แฮกเกอร์สวมรอยเป็น IT Support หลอกพนักงานผ่าน MS Teams ขอเข้าคุมเครื่อง แล้วแพร่มัลแวร์

เหตุการณ์ล่าสุดที่กำลังเป็นประเด็นร้อนในโลกไซเบอร์ ขณะนี้คือการโจมตีแบบ “Social Engineering” ที่แฮกเกอร์ใช้ Microsoft Teams ในการเข้าถึงตัวพนักงานขององค์กร โดยแอบอ้างว่าเป็นฝ่าย IT Support เมื่อเหยื่อหลงเชื่อ แฮกเกอร์ก็จะขอให้เปิดโปรแกรม Quick Assist (ที่มากับ Windows) แล้วขอควบคุมเครื่อง เพื่อสั่งรันคำสั่งติดตั้งมัลแวร์โหลดเดอร์ “Matanbuchus 3.0”เพื่อควบคุมระบบโดยพนักงานไม่รู้ตัว

เมื่อติดตั้งมัลแวร์โหลดเดอร์สำเร็จ มัลแวร์ก็จะแอบทำงานอยู่เงียบๆ เพื่อรวบรวมข้อมูลระบบ ตรวจสอบสิทธิ์ admin และลบตรวจจับของ security tools จากนั้นส่งข้อมูลระบบไปยังเซิร์ฟเวอร์ C2 ก่อนดาวน์โหลด payload เพิ่มเติม และฝังตัวอยู่ใน scheduled task เพื่อให้ทำงานต่อเนื่องหลังรีสตาร์ทเครื่อง

ทั้งนี้ Matanbuchus 3.0 ถือเป็นตัวอย่างของยุค “Stealth-first Loader” ซึ่งใช้วิธีโซเชียลเอนจิเนียริ่งหลอกหลุดเข้าระบบ ก่อนค่อยขยายปฏิบัติการสู่การโจมตีด้วยแรนซัมแวร์ต่อไป

ที่สำคัญคือมัลแวร์ “Matanbuchus 3.0” เวอร์ชันล่าสุดนี้ เป็นมัลแวร์ที่แฮกเกอร์สามารถ “เช่าใช้” ได้ เหมือนบริการออนไลน์ทั่วไป โดยมีราคาแพงถึงเดือนละ 15,000 ดอลลาร์ (ราว 5 แสนบาท!) เพราะมันมีความสามารถหลากหลาย เช่น แอบดาวน์โหลดไวรัสหรือมัลแวร์ตัวอื่นลงมาเพิ่มได้อีก หลบซ่อนตัวไม่ให้แอนตี้ไวรัสตรวจจับ ทำงานโดยไม่ต้องติดตั้งให้เห็นชัด (รันผ่านหน่วยความจำ) และสามารถควบคุมเครื่องของเหยื่อได้จากระยะไกล

แต่หลายคนอาจสงสัยว่า แฮกเกอร์ “เข้าถึงเป้าหมายใน Microsoft Teams ได้อย่างไร” ทั้งที่ Teams มักจำกัดการใช้งานภายในองค์กรเดียวกันเท่านั้น

คำตอบองค์กรจำนวนมาก เปิด External Access ไว้โดยไม่ได้ตั้งใจ หรือไม่ได้จัดการสิทธิ์ให้รัดกุม เช่น ให้แชทได้แต่ลืมปิดการรับไฟล์แนบ หรือเปิดให้ใครก็ได้เพิ่มเพื่อนจากภายนอก ซึ่งก็คือแฮกเกอร์ที่แฝงตัวมานั่นเอง

หรืออีกกรณี ก็อาจใช้ข้อมูลรั่วไหลจากเหตุการณ์ก่อนหน้า ซึ่งมีชื่อ และอีเมลพนักงานเผยแพร่อยู่ใน Dark Web เป็นช่องทางในการเข้าถึงพนักงานก็ได้

เหมือนอย่างกรณีที่เราเคยเตือนว่า แม้ข้อมูลที่รั่วไหลเป็นข้อมูลพนักงาน ที่ไม่ได้สรา้งความเสียหายให้องค์กรมากนัก แต่ก็อาจเป็นช่องทางนำภัยใหญ่หลวงมาสู่องค์กรได้

ที่มา