89/68 (IT) ประจำวันพฤหัสบดีที่ 6 มีนาคม 2568
นักวิจัยด้านความปลอดภัยจาก Trend Micro ได้เปิดเผยการโจมตีทางไซเบอร์ที่ซับซ้อน ซึ่งใช้กลวิธีทางวิศวกรรมสังคมร่วมกับเครื่องมือเข้าถึงระยะไกลที่นิยมใช้กันทั่วไป เพื่อแทรกซึมเข้าสู่ระบบเป้าหมาย การโจมตีดังกล่าวมาพร้อมมัลแวร์ BackConnect ที่ช่วยให้แฮกเกอร์สามารถควบคุมอุปกรณ์ของเหยื่ออย่างต่อเนื่องและขโมยข้อมูลที่ละเอียดอ่อน โดยเหตุการณ์ส่วนใหญ่เกิดขึ้นในอเมริกาเหนือระหว่างเดือนตุลาคม 2024 เป็นต้นมา โดยสหรัฐอเมริกาได้รับผลกระทบมากที่สุดด้วยรายงาน 17 ครั้ง ตามด้วยแคนาดาและสหราชอาณาจักรที่ได้รับผลกระทบประเทศละ 5 ครั้ง ส่วนในยุโรปมีการบันทึกรายงานทั้งหมด 18 ครั้ง
ผู้โจมตีใช้เทคนิคทางวิศวกรรมสังคมเพื่อหลอกให้เหยื่อเปิดเผยข้อมูลสำคัญ เช่น ข้อมูลประจำตัว Microsoft Teams จากนั้นใช้เครื่องมือเข้าถึงระยะไกลอย่าง Quick Assist เพื่อเพิ่มสิทธิ์ในการควบคุมระบบ นอกจากนี้ยังพบว่า OneDriveStandaloneUpdater.exe ซึ่งเป็นเครื่องมืออัปเดต OneDrive ที่ถูกกฎหมาย ถูกใช้เพื่อโหลด DLL ที่เป็นอันตรายจากแหล่งภายนอก ทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายได้อย่างง่ายดาย หลังจากนั้น มัลแวร์ BackConnect จะถูกใช้เพื่อควบคุมระบบที่ติดไวรัส โดยไฟล์ที่เป็นอันตรายถูกโฮสต์และเผยแพร่ผ่านบริการจัดเก็บข้อมูลบนคลาวด์ที่มีการกำหนดค่าไม่ถูกต้อง
นักวิจัยยังพบความเชื่อมโยงระหว่างมัลแวร์ BackConnect กับแรนซัมแวร์ Black Basta และ Cactus ซึ่งทำให้ผู้โจมตีสามารถขโมยข้อมูลประจำตัวและข้อมูลทางการเงินได้ โดยเฉพาะ Black Basta ที่สร้างความเสียหายให้เหยื่อสูงถึง 107 ล้านดอลลาร์สหรัฐในปี 2023 โดยมุ่งเป้าไปยังอุตสาหกรรมการผลิต การเงิน และอสังหาริมทรัพย์ ขณะที่การรั่วไหลของแชทภายในกลุ่มเผยให้เห็นว่าผู้โจมตีกำลังเปลี่ยนไปใช้แรนซัมแวร์ Cactus ซึ่งอาจกลายเป็นภัยคุกคามสำคัญในปี 2025 ผู้เชี่ยวชาญแนะนำให้องค์กรต่างๆ เสริมสร้างมาตรการรักษาความปลอดภัย เช่น ใช้การยืนยันตัวตนหลายปัจจัย (MFA) ควบคุมการใช้ซอฟต์แวร์เข้าถึงระยะไกล และตรวจสอบการตั้งค่าการจัดเก็บข้อมูลบนคลาวด์เป็นประจำ นอกจากนี้ การฝึกอบรมพนักงานเกี่ยวกับกลยุทธ์ฟิชชิ่งและการโจมตีทางวิศวกรรมสังคมจะช่วยลดความเสี่ยงจากภัยคุกคามที่กำลังพัฒนาอย่างต่อเนื่อง
แหล่งข่าว https://www.infosecurity-magazine.com/news/attackers-exploit-microsoft-teams/
