ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์ (Online Random)
มินิเกม
Black Basta กลับมาแล้ว คราวนี้แฮกเกอร์ปลอมตัวเป็น IT Support บน Microsoft Teams หลอกลวงแพร่มัลแวร์
Sarun_ss777
แรนซัมแวร์นั้นปัจจุบันได้กลายเป็นที่ยอมรับว่าเป็นภัยทางไซเบอร์ที่กำลังมาแรงแห่งปี มีองค์กรตกเป็นเหยื่อจำนวนมากจนหลายองค์กรทั้งรัฐ และเอกชนได้แสวงหาเครื่องมือป้องกันจนทำให้การที่แรนซัมแวร์จะแทรกซึมแบบเดิมทำได้ยากมากขึ้น แต่แฮกเกอร์ก็ไม่ย่อท้อ นำมาสู่วิธีการแทรกซึมเพื่อแพร่แรนซัมแวร์นั้นดูสร้างสรรค์จนเหลือเชื่อ
จากรายงานช่าวโดยเว็บไซต์ Bleeping Computer ได้รายงานถึงการกลับมาของแรนซัมแวร์ Black Basta ซึ่งเคยระบาดอย่างหนักมาตั้งแต่ช่วงปี ค.ศ. 2022 (พ.ศ. 2565) โดยมีกลุ่มแฮกเกอร์ Conti อยู่เบื้องหลัง ซึ่งในคราวนั้นได้ทำการโจมตีองค์กรไปมากกว่า 100 องค์กร และได้หายไปหลังจากถูกปราบปรามในช่วงเดือนมิถุนายนปีเดียวกันนั้นเอง นำไปสู่การแตกกระจายเป็นกลุ่มย่อยมากมายหลายกลุ่ม ซึ่งในกลุ่มย่อยที่แตกออกมานั้นเองก็มีกลุ่มที่ใช้ชื่อเดียวกันกับตัวแรนซัมแวร์เอง ทำให้แรนซัมแวร์ตัวดังกล่าวนั้นสามารถกลับมาระบาดเป็นพัก ๆ ได้
- มัลแวร์ SteelFox โจมตีผู้ใช้งาน Windows ที่ชอบดาวน์โหลดซอฟต์แวร์เถื่อน
- เกมเมอร์โดนอีกแล้ว ! มัลแวร์ Winos 4.0 ปลอมตัวเป็นแอปเพิ่มประสิทธิภาพการทำงานของเกม
- มัลแวร์ Godfather มุ่งโจมตีแอปธนาคาร และคริปโตกว่า 500 แอป ลวงขโมยเงินเหยื่อ
- มาอย่างเหนือ ! แฮกเกอร์ใช้ช่องโหว่ Excel เพื่อปล่อยมัลแวร์ RemcosRAT เข้าขโมยข้อมูลเหยื่อ
- ไมโครซอฟต์เตือน พบมัลแวร์ Botnet ใช้ช่องโหว่บนเราเตอร์หลายแบรนด์ เข้าขโมยรหัสผ่าน
นอกจากความสามารถในการแพร่กระจายแรนซัมแวร์ให้ระบาดอยู่เรื่อย ๆ ทั้งในด้านการปล่อยมัลแวร์เอง และการขายแรนซัมแวร์ดังกล่าวให้กับแฮกเกอร์กลุ่มอื่น ๆ ในรูปแบบ RaaS หรือ Ransomware-as-a-Service แล้วนั้น ทางกลุ่มแฮกเกอร์ก็ยังได้พัฒนาวิธีการหลอกลวงเหยื่อในรูปแบบการปั่นหัวเพื่อบงการให้ทำในสิ่งที่ต้องการ หรือที่เรียกว่าเป็นการทำวิศวกรรมทางสังคม (Social Engieering) ให้มีความก้าวล้ำไปกว่าเดิมเช่นเดียวกัน
อย่างเช่น ในการระบาดรอบล่าสุดในช่วงเดือนพฤษภาคมปีนี้ ทางแฮกเกอร์ได้การโจมตีด้วยการเริ่มต้นจากการก่อความเดือดร้อนให้กับพนักงานในบริษัทเป้าหมาย จากการที่ส่งอีเมลที่ดูไม่เป็นพิษเป็นภัย เช่น อีเมลขอให้พนักงานทำการลงทะเบียน (Subscribe) เพื่อติดตามข่าวสาร และ อีเมลที่เตือนให้พนักงานทำการยืนยันอีเมลของตนเพื่อกิจกรรมบางอย่างที่เกี่ยวข้องกับผู้ส่ง ซึ่งด้วยปริมาณจะทำให้พนักงานเกิดความกังวลใจ ลนลาน โดยขั้นตอนหลังจากนั้นคือ แฮกเกอร์จะรีบเข้ามาทำการเสนอตัวผ่านการโทรหาพนักงานโดยแอบอ้างว่าเป็นฝ่ายสนับสนุนของ IT (IT Helpdesk) ของทางภายในบริษัท ที่จะเข้ามาช่วยพนักงานแก้ปัญหาเรื่อง Spam แล้วจะขอให้พนักงานมอบสิทธิ์ให้ทางแฮกเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกล อย่างเช่นการมอบสิทธิ์ผ่านทาง Windows Quick Assist หรือ การพยายามให้พนักงานทำการดาวน์โหนดเครื่องมือ AnyDesk ซึ่งเป็นเครื่องมือสำหรับเข้าควบคุมเครื่องจากระยะไกลที่เป็นที่นิยมในวงการ IT โดยถ้าเหยื่อหลงเชื่อ แฮกเกอร์ก็จะใช้โอกาสนี้ในการเข้ารันสคริปท์เพื่อวางเครื่องมือนานาชนิด ให้แฮกเกอร์สามารถเข้าถึงเครื่องจากระยะไกลได้ตลอดเวลา เช่น ScreenConnect, NetSupport Manager, และ Cobalt Strike เป็นต้น โดยแฮกเกอร์จะใช้เครื่องของเหยื่อเพื่อเข้าสู่ระบบเครือข่ายขององค์กรเพื่อทำการฝังแรนซัมแวร์ Black Basta ในท้ายที่สุด
และสำหรับการระบาดครั้งปัจจุบัน ทางทีมวิจัยจาก ReliaQuest ก็ได้ออกมาเปิดเผยว่า แฮกเกอร์ได้ก้าวไปอีกขั้นโดยการย้ายขึ้นมาใช้งาน Microsoft Teams ซึ่งเป็นเครื่องมือสำหรับการประชุมทางไกล โดยแฮกเกอร์จะใช้วิธีการโจมตีในรูปแบบอีเมลสแปมตามที่ได้กล่าวมา แต่ในขั้นตอนที่ติดต่อพนักงาน จะเปลี่ยนจากการโทรมาเป็นการติดต่อผ่านทาง Microsoft Teams ในฐานะผู้ใช้งานภายนอก แต่อ้างตนเป็นเจ้าหน้าที่ IT ที่จะเข้ามาช่วยแก้ปัญหาดังกล่าว ซึ่งบัญชีปลอมที่แฮกเกอร์ใช้งานนั้นจะมีชื่อในรูปแบบดังนี้
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com
นอกจากนั้นทางทีมวิจัยยังเปิดเผยว่า แฮกเกอร์ยังมีการตั้งค่าข้อมูลส่วนตัวและชื่อที่ปรากฎให้ผู้ใช้งานได้เห็น (Display Name) ให้มีความแนบเนียน เพื่อล่อลวงให้เชื่อว่าผู้ที่ติดต่อเข้ามานั้นเป็นทีม IT Support ตัวจริง นำไปสู่การเปิดทางให้แฮกเกอร์เข้าติดตั้งเครื่องมือเข้าถึงจากระยะไกล เพื่อเข้าแฮกเครือข่ายบริษัทเพื่อปล่อยมัลแวร์ในท้ายที่สุด ซึ่งเครื่องมือที่แฮกเกอร์ทำการติดตั้งนั้นต่างเป็นมัลแวร์ทั้งสิ้น แต่มีการปลอมแปลงชื่อให้เปรียบเสมือนว่าจะเป็นเครื่องมือที่เข้ามาช่วยแก้ปัญหาให้กับพนักงานที่ตกเป็นเหยื่อ เช่น "AntispamAccount.exe," "AntispamUpdate.exe," และ "AntispamConnectUS.exe"
ไม่เพียงเท่านั้น ทาง ReliaQuest ยังได้แจ้งเตือนว่า แฮกเกอร์กลุ่มเดียวกันนั้นยังมีการส่ง QR Code หลอกให้เหยื่อทำการสแกน โดยปลายทางของ QR Code นั้นจะเป็นเว็บไซต์ที่มีชื่อว่า qr-s1[.]com โดยในปัจจุบันทางทีมวิจัยยังตรวจไม่พบว่า การให้สแกนเพื่อที่จะเข้าเว็บไซต์ดังกล่าวนั้นมีสุดประสงค์อะไร และมีการซ่อนภัยอะไรไว้บน QR Code และเว็บไซต์ดังกล่าวอีกบ้าง ซึ่งจากข่าวที่ทางทีมงานได้ลงมาข้างต้นผู้ใช้งานจะต้องมีความระมัดระวัง และระแวงอย่างสูง รวมทั้งให้มีความสงสัยไว้ก่อนถ้ามีผู้ที่ติดต่อมา และมีการอ้างตัวเพื่อช่วยเหลืออย่างผิดสังเกต เพื่อความปลอดภัยทั้งในระดับส่วนตัว และในระดับองค์กร
ที่มา : www.bleepingcomputer.com
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอที ยอดนิยม
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.