อ้างอิงจากข่าวการรั่วไหลข้อมูลของ SANS Institute จากการโจมตีในลักษณะ Phishing ที่ไอ-ซีเคียวได้นำเสนอข่าวไปก่อนหน้า (ดูเพิ่มเติม https://www.facebook.com/isecure.mssp/posts/3556730897670969) เมื่อวานนี้ SANS Institute ได้ออกมาเปิดเผยรายละเอียดของการโจมตีแล้วผ่านทาง Webcast และทางบล็อก SANS Data Incident 2020
ไอ-ซีเคียวขอสรุปประเด็นเชิงเทคนิคเกี่ยวกับรูปแบบและลักษณะการโจมตีเป็นประเด็นดังนี้
อีเมลปลอมถูกส่งในหัวข้อ "Copy of sans July Bonus 24JUL2020.xls’ has been shared with <recipient>" ซึ่งแสดงให้เห็นถึงความพยายามปลอมแปลงการแชร์ไฟล์ในบริการ Office 365
อีเมลปลอมถูกส่งมาจาก no-reply@sharepointonline[.]com ซึ่งแสดงให้เห็นถึงความพยายามปลอมแปลงการแชร์ไฟล์ในบริการ Office 365 เช่นเดียวกัน
เมื่อเหยื่อเปิดไฟล์ที่แนบมากับอีเมล แอป Enable4Excel ซึ่งเป็น Office 365 add-in ที่ปลอมแปลงมาจากแอปของ Salesforce จะถูกติดตั้งในบัญชีของผู้ใช้งาน
แอป Enable4Excel เมื่อถูกติดตั้งแล้ว จะมีการตั้งค่า email forwarding rule ชื่อ "Anti Spam Ruke" โดยระบุคีย์เวิร์ดที่เกี่ยวข้องกับข้อมูลการเงินออกไป อีเมลที่ถูกส่งภายใต้ rule นี้นั้นจะถูกส่งไปที่ daemon@daemongr5yenh53ci0w6cjbbh1gy1l61fxpd[.]com
อ้างอิงจากความเห็นของ SANS เนื่องจากอีเมล Phishing ไม่มีข้อบ่งชี้ที่ระบุชัดเจนว่าต้องการจะโจมตี SANS Institute โดยตรง ทาง SANS จะเชื่อว่าเป้าหมายของการโจมตีนั้นเป็นข้อมูลธุรกรรมทางการเงินมากกว่า
สำหรับผู้อ่านที่ต้องการทราบข้อมูลและควรปฏิบัติเกี่ยวกับสถานการณ์นี้เพิ่มเติม แนะนำให้ตรวจสอบที่ https://www.sans.org/dataincident2020
ที่มา: sans.org