยุดคนร้ายได้แล้วแต่ก็กำลังตรวจสอบช่องทางอื่นๆ ที่คนร้ายอาจจะเข้ามาขโมยกุญแจออกไปได้

ทางด้าน CISA หน่วยงานความปลอดภัยไซเบอร์สหรัฐฯ แนะนำให้หน่วยงานต่างๆ เปิด Purview Audit เพื่อเก็บข้อมูลเพิ่มเติม (ต้องใช้ไลเซนส์ E5), เปิดให้หน่วยงานความปลอดภัยไซเบอร์ขององค์กรเข้าค้น log ได้ผ่านทางศูนย์ SOC, และเปิด Microsoft 365 Unified Audit Logging (UAL) ไว้เสมอ

ที่มา - Microsoft, CISA