กลุ่มผู้โจมตีที่มีชื่อว่า ‘Elusive Comet’ มุ่งเป้าโจมตีไปยังผู้ใช้คริปโตเคอร์เรนซี โดยใช้เทคนิค Social Engineering ร่วมกับฟีเจอร์ remote control ของ Zoom เพื่อหลอกให้เหยื่อยินยอมให้เข้าถึงเครื่องคอมพิวเตอร์ของตน
ฟีเจอร์ remote control ของ Zoom ช่วยให้ผู้เข้าร่วมประชุมสามารถควบคุมคอมพิวเตอร์ของผู้ใช้งานรายอื่นได้
จากข้อมูลของบริษัทด้านความปลอดภัยทางไซเบอร์ Trail of Bits ซึ่งเป็นผู้ตรวจพบแคมเปญ social engineering นี้ โดยผู้โจมตีกลุ่มนี้จะใช้เทคนิคที่คล้ายกับกลุ่ม Lazarus ซึ่งเคยอยู่เบื้องหลังการขโมยคริปโตมูลค่า 1.5 พันล้านดอลลาร์ จาก Bybit
รายงานจาก Trail of Bits ระบุว่า “แนวทางของ ELUSIVE COMET แสดงให้เห็นถึงเทคนิคที่อยู่เบื้องหลังการโจมตี Bybit มูลค่า 1.5 พันล้านเหรียญสหรัฐฯ เมื่อเดือนกุมภาพันธ์ที่ผ่านมา ซึ่งผู้โจมตีได้ควบคุมการทำงานตามปกติของ workflows แทนการโจมตีผ่านช่องโหว่
แผนหลอกสัมภาษณ์ผ่าน Zoom
Trail of Bits ตรวจพบแคมเปญการโจมตีนี้หลังจากที่กลุ่มผู้โจมตีพยายามใช้เทคนิค Social Engineering กับ CEO ของบริษัท ผ่าน Direct Message บนแพลตฟอร์ม X
การโจมตีเริ่มต้นด้วยการเชิญเข้าร่วมสัมภาษณ์ภายใต้หัวข้อ “Bloomberg Crypto” ผ่าน Zoom โดยจะส่งคำเชิญไปยังเป้าหมายที่สำคัญผ่านบัญชีปลอมบน X หรือทางอีเมล เช่น bloombergconferences[@]gmail.com
บัญชีปลอมเหล่านี้แอบอ้างเป็นนักข่าวสายคริปโต หรือเป็นสื่อจาก Bloomberg และจะติดต่อเหยื่อผ่าน direct messages โดยตรงบนแพลตฟอร์มโซเชียลมีเดีย
คำเชิญเข้าร่วมการสัมภาษณ์จะถูกส่งผ่านลิงก์ Calendly เพื่อให้เป้าหมายเลือกเวลานัดสัมภาษณ์ผ่าน Zoom โดยที่ทั้งลิงก์ Calendly และลิงก์เชิญประชุม Zoom เป็นของจริง ซึ่งจะช่วยลดความสงสัยของเป้าหมาย
ระหว่างการประชุม Zoom ผู้โจมตีจะเริ่มแชร์หน้าจอ และส่งคำขอควบคุมเครื่อง (Remote Control) ไปยังเป้าหมาย
กลอุบายที่ใช้ในขั้นตอนนี้คือ ผู้โจมตีจะเปลี่ยนชื่อที่แสดงบน Zoom ของตนเองเป็นคำว่า “Zoom” ทำให้ข้อความแจ้งเตือนที่ปรากฏบนหน้าจอของเหยื่อขึ้นว่า “Zoom is requesting remote control of your screen” ซึ่งทำให้ดูเหมือนเป็นคำขอจากตัวแอป Zoom จริง ๆ ทำให้เหยื่อหลงเชื่อ และกดอนุญาต
อย่างไรก็ตาม การอนุญาตคำขอนั้นจะทำให้ผู้โจมตีสามารถควบคุมเครื่องของเหยื่อได้อย่างเต็มรูปแบบจากระยะไกล ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญ ติดตั้งมัลแวร์ เข้าถึงไฟล์ หรือแม้แต่ดำเนินการทำธุรกรรมที่เกี่ยวกับคริปโตได้ทันที
ผู้โจมตีอาจดำเนินการอย่างรวดเร็วเพื่อสร้างช่องทางเข้าถึงแบบถาวร (Persistent Access) โดยการฝัง Backdoor อย่างลับ ๆ เพื่อกลับมาใช้ในภายหลัง จากนั้นจึงตัดการเชื่อมต่อ ทำให้เหยื่อแทบไม่มีโอกาสรู้ตัวว่าระบบถูกโจมตี
Trail of Bits ระบุว่า สิ่งที่ทำให้การโจมตีนี้อันตรายเป็นพิเศษ คือหน้าต่างการขออนุญาตที่ดูคล้ายกับการแจ้งเตือนทั่วไปของ Zoom ซึ่งดูเหมือนไม่เป็นอันตราย
“ผู้ใช้ที่คุ้นชินกับการกด ‘Approve’ ในข้อความแจ้งเตือนของ Zoom อาจเผลอให้สิทธิ์การควบคุมเครื่องแบบเต็มรูปแบบโดยไม่รู้ตัวถึงผลกระทบที่ตามมา”
เพื่อป้องกันภัยคุกคามนี้ Trail of Bits แนะนำให้ใช้นโยบาย Privacy Preferences Policy Control (PPPC) ทั้งระบบ ซึ่งจะช่วยป้องกันไม่ให้แอป หรือบุคคลที่ไม่ได้รับอนุญาตเข้าถึงสิทธิ์ด้าน Accessibility
บริษัท Trail of Bits แนะนำว่า ในส่วนของ environments ที่ให้ความสำคัญในด้านความปลอดภัย หรือองค์กรที่เกี่ยวข้องกับทรัพย์สินดิจิทัลมูลค่าสูง ควรถอนการติดตั้ง Zoom ออกจากระบบทั้งหมด
Trail of Bits ระบุว่า “สำหรับองค์กรที่ต้องจัดการกับข้อมูลที่มีสำคัญเป็นพิเศษ หรือการทำธุรกรรมสกุลเงินดิจิทัล การลดความเสี่ยงโดยการลบโปรแกรม Zoom ออกทั้งหมด ซึ่งจะมีความปลอดภัยมากกว่าความไม่สะดวกในเรื่องการใช้งาน โดยควรเปลี่ยนไปใช้ Zoom ผ่านเว็บเบราว์เซอร์แทน”
ที่มา : bleepingcomputer
You must be logged in to post a comment.