Sophos ได้รายงานการโจมตีทางไซเบอร์รูปแบบใหม่ที่ผู้ไม่หวังดีใช้วิธีการแอบอ้างเป็นเจ้าหน้าที่ IT Support เพื่อโจมตีผ่านแพลตฟอร์ม Microsoft Teams โดยกลุ่มผู้โจมตีที่มีชื่อว่า STAC5143 และ STAC5777 ทาง Sophos เริ่มมีการสืบสวนตั้งแต่เดือนพฤศจิกายนและธันวาคม 2024 กลุ่มเหล่านี้ใช้ประโยชน์จากการตั้งค่า Default ของ Microsoft Teams ซึ่งอนุญาตให้ผู้ใช้งานจากโดเมนภายนอกองค์กรสามารถเริ่มการสนทนาหรือการประชุมกับผู้ใช้ภายในองค์กรได้โดยง่าย ทำให้สามารถเจาะเข้ามาในระบบได้โดยไม่ต้องมีการยืนยันตัวตน

กลุ่ม STAC5143 เป็นแฮกเกอร์ที่ยังไม่เคยถูกรายงานมาก่อน แต่ Sophos ระบุว่าอาจมีความเชื่อมโยงกับกลุ่มผู้โจมตีทางไซเบอร์ที่เป็นที่รู้จัก เช่น FIN7, Sangria Tempest หรือ Carbon Spider ซึ่งมีประวัติการโจมตีไซเบอร์ที่แยบยลและต่อเนื่อง โดยกลยุทธ์ของ STAC5143 เริ่มจากการส่งอีเมลจำนวนมหาศาล (email bombing) เพื่อเบี่ยงเบนความสนใจของเหยื่อ จากนั้นพวกเขาจะโทรติดต่อเหยื่อผ่าน Microsoft Teams โดยแอบอ้างเป็นเจ้าหน้าที่ IT Support เพื่อโน้มน้าวให้เหยื่อให้สิทธิ์ควบคุมหน้าจอ ซึ่งพวกเขาใช้โอกาสนี้ติดตั้งมัลแวร์ต่าง ๆ เช่น ไฟล์ JAR และ Python scripts ลงในเครื่องเหยื่อ

มัลแวร์เหล่านี้ทำหน้าที่ดาวน์โหลดโปรแกรมเพิ่มเติม เช่น ProtonVPN และ DLL ไฟล์ (nethost.dll) ที่เปิดช่องให้แฮกเกอร์รีโมทเครื่องของเหยื่อ และควบคุมได้อย่างสมบูรณ์ นอกจากนี้ Sophos ยังพบว่าผู้โจมตีใช้เครื่องมือ RPivot ซึ่งเป็นเครื่องมือที่ช่วยให้ผู้โจมตีสามารถส่งคำสั่งผ่านโปรโตคอล SOCKS4 และยังสามารถใช้ในการโจมตีแบบ ransomware ได้อีกด้วย

กลุ่ม STAC5777 ใช้กลยุทธ์ที่คล้ายกัน โดยเริ่มจากการส่งอีเมลสแปมจำนวนมาก จากนั้นจะติดต่อเหยื่อผ่าน Microsoft Teams โดยแอบอ้างเป็นเจ้าหน้าที่ IT Support เพื่อโน้มน้าวให้เหยื่อติดตั้ง Microsoft Quick Assist ซึ่งเป็นเครื่องมือที่ Microsoft ออกแบบมาให้เจ้าหน้าที่ IT Support ไว้ใช้รีโมทไปช่วยเหลือเครื่องของผู้ใช้งาน ทำให้เมื่อติดตั้งแล้วแฮกเกอร์ก็จะรีโมทมาควบคุมเครื่องของเหยื่อได้โดยตรง

ในกรณีนี้ Sophos พบว่ามีการติดตั้งมัลแวร์ที่โฮสต์อยู่บน Azure Blob Storage ซึ่งมัลแวร์ตัวนี้จะถูกซ่อนอยู่ในโปรแกรมของ Windows เช่น OneDriveStandaloneUpdater.exe อีกที และทำหน้าที่เป็น Keylogger ที่ดักจับการพิมพ์ เพื่อขโมยข้อมูลรหัสผ่าน และสแกนเครือข่ายเพื่อหาจุดโจมตีเพิ่มเติม

Sophos ระบุว่า STAC5777 มีความเกี่ยวข้องกับกลุ่ม Black Basta ซึ่งเป็นกลุ่ม ransomware ที่เคยมีประวัติการโจมตีองค์กรต่าง ๆ ในอดีต Sophos ยังได้สังเกตว่าผู้โจมตีในกรณีนี้พยายามเปิดไฟล์เอกสารและไฟล์ที่น่าจะมีรหัสผ่านเก็บอยู่ รวมถึงไฟล์ Remote Desktop Protocol (RDP) ด้วย

Sophos ได้เปิดเผยข้อมูลเพื่อเตือนให้องค์กรที่ใช้แพลตฟอร์ม Office 365 และ Microsoft Teams เพิ่มมาตรการป้องกันเนื่องจากในช่วงไม่กี่เดือนที่ผ่านมา พบว่ามีเหตุการณ์การโจมตีเพิ่มขึ้นอย่างมีนัยสำคัญ โดยเหตุการณ์การโจมตีมากกว่า 15 ครั้งในช่วง 3 เดือนที่ผ่านมา และครึ่งหนึ่งเกิดขึ้นในช่วง 2 สัปดาห์ล่าสุด ซึ่งแสดงถึงการเพิ่มความถี่ของการโจมตี

เพื่อป้องกันภัยคุกคามเหล่านี้ องค์กรควรดำเนินการปรับการตั้งค่าความปลอดภัย เช่น การปิดกั้นการติดต่อจากโดเมนภายนอก การปิดใช้งาน Quick Assist ในระบบที่สำคัญ และการฝึกอบรมพนักงานให้รู้วิธีการติดต่อฝ่าย IT Support ที่ถูกต้อง นอกจากนี้ยังควรกำหนดรายชื่อเครื่องมือที่อนุญาตให้ใช้ในองค์กรและเพิ่มมาตรการตรวจสอบความปลอดภัยเพื่อลดความเสี่ยงในการตกเป็นเหยื่อของกลุ่มผู้โจมตีเหล่านี้

ที่มา : itpro bleepingcomputer