โปรดอัพเดตเบราว์เซอร์

เบราว์เซอร์ที่คุณใช้เป็นเวอร์ชันเก่าซึ่งไม่สามารถใช้บริการของเราได้ เราขอแนะนำให้อัพเดตเบราว์เซอร์เพื่อการใช้งานที่ดีที่สุด

แฮกเกอร์เข้ายึดเซิร์ฟเวอร์ Microsoft Exchange กว่า 70 แห่ง หวังใช้เป็นฐานดักจับข้อมูลรหัสผ่านเหยื่อ

Thaiware

อัพเดต 09 ก.ค. 2568 เวลา 10.00 น. • เผยแพร่ 09 ก.ค. 2568 เวลา 10.00 น. • Sarun_ss777
แฮกเกอร์จะใช้เซิร์ฟเวอร์ดังกล่าวในการยิงโค้ดดักจับรหัสผ่านบนหน้าล็อกอิน บันทึกเป็นไฟล์ที่แฮกเกอร์เข้าถึงได้

Microsoft Exchange ชื่อบริการนี้อาจไม่คุ้นเคยสำหรับผู้ใช้งานผลิตภัณฑ์ของไมโครซอฟต์ตามบ้าน แต่แท้จริงแล้วบริการนี้นับเป็นบริการสำคัญสำหรับผู้ใช้งานบริการของไมโครซอฟต์ในเชิงธุรกิจ เนื่องจากบริการนี้นั้น เป็นบริการอีเมลสำหรับการใช้งานในเชิงองค์กรนั่นเอง และนี่ทำให้บริการนี้กลายเป็นเป้าของแฮกเกอร์

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบการโจมตีของแฮกเกอร์จากประเทศรัสเซีย ที่มีการมุ่งเป้าโจมตีไปยังเซิร์ฟเวอร์ที่ให้บริการ Microsoft Exchange เพื่อที่จะใช้ในการยิงโค้ดไปยังหน้าล็อกอินเข้าใช้บริการสำหรับผู้เข้าใช้งานอีเมลในเชิงองค์กรเพื่อที่จะสามารถเข้าขโมยรหัสผ่านของเหยื่อในรูปแบบโค้ดสำหรับการจับการพิมพ์ของคีย์บอร์ด หรือ Keylogger ในรูปแบบ JavaScript โดยทางทีมวิจัยจาก Positive Technologies บริษัทผู้เชี่ยวชาญด้านการจัดการภัยไซเบอร์ พบว่า โค้ดดักจับการพิมพ์นั้นมีการทำงานอยู่ 2 รูปแบบ

  • รูปแบบแรก เป็นการทำการบันทึกข้อมูลที่ดักจับไว้ ไว้บนไฟล์ที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต
  • รูปแบบที่สอง จะเป็นการดักจับ และส่งกลับไปยังเซิร์ฟเวอร์ที่แฮกเกอร์วางไว้ในทันที

ซึ่งในส่วนของการขโมยรหัสผ่านนั้น ทางทีมวิจัยได้เผยรายละเอียดเพิ่มเติมว่า ในรูปแบบแรกนั้น ตัวสคริปท์จะทำการประมวลผลข้อมูลที่เก็บได้จากหน้าล็อกอิน ส่งผ่านทางการยิง XHR Request ไปยังเพจที่ถูกกำหนดไว้บนเซิร์ฟเวอร์ Microsoft Exchange ที่ถูกแฮก ซึ่งตัวหน้าเพจนั้นจะมีฟังก์ชัน Handler สำหรับการจัดการอ่านข้อมูล Request ที่ถูกส่งเข้ามา เพื่อนำไปเขียน และบันทึกเป็นไฟล์ลงบนเซิร์ฟเวอร์ ซึ่งตัวไฟล์นั้นจะสามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต ซึ่งสคริปท์ในแบบแรกนี้ บางตัวยังมีความสามารถเพิ่มเติมในการเก็บไฟล์ Cookie จากเครื่องของเหยื่อ, เก็บข้อมูล User-Agent และ มีความสามารถในการบันทึกเวลาการใช้งาน (Timestamp) นอกจากนั้น ทางทีมวิจัยยังได้กล่าวว่า การถูกขโมยข้อมูลจากสคริปท์แบบแรกนี้ตรวจสอบได้ยากเนื่องจากตัวระบบจะไม่พบ Traffic ที่ผิดปกติแต่อย่างใด

ในส่วนวิธีที่สองนั้น ตัวสคริปท์จะทำการส่งข้อมูลไปยังเซิร์ฟเวอร์ ที่เป็นบอทบนบริการแชท Telegram ผ่านทาง XHR GET Requests ในรูปแบบข้อมูลเข้ารหัสด้วยกุญแจ API (API Key) และวางโค้ด Token ยืนยันตัวตน (AuthToken) ไว้บนส่วนของ Header นอกจากนั้นทางทีมวิจัยยังรายงานว่า วิธีการที่สองนั้นมีการใช้งาน DNS Tunnel ร่วมกับ HTTPS POST Request เพื่อส่งข้อมูลรหัสผ่านต่าง ๆ ที่ถูกขโมยได้ออกไปยังเซิร์ฟเวอร์ของแฮกเกอร์เพื่อหลบเลี่ยงการถูกตรวจจับโดยระบบของทางองค์กรอีกด้วย

แฮกเกอร์เข้ายึดเซิร์ฟเวอร์ Microsoft Exchange กว่า 70 แห่ง หวังใช้เป็นฐานดักจับข้อมูลรหัสผ่านเหยื่อ

ภาพจาก: https://thehackernews.com/2025/06/hackers-target-65-microsoft-exchange.html

โดยในแคมเปญนี้ ทางทีมวิจัยได้เปิดเผยว่า กลุ่มแฮกเกอร์ได้มีการใช้ช่องโหว่มากมายหลายตัวบน Microsoft Exchange เพื่อปฏิบัติงานในครั้งนี้ โดยช่องโหว่ต่าง ๆ ที่ถูกใช้นั้นมีดังต่อไปนี้

  • CVE-2014-4078 - ช่องโหว่หลบเลี่ยงฟีเจอร์รักษาความปลอดภัย IIS Security
  • CVE-2020-0796 - ช่องโหว่ที่อยู่ภายในระบบ Windows SMBv3 Client/Server ที่ส่งผลให้แฮกเกอร์สามารถทำ RCE (Remote Code Execution หรือ การยิงโค้ดจากระยะไกล) ได้
  • CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065 - ช่องโหว่ ProxyLogon บน Microsoft Exchange Server ที่ส่งผลให้แฮกเกอร์สามารถทำ RCE ได้
  • CVE-2021-31206 - ช่องโหว่บน Microsoft Exchange Server ที่ส่งผลให้แฮกเกอร์สามารถทำ RCE ได้
  • CVE-2021-31207, CVE-2021-34473, CVE-2021-34523 - ช่องโหว่ ProxyShell ที่ทำให้แฮกเกอร์สามารถหลบเลี่ยงระบบรักษาความปลอดถียบน Microsoft Exchange Server ได้

สำหรับสถานการณ์การโจมตีในปัจจุบันนั้น ทางทีมวิจัยเผยว่า การโจมตีดังกล่าวนั้นถูกตรวจพบครั้งแรกในช่วงเดือนพฤษภาคม ค.ศ. 2024 (พ.ศ. 2567) ซึ่งมีการโจมตีด้วยวิธีการดังกล่าวอย่างต่อเนื่องเรื่อยมา โดยมีองค์กรตกเป็นเหยื่อมากกว่า 65 ราย จาก 26 ประเทศแล้วในปัจจุบัน ซึ่งการโจมตีนั้นมักเน้นไปยังกลุ่มอุตสาหกรรมไอที, ภาคอุตสาหกรรมโรงงาน และภาคอุตสาหกรรมการขนส่ง ซึ่งประเทศที่มีเหยื่อมาก 10 อันดับแรก คือ เวียดนาม, รัสเซีย, ไต้หวัน, จีน, ปากีสถาน, เลบานอน, ออสเตรเลีย, แซมเบีย, เนเธอร์แลนด์ และตุรกี โดยในขณะนี้การโจมตียังคงดำเนินต่อไป และแหล่งข่าวก็ไม่ได้มีการระบุว่าทางไมโครซอฟท์รับทราบปัญหานี้แล้วหรือยัง หรือมีมาตรการในการป้องกันระบบ และช่วยเหลือองค์กรที่ตกเป็นเหยื่ออย่างไรบ้าง

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv

ดูข่าวต้นฉบับ
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...