Microsoft ได้ขัดขวางการโจมตีระลอกใหม่ของ Rhysida ransomware ในช่วงต้นเดือนตุลาคม ด้วยการเพิกถอน certificates กว่า 200 รายการ ที่ถูกใช้เพื่อรับรองตัวติดตั้ง Teams ที่เป็นอันตราย
กลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีดังกล่าวมีชื่อว่า Vanilla Tempest ได้ใช้โดเมนที่ลอกเลียนแบบ Microsoft Teams เช่น teams-install[.]top, teams-download[.]buzz, teams-download[.]top และ teams-install[.]run เพื่อเผยแพร่ไฟล์ MSTeamsSetup.exe ปลอม ซึ่งจะทำให้เหยื่อติดมัลแวร์ "Oyster backdoor"
การโจมตีเหล่านี้เป็นส่วนหนึ่งของแคมเปญ malvertising เมื่อช่วงปลายเดือนกันยายน ก็มีการใช้โฆษณาบน search engine และเทคนิค SEO poisoning เพื่อโปรโมตตัวติดตั้ง Microsoft Teams ปลอม ซึ่งจะทำการติดตั้งมัลแวร์ Oyster (หรือที่รู้จักกันในชื่อ Broomstick และ CleanUpLoader) เพื่อสร้าง backdoor บนอุปกรณ์ Windows
โฆษณา และโดเมนเหล่านั้นจะนำผู้ใช้ไปยังเว็บไซต์ที่ปลอมแปลงเป็นหน้าดาวน์โหลดของ Microsoft Teams เมื่อคลิกที่ลิงก์ดาวน์โหลด จะเป็นการดาวน์โหลดไฟล์ชื่อ "MSTeamsSetup.exe" ซึ่งเป็นชื่อไฟล์เดียวกันกับตัวติดตั้ง Microsoft Teams อย่างเป็นทางการ
เมื่อถูกเรียกใช้งาน ตัวติดตั้ง Teams ที่เป็นอันตรายจะเปิดโปรแกรม loader เพื่อติดตั้งมัลแวร์ Oyster ที่ผ่านการรับรองแล้ว ซึ่งจะทำให้ผู้ไม่หวังดีสามารถเข้าถึงระบบที่ติดมัลแวร์ได้จากระยะไกล และทำให้พวกเขาสามารถขโมยไฟล์ข้อมูล, เรียกใช้คำสั่ง และปล่อย payloads ที่เป็นอันตรายอื่น ๆ เพิ่มเติมได้
กลุ่ม Vanilla Tempest ได้ใช้ Oyster backdoor มาตั้งแต่เดือนมิถุนายน 2025 และเริ่มใช้บริการ Trusted Signing ควบคู่ไปกับบริการ code signing จาก SSL.com, DigiCert และ GlobalSign ตั้งแต่เดือนกันยายน 2025 เป็นต้นมา
มัลแวร์ตัวดังกล่าวถูกพบครั้งแรกในช่วงกลางปี 2023 และยังเคยถูกใช้ในการโจมตีของ Rhysida ครั้งก่อน ๆ เพื่อโจมตีระบบเครือข่ายขององค์กร โดยมักจะแพร่กระจายผ่าน malvertising ที่ปลอมแปลงเป็นเครื่องมือด้านไอที เช่น PuTTY และ WinSCP
Microsoft ระบุว่า "กลุ่ม Vanilla Tempest ที่บริษัทด้านความปลอดภัยอื่น ๆ เรียกกันในชื่อ VICE SPIDER และ Vice Society เป็นกลุ่มผู้ไม่หวังดีที่มีแรงจูงใจทางการเงิน โดยมุ่งเน้นไปที่การติดตั้ง ransomware และขโมยข้อมูลเพื่อนำไปข่มขู่เรียกไถ่"
"กลุ่มผู้ไม่หวังดีดังกล่าวเคยใช้ ransomware payloads หลากหลายประเภท รวมถึง BlackCat, Quantum Locker และ Zeppelin แต่ในช่วงหลังมานี้ได้หันมาติดตั้ง Rhysida ransomware เป็นหลัก"
กลุ่ม Vanilla Tempest ได้เริ่มเคลื่อนไหวมาตั้งแต่เดือนมิถุนายน 2021 โดยมักจะโจมตีองค์กรในภาคการศึกษา, สาธารณสุข, ไอที และภาคการผลิตอยู่บ่อยครั้ง ในขณะที่เคลื่อนไหวในชื่อ Vice Society เป็นที่รู้กันว่ากลุ่มผู้ไม่หวังดีรายนี้ใช้ ransomware หลายประเภท รวมถึง Hello Kitty/Five Hands และ Zeppelin ransomware
เมื่อสามปีที่แล้ว ในเดือนกันยายน 2022 หน่วยงาน FBI และ CISA ได้ออกประกาศเตือนร่วมกันว่ากลุ่ม Vice Society ได้มุ่งเป้าการโจมตีไปที่ภาคการศึกษาของสหรัฐฯ ในสัดส่วนที่สูงเป็นพิเศษ หลังจากที่แก๊งอาชญากรรมทางไซเบอร์กลุ่มนี้ได้โจมตีระบบของ Los Angeles Unified (LAUSD) ซึ่งเป็นเขตการศึกษาที่ใหญ่เป็นอันดับสองในสหรัฐอเมริกา
ที่มา : bleepingcomputer
You must be logged in to post a comment.