ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

6 ข่าว

ฟิชชิงผ่าน Device Code หลอกขโมยโทเคน Microsoft — เหยื่อไม่เคยออกจากหน้าล็อกอินจริง

phishing bec microsoft device code flow steals tokens through legitimate login page
นักวิจัยจาก Securelist เปิดเผยแคมเปญฟิชชิงที่ฉวยใช้ฟีเจอร์ Device Authorization Grant ของ Microsoft หลอกเหยื่อคัดลอกรหัสครั้งเดียวไปวางบนหน้าล็อกอิน Microsoft ของจริง ทำให้ผู้โจมตีได้โทเคนเข้าถึงอีเมล ไฟล์ และแชตโดยไม่ต้องใช้รหัสผ่าน เทคนิคนี้เลี่ยงคำแนะนำให้ตรวจ URL เพราะหน้าสุดท้ายเป็นของแท้ และ MFA แทบช่วยไม่ได้ แคมเปญทำงานช่วงเมษายนถึงกลางพฤษภาคม 2026

โจมตี Password Spray ผ่าน Azure CLI ขนาดใหญ่ ยิง 81 ล้านครั้ง เจาะบัญชี Microsoft ได้ 78 บัญชี

Azure CLI password spray attack compromising Microsoft accounts
บริษัท Huntress เปิดเผยการโจมตี password spray ขนาดใหญ่ที่มุ่งเป้า Azure CLI โดยยิงกว่า 81 ล้านครั้งใน 2 สัปดาห์ เจาะบัญชี Microsoft สำเร็จ 78 บัญชีใน 64 องค์กร ใช้ช่องโหว่ของ ROPC ซึ่งเป็น OAuth flow เก่าเพื่อข้าม Conditional Access Policy และ MFA ที่ตั้งค่าไม่ครอบคลุม

Bluekit ชุดฟิชชิงสำเร็จรูปใช้เทคนิค Browser-in-the-Middle หลบการตรวจจับ

Bluekit phishing kit uses Browser-in-the-Middle attacks to evade detection
Netcraft เปิดเผยว่าแพลตฟอร์มฟิชชิงสำเร็จรูป (PHaaS) ชื่อ Bluekit เปิดใช้งานเต็มรูปแบบแล้ว พบโดเมนราว 70 ชื่อในสัปดาห์เดียว จุดเด่นคือเทคนิค Browser-in-the-Middle ที่โหลดหน้าล็อกอินจริงในเบราว์เซอร์ที่แฮ็กเกอร์ควบคุม แล้วสตรีม DOM สดให้เหยื่อผ่าน WebSocket เมื่อเหยื่อกรอกข้อมูล เซสชันจะเปิดบนเครื่องแฮ็กเกอร์ตั้งแต่ต้น ลายนิ้วมือเบราว์เซอร์ไม่เปลี่ยน หลบ MFA และระบบตรวจจับได้แนบเนียน พร้อมรันการตรวจบอตกว่า 20 รายการก่อนปล่อยหน้าฟิชชิง

พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล

AWS AiTM phishing kit steals console credentials and MFA codes in real time
นักวิจัยจาก Datadog Security Labs พบชุดฟิชชิ่งแบบ adversary-in-the-middle (AiTM) ที่พุ่งเป้าผู้ใช้ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ในขณะที่เหยื่อพิมพ์ ทำให้ผู้โจมตีเข้าสู่ AWS console ได้ก่อนเหยื่อจะรู้ตัวและ MFA แทบไร้ผล แคมเปญทำงานระหว่าง 19-23 มิ.ย. 2026 ใช้สามโดเมนปลอมหน้า AWS sign-in โจมตีแบบเจาะจงวิศวกรซอฟต์แวร์ในสหรัฐฯ ไม่ถึง 50 ราย ด้วยอีเมลปลอมเป็น AWS Support

Evilginx โจมตีแบบ AiTM ดักจับ credential และ session cookie ของ Microsoft — แม้เปิด MFA ก็ไม่รอด

Evilginx AiTM attack captures Microsoft credentials and MFA tokens
นักวิจัยจากบริษัท NetSPI สาธิตการโจมตีแบบ adversary-in-the-middle ด้วยเครื่องมือ Evilginx ที่วางตัวเป็นตัวกลางระหว่างเหยื่อกับหน้า login จริงของ Microsoft ดักจับ username, password, MFA token และ session cookie ได้ทั้งหมดในครั้งเดียว ผู้โจมตีนำ session cookie ไป replay จากเครื่องใดก็ได้โดยไม่ต้องผ่าน MFA อีก ในการทดสอบจริง ผู้บริหารระดับสูงที่ตกเป็นเหยื่อยังส่งต่อลิงก์ฟิชชิงไปยังบริษัทคู่ค้าอีก 2 แห่ง

SonicWall Gen6 SSL-VPN ถูกเจาะข้าม MFA — แฮ็กเกอร์ Brute-Force รหัสผ่านแล้วติดตั้ง Ransomware ภายใน 30 นาที

SonicWall Gen6 SSL-VPN MFA bypass ransomware attack
แฮ็กเกอร์เปิดแคมเปญโจมตี SonicWall Gen6 SSL-VPN เมื่อ 20 พฤษภาคม 2569 ด้วยการ brute-force รหัสผ่านแล้วข้าม MFA ผ่านช่องโหว่ CVE-2024-12802 ที่แพตช์ไม่สมบูรณ์ เข้าถึงเครือข่ายภายในและติดตั้งเครื่องมือสำหรับ ransomware ได้ภายใน 30 นาที การแพตช์เฟิร์มแวร์อย่างเดียวไม่เพียงพอ ต้องทำขั้นตอนเพิ่มอีก 6 ขั้นตอน