เมื่อช่วงกลางเดือนกันยายน 2565 ที่ผ่านมา มีแคมเปญ Phishing ที่มีความเกี่ยวข้องกับ RMM Software เช่น ConnectWisre Control และ AnyDesk ซึ่งเป็น Software เกี่ยวกับการรีโมท หรือจัดการไฟล์ต่าง ๆ ซึ่งหน่วยงานรัฐบาลของสหรัฐอย่างน้อย 2 แห่งได้ตกเป็นเหยื่อการโจมตีของแคมเปญดังกล่าว
โดยการใช้ Remote software จากกลุ่มผู้โจมตี ถือเป็นเรื่องที่น่ากังวลมาก เนื่องจากช่องทางดังกล่าวเป็นช่องทางที่มีประสิทธิภาพในการสร้างการเข้าถึงได้โดยไม่จำเป็นต้องเพิ่มสิทธิ์ใด ๆ
คาดว่ากลุ่มผู้ไม่หวังดีอาจมีแรงจูงใจทางด้านการเงิน โดยหลังจากที่สามารถเข้าถึงระบบโดยไม่ได้รับอนุญาตได้แล้ว ก็จะดำเนินกิจกรรมที่เป็นอันตรายต่าง ๆ มากมาย พร้อมทั้งยังมีการนำข้อมูลอื่น ๆ เช่นช่องทางสำหรับการเข้าถึงระบบภายในไปขายให้กับกลุ่มอื่น ๆ อีกด้วย
ลักษณะการโจมตี
- ในการโจมตีทางกลุ่มจะมีการดำเนินการในรูปแบบ Social Engineering ในแบบ Helpdesk คือจะมีการส่ง Phishing email ที่มีรายละเอียดเกี่ยวกับการคืนเงิน ไปที่อีเมลของพนักงานของรัฐบาลกลางของสหรัฐอเมริกา โดยมีรายละเอียดการติดต่อกลับเพื่อให้พนักงานรายนั้นติดต่อกลับไปหาผู้โจมตี
- จากนั้นผู้โจมตีจะหลอกให้พนักงานรายนั้นเข้าไปยังโดเมนที่เป็นอันตราย เพื่อดาวน์โหลด RMM Software ในรูปแบบ Portable เข้ามาไว้ที่เครื่อง
- จากนั้นผู้โจมตีจะทำการหลอกลวงว่าจะดำเนินการคืนเงิน โดยใช้ RMM Software Remote ไปที่เครื่องของเหยื่อ และหลอกให้เหยื่อเข้าใช้งานระบบบัญชีธนาคาร และผู้โจมตีจะทำการแก้ไขข้อมูลหน้าสรุปบัญชี ให้เหมือนกับว่ามีเงินคืนเข้ามาแล้ว แต่จำนวนเกินกว่าที่คุยกันไว้
- จากนั้นผู้โจมตีจะบอกให้เหยื่อโอนส่วนที่เกินมานั้นคืนกลับไปให้ผู้โจมตี
นอกจากนี้ RMM Software ยังได้ถูกใช้เป็น Backdoor เพื่อแฝงตัวอยู่ในระบบ หรือใช้สำหรับสั่งการคำสั่งต่าง ๆ (C2) อีกด้วย
คำแนะนำ
- ควรมีการจัด Cybersecurity Awareness Training เพื่อสร้างความตระหนักเกี่ยวกับภัยคุกคามทางไซเบอร์ให้กับองค์กร
- ควรจำกัดสิทธิ์การใช้งานของ User เช่นไม่อนุญาตให้ดาวน์โหลดไฟล์จากภายนอกองค์กรเข้ามาไว้ที่เครื่อ
ที่มา : thehackernews
You must be logged in to post a comment.