ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

Black Basta กลับมาแล้ว คราวนี้แฮกเกอร์ปลอมตัวเป็น IT Support บน Microsoft Teams หลอกลวงแพร่มัลแวร์

Black Basta กลับมาแล้ว คราวนี้แฮกเกอร์ปลอมตัวเป็น IT Support บน Microsoft Teams หลอกลวงแพร่มัลแวร์
ภาพจาก : https://www.skye-nets.com/best-practices-securing-microsoft-teams
เมื่อ :
|  ผู้เข้าชม : 1,117
เขียนโดย :
0 Black+Basta+%E0%B8%81%E0%B8%A5%E0%B8%B1%E0%B8%9A%E0%B8%A1%E0%B8%B2%E0%B9%81%E0%B8%A5%E0%B9%89%E0%B8%A7+%E0%B8%84%E0%B8%A3%E0%B8%B2%E0%B8%A7%E0%B8%99%E0%B8%B5%E0%B9%89%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%AD%E0%B8%A3%E0%B9%8C%E0%B8%9B%E0%B8%A5%E0%B8%AD%E0%B8%A1%E0%B8%95%E0%B8%B1%E0%B8%A7%E0%B9%80%E0%B8%9B%E0%B9%87%E0%B8%99+IT+Support+%E0%B8%9A%E0%B8%99+Microsoft+Teams+%E0%B8%AB%E0%B8%A5%E0%B8%AD%E0%B8%81%E0%B8%A5%E0%B8%A7%E0%B8%87%E0%B9%81%E0%B8%9E%E0%B8%A3%E0%B9%88%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C
A- A+
แชร์หน้าเว็บนี้ :

แรนซัมแวร์นั้นปัจจุบันได้กลายเป็นที่ยอมรับว่าเป็นภัยทางไซเบอร์ที่กำลังมาแรงแห่งปี มีองค์กรตกเป็นเหยื่อจำนวนมากจนหลายองค์กรทั้งรัฐ และเอกชนได้แสวงหาเครื่องมือป้องกันจนทำให้การที่แรนซัมแวร์จะแทรกซึมแบบเดิมทำได้ยากมากขึ้น แต่แฮกเกอร์ก็ไม่ย่อท้อ นำมาสู่วิธีการแทรกซึมเพื่อแพร่แรนซัมแวร์นั้นดูสร้างสรรค์จนเหลือเชื่อ

จากรายงานช่าวโดยเว็บไซต์ Bleeping Computer ได้รายงานถึงการกลับมาของแรนซัมแวร์ Black Basta ซึ่งเคยระบาดอย่างหนักมาตั้งแต่ช่วงปี ค.ศ. 2022 (พ.ศ. 2565) โดยมีกลุ่มแฮกเกอร์ Conti อยู่เบื้องหลัง ซึ่งในคราวนั้นได้ทำการโจมตีองค์กรไปมากกว่า 100 องค์กร และได้หายไปหลังจากถูกปราบปรามในช่วงเดือนมิถุนายนปีเดียวกันนั้นเอง นำไปสู่การแตกกระจายเป็นกลุ่มย่อยมากมายหลายกลุ่ม ซึ่งในกลุ่มย่อยที่แตกออกมานั้นเองก็มีกลุ่มที่ใช้ชื่อเดียวกันกับตัวแรนซัมแวร์เอง ทำให้แรนซัมแวร์ตัวดังกล่าวนั้นสามารถกลับมาระบาดเป็นพัก ๆ ได้ 

บทความเกี่ยวกับ Malware อื่นๆ

นอกจากความสามารถในการแพร่กระจายแรนซัมแวร์ให้ระบาดอยู่เรื่อย ๆ ทั้งในด้านการปล่อยมัลแวร์เอง และการขายแรนซัมแวร์ดังกล่าวให้กับแฮกเกอร์กลุ่มอื่น ๆ ในรูปแบบ RaaS หรือ Ransomware-as-a-Service แล้วนั้น ทางกลุ่มแฮกเกอร์ก็ยังได้พัฒนาวิธีการหลอกลวงเหยื่อในรูปแบบการปั่นหัวเพื่อบงการให้ทำในสิ่งที่ต้องการ หรือที่เรียกว่าเป็นการทำวิศวกรรมทางสังคม (Social Engieering) ให้มีความก้าวล้ำไปกว่าเดิมเช่นเดียวกัน 

อย่างเช่น ในการระบาดรอบล่าสุดในช่วงเดือนพฤษภาคมปีนี้ ทางแฮกเกอร์ได้การโจมตีด้วยการเริ่มต้นจากการก่อความเดือดร้อนให้กับพนักงานในบริษัทเป้าหมาย จากการที่ส่งอีเมลที่ดูไม่เป็นพิษเป็นภัย เช่น อีเมลขอให้พนักงานทำการลงทะเบียน (Subscribe) เพื่อติดตามข่าวสาร และ อีเมลที่เตือนให้พนักงานทำการยืนยันอีเมลของตนเพื่อกิจกรรมบางอย่างที่เกี่ยวข้องกับผู้ส่ง ซึ่งด้วยปริมาณจะทำให้พนักงานเกิดความกังวลใจ ลนลาน โดยขั้นตอนหลังจากนั้นคือ แฮกเกอร์จะรีบเข้ามาทำการเสนอตัวผ่านการโทรหาพนักงานโดยแอบอ้างว่าเป็นฝ่ายสนับสนุนของ IT (IT Helpdesk) ของทางภายในบริษัท ที่จะเข้ามาช่วยพนักงานแก้ปัญหาเรื่อง Spam แล้วจะขอให้พนักงานมอบสิทธิ์ให้ทางแฮกเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกล อย่างเช่นการมอบสิทธิ์ผ่านทาง Windows Quick Assist หรือ การพยายามให้พนักงานทำการดาวน์โหนดเครื่องมือ AnyDesk ซึ่งเป็นเครื่องมือสำหรับเข้าควบคุมเครื่องจากระยะไกลที่เป็นที่นิยมในวงการ IT โดยถ้าเหยื่อหลงเชื่อ แฮกเกอร์ก็จะใช้โอกาสนี้ในการเข้ารันสคริปท์เพื่อวางเครื่องมือนานาชนิด ให้แฮกเกอร์สามารถเข้าถึงเครื่องจากระยะไกลได้ตลอดเวลา เช่น ScreenConnect, NetSupport Manager, และ Cobalt Strike เป็นต้น โดยแฮกเกอร์จะใช้เครื่องของเหยื่อเพื่อเข้าสู่ระบบเครือข่ายขององค์กรเพื่อทำการฝังแรนซัมแวร์ Black Basta ในท้ายที่สุด

และสำหรับการระบาดครั้งปัจจุบัน ทางทีมวิจัยจาก ReliaQuest ก็ได้ออกมาเปิดเผยว่า แฮกเกอร์ได้ก้าวไปอีกขั้นโดยการย้ายขึ้นมาใช้งาน Microsoft Teams ซึ่งเป็นเครื่องมือสำหรับการประชุมทางไกล โดยแฮกเกอร์จะใช้วิธีการโจมตีในรูปแบบอีเมลสแปมตามที่ได้กล่าวมา แต่ในขั้นตอนที่ติดต่อพนักงาน จะเปลี่ยนจากการโทรมาเป็นการติดต่อผ่านทาง Microsoft Teams ในฐานะผู้ใช้งานภายนอก แต่อ้างตนเป็นเจ้าหน้าที่ IT ที่จะเข้ามาช่วยแก้ปัญหาดังกล่าว ซึ่งบัญชีปลอมที่แฮกเกอร์ใช้งานนั้นจะมีชื่อในรูปแบบดังนี้

securityadminhelper.onmicrosoft[.]com

supportserviceadmin.onmicrosoft[.]com

supportadministrator.onmicrosoft[.]com

cybersecurityadmin.onmicrosoft[.]com

นอกจากนั้นทางทีมวิจัยยังเปิดเผยว่า แฮกเกอร์ยังมีการตั้งค่าข้อมูลส่วนตัวและชื่อที่ปรากฎให้ผู้ใช้งานได้เห็น (Display Name) ให้มีความแนบเนียน เพื่อล่อลวงให้เชื่อว่าผู้ที่ติดต่อเข้ามานั้นเป็นทีม IT Support ตัวจริง นำไปสู่การเปิดทางให้แฮกเกอร์เข้าติดตั้งเครื่องมือเข้าถึงจากระยะไกล เพื่อเข้าแฮกเครือข่ายบริษัทเพื่อปล่อยมัลแวร์ในท้ายที่สุด ซึ่งเครื่องมือที่แฮกเกอร์ทำการติดตั้งนั้นต่างเป็นมัลแวร์ทั้งสิ้น แต่มีการปลอมแปลงชื่อให้เปรียบเสมือนว่าจะเป็นเครื่องมือที่เข้ามาช่วยแก้ปัญหาให้กับพนักงานที่ตกเป็นเหยื่อ เช่น "AntispamAccount.exe," "AntispamUpdate.exe," และ "AntispamConnectUS.exe"

ไม่เพียงเท่านั้น ทาง ReliaQuest ยังได้แจ้งเตือนว่า แฮกเกอร์กลุ่มเดียวกันนั้นยังมีการส่ง QR Code หลอกให้เหยื่อทำการสแกน โดยปลายทางของ QR Code นั้นจะเป็นเว็บไซต์ที่มีชื่อว่า qr-s1[.]com โดยในปัจจุบันทางทีมวิจัยยังตรวจไม่พบว่า การให้สแกนเพื่อที่จะเข้าเว็บไซต์ดังกล่าวนั้นมีสุดประสงค์อะไร และมีการซ่อนภัยอะไรไว้บน QR Code และเว็บไซต์ดังกล่าวอีกบ้าง ซึ่งจากข่าวที่ทางทีมงานได้ลงมาข้างต้นผู้ใช้งานจะต้องมีความระมัดระวัง และระแวงอย่างสูง รวมทั้งให้มีความสงสัยไว้ก่อนถ้ามีผู้ที่ติดต่อมา และมีการอ้างตัวเพื่อช่วยเหลืออย่างผิดสังเกต เพื่อความปลอดภัยทั้งในระดับส่วนตัว และในระดับองค์กร


ที่มา : www.bleepingcomputer.com

0 Black+Basta+%E0%B8%81%E0%B8%A5%E0%B8%B1%E0%B8%9A%E0%B8%A1%E0%B8%B2%E0%B9%81%E0%B8%A5%E0%B9%89%E0%B8%A7+%E0%B8%84%E0%B8%A3%E0%B8%B2%E0%B8%A7%E0%B8%99%E0%B8%B5%E0%B9%89%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%AD%E0%B8%A3%E0%B9%8C%E0%B8%9B%E0%B8%A5%E0%B8%AD%E0%B8%A1%E0%B8%95%E0%B8%B1%E0%B8%A7%E0%B9%80%E0%B8%9B%E0%B9%87%E0%B8%99+IT+Support+%E0%B8%9A%E0%B8%99+Microsoft+Teams+%E0%B8%AB%E0%B8%A5%E0%B8%AD%E0%B8%81%E0%B8%A5%E0%B8%A7%E0%B8%87%E0%B9%81%E0%B8%9E%E0%B8%A3%E0%B9%88%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น