สรุปสั้น
นักวิจัยจากบริษัท NetSPI สาธิตการโจมตีแบบ adversary-in-the-middle (AiTM) ด้วยเครื่องมือ Evilginx ที่สามารถดักจับ username, password, MFA token และ session cookie ของ Microsoft ได้ทั้งหมดในครั้งเดียว แม้เหยื่อจะเปิดใช้งาน multi-factor authentication ก็ไม่สามารถป้องกันการโจมตีนี้ได้ Evilginx ทำงานโดยวางตัวเป็นตัวกลางระหว่างเหยื่อกับหน้า login จริงของ Microsoft แบบ real-time ทำให้เหยื่อเห็นหน้า login จริงทุกประการและไม่สงสัย เมื่อเหยื่อกรอก credential และอนุมัติ MFA แล้ว ผู้โจมตีจะได้ session cookie ที่สามารถนำไป replay จากเครื่องใดก็ได้ทั่วโลกโดยไม่ต้องผ่าน MFA อีก
ในการทดสอบกับทีมผู้บริหารขององค์กรจริง ผู้บริหารระดับสูงรายหนึ่งที่เชื่อว่ากำลังจัดการวิกฤตของบริษัท ได้ส่งต่อลิงก์ฟิชชิงไปยังบริษัทคู่สัญญาภายนอกอีก 2 แห่ง ทำให้การโจมตีที่เล็งเป้าเพียงองค์กรเดียวเกือบกลายเป็นเหตุการณ์ข้อมูลรั่วไหลข้ามหลายบริษัท ทีม NetSPI ต้องยุติ session ทันทีเพื่อป้องกันความเสียหาย
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 18 มิถุนายน พ.ศ. 2569 ว่านักวิจัยจากบริษัท NetSPI ได้ทดสอบการโจมตีแบบ AiTM ด้วยเครื่องมือ Evilginx กับทีมผู้บริหารขององค์กรจริง โดยจดทะเบียนโดเมนที่คล้ายกับโดเมนเป้าหมายและตั้ง Evilginx server ชี้ไปที่ Microsoft login flow ของลูกค้าโดยตรง แล้วห่อหุ้มด้วย social engineering scenario เพื่อเพิ่มความน่าเชื่อถือ ผลลัพธ์คือเมื่อเหยื่อคลิกลิงก์ฟิชชิงและ login เข้า Microsoft พร้อมอนุมัติ MFA prompt แล้ว Evilginx ก็ดักจับ session cookie ได้ทันที
สิ่งที่น่าตกใจคือผู้บริหารระดับสูงรายหนึ่งที่เชื่อว่ากำลังจัดการวิกฤตของบริษัท ได้ส่งต่อลิงก์ฟิชชิงไปยังบริษัทคู่สัญญาภายนอก 2 แห่ง ทำให้การโจมตีที่เล็งเป้าเพียงองค์กรเดียวเกือบลุกลามเป็นเหตุการณ์ข้ามหลายบริษัท ทีม NetSPI ยุติ session ทันทีเพื่อป้องกันการดักจับ credential นอกขอบเขตการทดสอบ บริษัท NetSPI และนักวิจัยรายอื่นแนะนำให้ deploy authentication แบบ phishing-resistant เช่น FIDO2 hardware key หรือ passkey ที่ใช้ domain binding ป้องกันการดักจับผ่าน proxy ได้ และเปิดใช้ Token Protection ใน Microsoft Entra ID Conditional Access เพื่อผูก session token กับอุปกรณ์ต้นทาง


วิธีการโจมตี
Evilginx สร้างขึ้นบน nginx web server ทำงานเป็น reverse proxy ที่ relay traffic ระหว่างเหยื่อกับเว็บไซต์จริงแบบ real-time เมื่อเหยื่อเข้าถึง URL ฟิชชิง จะเห็นหน้า login ของ Microsoft ที่เป็นของจริงทุกประการ เพราะ Evilginx mirror หน้าจริงมาแสดง เหยื่อกรอก credential และอนุมัติ MFA request โดยไม่รู้ว่าทุก exchange ถูกบันทึกไว้บนเซิร์ฟเวอร์ของผู้โจมตี สิ่งที่ผู้โจมตีต้องการจริงๆ คือ session cookie ที่ Microsoft server ออกให้หลังยืนยันตัวตนสำเร็จ เพราะ cookie นี้บอก Microsoft ว่า login ถูกต้องแล้ว ผู้โจมตีสามารถ import cookie นี้เข้าเบราว์เซอร์ใดก็ได้และเข้าถึงบัญชีเต็มรูปแบบโดยไม่ต้องผ่าน MFA อีก
สิ่งที่ทำให้ AiTM แตกต่างจากฟิชชิงแบบดั้งเดิมคือ ฟิชชิงทั่วไปแค่ขโมย password แต่ AiTM ขโมยทั้ง session ที่ผ่าน MFA แล้ว ทำให้ MFA แบบ push notification หรือ TOTP ไม่สามารถป้องกันได้ มีเพียง FIDO2 hardware key หรือ passkey ที่ใช้ domain binding เท่านั้นที่สามารถหยุดการโจมตีแบบนี้ได้ เพราะ key จะตรวจสอบว่าโดเมนที่ร้องขอ authentication ตรงกับโดเมนจริงหรือไม่
ผลกระทบต่อไทย
องค์กรไทยจำนวนมากใช้ Microsoft 365 และ Entra ID เป็นระบบ identity หลัก ซึ่งล้วนเป็นเป้าหมายโดยตรงของการโจมตีแบบ Evilginx AiTM หากผู้โจมตีดักจับ session cookie ของผู้ดูแลระบบหรือผู้บริหารระดับสูงได้ จะสามารถเข้าถึงอีเมล เอกสาร SharePoint และระบบภายในทั้งหมดที่ผูกกับ Microsoft 365 ได้ทันที การที่องค์กรไทยส่วนใหญ่ยังใช้ MFA แบบ push notification หรือ SMS OTP ซึ่งไม่สามารถป้องกัน AiTM ได้ ทำให้ความเสี่ยงสูงเป็นพิเศษ
คำแนะนำ
องค์กรควร deploy authentication แบบ phishing-resistant เช่น FIDO2 hardware key หรือ passkey สำหรับบัญชีผู้ดูแลระบบและผู้บริหารเป็นอย่างน้อย ควรเปิดใช้ Token Protection ใน Microsoft Entra ID Conditional Access เพื่อผูก session token กับอุปกรณ์ต้นทาง ทำให้ cookie ที่ถูกขโมยไม่สามารถใช้จากเครื่องอื่นได้ ทีม SOC ควรตรวจสอบ sign-in log สำหรับ token ที่ถูกใช้จาก IP หรือตำแหน่งที่ต่างจากตอนออก token และกำหนดนโยบายชัดเจนสำหรับพนักงานในการจัดการลิงก์ที่เชื่อมไปยังหน้า login ภายใน
