จากการติดมัลแวร์สู่การเข้าถึงระบบ : ไทม์ไลน์ 24 ชั่วโมงของแคมเปญ Stealer ในปัจจุบัน

ปัจจุบันมัลแวร์ Stealer ไม่เพียงขโมยรหัสผ่านอีกต่อไป ปัจจุบันมัลแวร์สามารถขโมยเซสชันที่กำลังใช้งานอยู่ และผู้โจมตีสามารถดำเนินการได้อย่างรวดเร็ว และมีประสิทธิภาพมากขึ้น

การวิจัยล่าสุดของ Flare ที่ชื่อว่า The Account and Session Takeover Economy ได้วิเคราะห์ Log จากมัลแวร์ Stealer กว่า 20 ล้านรายการ และติดตามพฤติกรรมของผู้ไม่หวังดีผ่าน channels Telegram และบน Dark Web ผลการวิเคราะห์เปิดเผยว่าผู้ไม่หวังดีใช้เครื่องของพนักงานที่ติดมัลแวร์เป็นช่องทางเข้ายึดเซสชันขององค์กรได้ภายในไม่ถึง 24 ชั่วโมงหลังการติดมัลแวร์

Timeline การโจมตีแบบ Session Hijacking ในปัจจุบัน

การติดมัลแวร์ และขโมยข้อมูลในไม่ถึงชั่วโมง

เมื่อเหยื่อเปิดไฟล์อันตรายที่มักปลอมเป็นซอฟต์แวร์เถื่อน หรือไฟล์แนบในอีเมลฟิชชิ่ง มัลแวร์ Stealer ยอดนิยมอย่าง Redline, Raccoon และ LummaC2 จะเข้าควบคุมเครื่องทันที

ความสามารถของเครื่องมือมัลแวร์เหล่านี้ เช่น

  • ดึงคุกกี้เบราว์เซอร์, ข้อมูล credentials ที่ถูก saved ไว้, Session Token และกระเป๋าเงินคริปโทเคอร์เรนซี
  • ส่งข้อมูลออกไปยังบอท Telegram หรือเซิร์ฟเวอร์ C2 Server โดยอัตโนมัติภายในไม่กี่นาที
  • ส่ง Log มากกว่า 16 ล้านรายการไปที่ช่อง Telegram โดยจัดเรียงตามประเภทเซสชัน, ตำแหน่ง และแอปพลิเคชัน

Session Token

ภายในไม่กี่ชั่วโมง ผู้ไม่หวังดีจะคัดกรองข้อมูลที่ขโมยมา โดยมุ่งเน้นไปที่ Session Token ที่มีมูลค่าสูง เช่น

  • 44% เป็นข้อมูล Session ของ Microsoft
  • 20% เป็นข้อมูล Session ของ Google
  • 5% เป็น Token ที่ถูกเปิดเผยจากบริการคลาวด์ AWS, Azure หรือ GCP

ผู้ไม่หวังดีใช้คำสั่งบอท Telegram เพื่อตรวจสอบ Log ตามตำแหน่ง, แอปพลิเคชัน และระดับสิทธิ์ โดยรายการขายใน Dark Web มีข้อมูล browser fingerprint และสคริปต์ล็อกอินสำเร็จรูปที่สามารถ Bypass การยืนยันตัวตนแบบหลายขั้นตอน (MFA) ได้

การเข้าถึงบัญชีเต็มรูปแบบได้ภายในไม่กี่ชั่วโมง

หลังจากได้ Session Token ผู้ไม่หวังดีจะนำไปใช้กับเบราว์เซอร์ที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับ ทำให้สามารถเข้าถึงระบบสำคัญขององค์กรได้อย่างไร้ร่องรอย โดยจะไม่ทริกเกอร์ MFA หรือการแจ้งเตือนการเข้าสู่ระบบ

นอกจากการละเมิดบัญชีส่วนบุคคล ผู้ไม่หวังดียังดำเนินการเจาะระบบขององค์กร โดยสามารถดำเนินการต่าง ๆ ดังนี้

  • เข้าถึงอีเมลธุรกิจ เช่น Microsoft 365 หรือ Gmail
  • เข้าใช้งานเครื่องมือภายในองค์กร เช่น Slack, Confluence หรือ admin dashboards
  • ขโมยข้อมูลสำคัญจากแพลตฟอร์มคลาวด์
  • ติดตั้งแรนซัมแวร์ หรือขยายขอบเขตการโจมตีภายในระบบ

Flare วิเคราะห์ Log ของ Stealer เพียงรายการเดียว แต่พบการเข้าถึงแบบใช้งานได้จริงไปยัง Gmail, Slack, Microsoft 365, Dropbox, AWS และ PayPal ทั้งหมดเชื่อมโยงกับเครื่องที่ติดมัลแวร์เพียงเครื่องเดียว ซึ่งหากตกไปอยู่ในมือของผู้ไม่หวังดี ระดับการเข้าถึงเซสชันแบบนี้อาจนำไปสู่การละเมิดความปลอดภัยครั้งใหญ่ได้ภายในเวลาไม่กี่ชั่วโมง

ที่มา : thehackernews