กลุ่มแฮ็กเกอร์สัญชาติอิหร่าน ใช้เทคนิคการ phishing รูปแบบใหม่ที่มีความซับซ้อนมากขึ้น โดยการใช้บัญชีอีเมลหลายบัญชี เพื่อที่จะหลอกล่อให้เหยื่อเชื่อว่ากำลังสนทนาอยู่กับบุคคลจริง ๆ
โดยผู้โจมตีจะส่งอีเมลไปยังเหยื่อ และ CC บัญชีอีเมลอื่น ๆ ที่ถูกควบคุมโดยผู้โจมตีเช่นเดียวกัน จากนั้นก็จะทำการตอบกลับอีเมลเหล่านั้น ให้ดูเหมือนมีส่วนร่วมในบทสนทนาของอีเมลดังกล่าว การปลอมเป็นบุคคลอื่น ๆ หลายบุคคลในรูปแบบนี้ ถูกพบโดยนักวิจัยจาก Proofpoint ซึ่งเทคนิคนี้ใช้ประโยชน์จากหลักการทางจิตวิทยา เพื่อเพิ่มองค์ประกอบของความน่าเชื่อถือของอีเมล Phishing ดังกล่าว
โดยกลุ่ม TA345 ที่คาดว่ามีส่วนเกี่ยวข้องกับ IRGC (Islamic Revolutionary Guard Corps) ที่ก่อนหน้านี้เคยได้ปลอมตัวเป็นนักข่าวเพื่อที่จะได้เข้าถึงนักวิชาการ และผู้เชี่ยวชาญด้านนโยบายในตะวันออกกลาง
การปลอมแปลงเป็นหลายบุคคล
กลุ่ม TA345 ได้มีการวางแผนการอย่างละเอียด และต้องใช้ความพยายามเป็นอย่างมาก เพราะทุกเป้าหมายในการโจมตีจะต้องคิดว่าเป็นการสนทนาที่สมจริงจากบุคคลที่ตั้งขึ้นมาหลอก ๆ หรือที่เรียกกันว่า Sock Puppets
ตัวอย่างอีเมลที่ทาง Proofpoint รายงานเมื่อเดือน มิถุนายน 2022 ที่ผ่านมา ผู้โจมตีได้ปลอมตัวเป็นผู้อำนวยการฝ่ายวิจัยที่ FRPI ส่งอีเมลไปยังเหยื่อ และได้มีการ CC ผู้อำนวยการฝ่ายวิจัยทัศนคติทั่วโลกที่ศูนย์วิจัย PEW โดยวันต่อมา ผู้อำนวยการฝ่ายวิจัยทัศนคติทั่วโลกที่ศูนย์วิจัย PEW ได้ทำการตอบกลับ Email ดังกล่าว ทำให้เหยื่อเข้าใจผิด และเข้าไปร่วมตอบการสนทนาดังกล่าว
ในอีกกรณีหนึ่งที่พบจาก Proofpoint เกี่ยวข้องกับนักวิทยาศาสตร์ที่เชี่ยวชาญด้านจีโนม ได้ CC ไปยังบุคคลหนึ่ง และบุคคลนั้นได้ตอบกลับอีเมลด้วยลิงก์จาก OneDrive ที่นำไปสู่การดาวน์โหลดเอกสาร DOCX ที่มีมาโครที่เป็นอันตรายแนบมาด้วย
ครั้งที่สามทางกลุ่ม TA453 ได้โจมตีไปยังนักวิชาการสองคนที่เชี่ยวชาญด้านการควบคุมอาวุธนิวเคลียร์ โดยผู้โจมตีได้ CC บุคคลอีกสามคน ซึ่งยิ่งทำให้ดูสมจริงมากยิ่งขึ้น
โดยทุกเคสที่กล่าวมาข้างต้นผู้โจมตีจะใช้ Account ที่อยู่บน (Gmail, Outlook, AOL, Hotmail) สำหรับทั้งผู้ส่ง และบุคคลที่จะ CC ด้วยชื่อจากสถาบันที่แอบอ้าง ซึ่งเป็นสัญญาณที่ชัดเจนของพฤติกรรมที่ผิดปกติ
เอกสารจากเหตุการณ์ล่าสุดที่ทางกลุ่ม TA453 หลอกให้เป้าหมายดาวน์โหลดผ่าน Link google drive นั้นเป็นไฟล์ที่มีการใส่รหัสผ่าน ซึ่งจะมีการแทรกเทมเพลตที่อันตราย ซึ่งเทมเพลตที่จะต้องดาวน์โหลดมีชื่อว่า Korg โดย Proofpoint พบว่ามีมาโครสามตัว ได้แก่ Module1.bas, Module2.bas และ ThisDocument.cls" และให้รายละเอียดเพิ่มเติมว่า มาโครดังกล่าวเป็นมาโครที่ใช้รวบรวมข้อมูลอย่างเช่น ชื่อผู้ใช้งาน, รายละเอียด Processes ที่ทำงานอยู่ และ IP ของผู้ใช้งานจาก My-ip.io จากนั้นจะทำการนำข้อมูลออกมาโดย Telegram API
โดยนักวิจัยแจ้งว่ายังไม่พบการสอดแนมข้อมูล หรือสัญญาณเตือนอื่น ๆ แต่สันนิษฐานว่ามีการแสวงหาผลประโยชน์เพิ่มเติมโดยการติดตั้งระบบควบคุมระยะไกลที่สามารถเรียกใช้โค้ดอันตรายบนเครื่องเหยื่อได้ในภายหลัง
ที่มา : bleepingcomputer
You must be logged in to post a comment.