แฮกเกอร์ยึดบัญชี Microsoft Teams ปลอมเป็น IT หลอกพนักงานแพร่มัลแวร์เจาะระบบ
นักวิจัยด้านความปลอดภัยไซเบอร์พบรูปแบบการโจมตีใหม่ ที่แฮกเกอร์เริ่มใช้บัญชี Microsoft Teams ที่ถูกยึด หรือสร้างบัญชีปลอมขึ้นมา แอบอ้างเป็นทีม IT Helpdesk ภายในองค์กร เพื่อหลอกพนักงานให้รันคำสั่งอันตราย จนนำไปสู่การติดตั้งมัลแวร์สายสอดแนมตัวใหม่อย่าง ModeloRAT ลงในเครื่องของเหยื่อ
การโจมตีครั้งนี้แตกต่างจากแคมเปญก่อนหน้า เพราะไม่ได้ใช้เว็บไซต์ปลอม หรือหน้า CAPTCHA หลอกลวงแบบเดิมอีกต่อไป แต่เปลี่ยนมาใช้ “แชตภายในองค์กร” เป็นช่องทางเข้าหาเหยื่อโดยตรง ทำให้ข้อความดูน่าเชื่อถือและเหมือนคำขอจากฝ่าย IT จริงมากขึ้น
ผู้โจมตีมักเริ่มต้นด้วยการส่งข้อความแจ้งว่าพบปัญหาเร่งด่วนเกี่ยวกับบัญชีหรืออุปกรณ์ของพนักงาน จากนั้นจะขอให้เหยื่อคัดลอกและรันคำสั่ง PowerShell ที่อ้างว่าเป็น “เครื่องมือวิเคราะห์ปัญหา” ผ่านหน้าต่างแชตของ Microsoft Teams
แต่แท้จริงแล้ว คำสั่งดังกล่าวคือจุดเริ่มต้นของการติดตั้ง ModeloRAT เวอร์ชันใหม่ ซึ่งถูกพัฒนาด้วยภาษา Python และถูกออกแบบให้ซ่อนตัวจากระบบป้องกันความปลอดภัยได้แนบเนียนกว่าเดิม
แอบติดตั้ง Python ทั้งชุดลงเครื่องแบบเงียบๆ
เมื่อเหยื่อรันคำสั่ง PowerShell ระบบจะดาวน์โหลดไฟล์ ZIP ไปเก็บไว้ในโฟลเดอร์ %APPDATA% ของผู้ใช้ ก่อนแตกไฟล์แบบเงียบๆ โดยภายในประกอบด้วยชุด WinPython แบบพกพา ที่ถูกติดตั้งไว้ในเส้นทาง %APPDATA%\WPy64-31401
หลังจากนั้น PowerShell จะเรียกใช้งาน pythonw.exe ซึ่งเป็นเวอร์ชันที่ทำงานโดยไม่แสดงหน้าต่าง Console ทำให้ผู้ใช้งานแทบไม่สังเกตเห็นความผิดปกติระหว่างที่มัลแวร์เริ่มทำงานอยู่เบื้องหลัง
ต่างจาก ModeloRAT รุ่นก่อนที่ใช้สคริปต์ Python ตัวเดียวจัดการทุกอย่าง เวอร์ชันใหม่นี้แยกการทำงานออกเป็น 2 ส่วนอย่างชัดเจน ส่วนแรกทำหน้าที่เก็บข้อมูลของเครื่อง เช่น รายละเอียดระบบ รายชื่อ Process บริการต่างๆ และการตั้งค่าเครือข่าย ก่อนจัดรูปแบบข้อมูลเป็น JSON เพื่อส่งออกไปยังเซิร์ฟเวอร์ของผู้โจมตี
อีกส่วนหนึ่งจะทำหน้าที่ติดต่อกับระบบ Command-and-Control หรือ C2 ผ่านการเชื่อมต่อ HTTP โดยใช้ IP Address แบบตรงๆ แทนการใช้โดเมน เพื่อหลบเลี่ยงระบบป้องกันที่อาศัยการบล็อกโดเมนต้องสงสัย
นักวิจัยยังพบว่า ModeloRAT เวอร์ชันนี้สามารถทำงานผ่านระบบ Endpoint Detection and Response หรือ EDR หลายตัวได้โดยไม่ถูกตรวจจับ และตัวอย่างไฟล์ที่ตรวจสอบบน VirusTotal ในช่วงเวลาวิเคราะห์ ก็ยังไม่ถูกโปรแกรมแอนติไวรัสใดระบุว่าเป็นอันตราย
เทคนิคฝังตัวแนบเนียน ทำความสะอาดได้ยากกว่าเดิม
ด้านการฝังตัวในระบบ ผู้โจมตียังคงใช้วิธีเพิ่มค่า Run Key ใน Windows Registry เพื่อให้มัลแวร์เริ่มทำงานทุกครั้งที่เปิดเครื่อง แต่ในเวอร์ชันล่าสุด ยังเพิ่ม Scheduled Task ที่ตั้งชื่อแบบสุ่มเข้ามาอีกชั้นหนึ่ง
นั่นหมายความว่า แม้ผู้ดูแลระบบจะลบกลไกหนึ่งออกไป มัลแวร์ก็ยังสามารถกลับมาทำงานได้ผ่านอีกช่องทาง ทำให้การกำจัดออกจากระบบทำได้ยากขึ้น
รายงานยังระบุว่า โครงสร้างการโจมตีเริ่มต้นจาก explorer.exe ไปยัง powershell.exe พร้อมชุดคำสั่งที่ถูกทำให้สับสนและอ่านยาก เพื่อประกอบ Payload ขึ้นมาระหว่างการทำงานจริง ลดโอกาสที่ระบบป้องกันจะตรวจจับได้
นักวิจัยแนะนำให้องค์กรเร่งตรวจสอบนโยบายการใช้งาน Microsoft Teams โดยเฉพาะการอนุญาตข้อความจาก Tenant ภายนอก รวมถึงเฝ้าระวังการดาวน์โหลดไฟล์ ZIP หรือชุด Python แบบพกพาลงในโฟลเดอร์ AppData ซึ่งถือเป็นพฤติกรรมที่เกี่ยวข้องกับ ModeloRAT อย่างชัดเจน
นอกจากนี้ ควรตรวจสอบการใช้งาน pythonw.exe จากเส้นทางที่ผู้ใช้สามารถเขียนไฟล์ได้เอง รวมถึงจับตาการสร้าง Scheduled Task หรือ Run Key ที่มีชื่อผิดปกติ เพราะอาจเป็นสัญญาณของการติดมัลแวร์ชนิดนี้ได้