ผู้โจมตีกำลังฉวยโอกาสจากความไว้วางใจที่ผู้คนมีต่อเครื่องมือที่ใช้ในการทำงานในชีวิตประจำวันอีกครั้ง โดยมีการตรวจพบแคมเปญฟิชชิงรูปแบบใหม่ที่ใช้การแจ้งเตือนปลอมจาก Microsoft Teams เพื่อหลอกลวงให้พนักงานดาวน์โหลดเครื่องมือสำหรับเข้าถึงระบบจากระยะไกล (Remote Access Tool) ซึ่งจะทำให้ผู้โจมตีสามารถเข้าควบคุมระบบคอมพิวเตอร์ของเหยื่อได้อย่างสมบูรณ์
กระบวนการทำงานดังกล่าวได้รับการออกแบบมาอย่างพิถีพิถันเพื่อให้ดูน่าเชื่อถือในทุกขั้นตอน ส่งผลให้แคมเปญนี้มีความอันตรายเป็นพิเศษต่อองค์กรที่ต้องพึ่งพาแพลตฟอร์ม Teams ในการสื่อสารประจำวัน
แคมเปญนี้เริ่มต้นด้วยข้อความที่ดูเรียบง่ายแต่ดูมีความน่าเชื่อถือสูง โดยเหยื่อจะได้รับอีเมล หรือข้อความฟิชชิงที่ดูเหมือนส่งมาจากระบบของ Microsoft Teams เพื่อแจ้งเตือนว่าเอกสารบันทึกการประชุม (Meeting Transcript) หรือวิดีโอบันทึกการประชุม (Recording) พร้อมให้ดาวน์โหลดแล้ว
การสร้างสถานการณ์ที่เร่งรีบประกอบกับความคุ้นเคยในเนื้อหาของข้อความเหล่านี้ กระตุ้นให้ผู้ใช้งานจำนวนมากกดลิงก์ในทันทีโดยไม่ได้ไตร่ตรองให้ถี่ถ้วน และเมื่อผู้ใช้งานกดลิงก์ดังกล่าวแล้ว ก็จะถูกนำไปยังหน้าเว็บไซต์ปลอมที่ได้รับการออกแบบให้มีลักษณะเหมือนกับหน้าต่าง Interface จริงของ Microsoft Teams ทุกประการ
ทีมนักวิเคราะห์จาก Cyfirma ตรวจพบแคมเปญดังกล่าว และได้เผยแพร่รายงานโดยละเอียด ร่วมกับทาง Cyber Security News (CSN) ซึ่งเผยให้เห็นถึงวิธีการที่ผู้โจมตีใช้ในการสร้างปฏิบัติการที่มีความซับซ้อน และส่งผลกระทบในวงกว้าง
สิ่งที่ทำให้แคมเปญนี้มีความโดดเด่น ไม่ได้มีเพียงแค่การใช้สิ่งจูงใจที่น่าเชื่อถือเท่านั้น แต่ยังรวมถึงโครงสร้างพื้นฐานที่อยู่เบื้องหลัง ซึ่งเป็นการผสมผสานระหว่างการ Compromised Websites ร่วมกับการใช้บริการคลาวด์โฮสติ้งที่ผู้โจมตีควบคุมเอง เพื่อทำให้กิจกรรมต่าง ๆ ไม่ถูกตรวจจับ
เว็บไซต์ที่ถูก Compromised เหล่านี้ เป็นของธุรกิจที่มีอยู่จริง เช่น ร้านกาแฟ, สำนักงานกฎหมาย, สถานพยาบาล และสถานศึกษา ซึ่งกระจายอยู่ในประเทศต่าง ๆ รวมถึงสหรัฐอเมริกา, สหราชอาณาจักร, บราซิล, อินเดีย และรัสเซีย
การเลือกใช้ Domain ที่น่าเชื่อถือ ช่วยให้ผู้โจมตีสามารถหลบเลี่ยงระบบคัดกรองอีเมล รวมถึงการแจ้งเตือนของเบราว์เซอร์ ซึ่งหากเป็นกรณีปกติ ระบบเหล่านี้จะทำการแจ้งเตือน หรือระบุว่าเป็นลิงก์ที่น่าสงสัยในทันที
นอกจากนี้ ผู้โจมตียังใช้บริการเว็บโฮสติ้งเฉพาะทางผ่าน Cloudflare Workers และ Pages ควบคู่ไปกับการใช้ชื่อนามสกุลโดเมน เช่น .icu, .sbs และ .online เพื่อให้สามารถจัดเตรียมระบบ และเริ่มปฏิบัติการได้อย่างรวดเร็วโดยมีค่าใช้จ่ายต่ำ
ผลการวิเคราะห์อายุของโครงสร้างพื้นฐานแสดงให้เห็นว่า ปฏิบัติการนี้ไม่ใช่ความพยายามในระยะสั้น โดยพบว่าโครงสร้างพื้นฐานที่ถูกตรวจพบประมาณร้อยละ 56 มีอายุการใช้งานอยู่ในช่วง 3 ถึง 6 เดือน ซึ่งเป็นข้อบ่งชี้ว่าระยะการขยายระบบครั้งใหญ่ได้เริ่มต้นขึ้นในช่วงประมาณเดือนมีนาคม 2026
แคมเปญดังกล่าวยังคงได้รับการดูแล และปรับปรุงระบบอย่างต่อเนื่อง โดยมีการยืนยันการพบการจัดเตรียมระบบ และเริ่มปฏิบัติการระลอกใหม่ ณ ช่วงเวลาที่มีการวิเคราะห์ข้อมูล
Microsoft Teams Impersonation Campaign
เมื่อเหยื่อกดลิงก์ดาวน์โหลดบนหน้าเว็บเพจ Microsoft Teams ปลอมแล้ว จะได้รับไฟล์ติดตั้งสำหรับระบบปฏิบัติการ Windows ที่มี digital signed ถูกต้อง และเนื่องจากไฟล์ดังกล่าวได้รับการ signed โดยผู้พัฒนาซอฟต์แวร์ที่ถูกต้อง จึงส่งผลให้มีโอกาสน้อยมากที่เครื่องมือรักษาความปลอดภัยจะทำการตรวจจับ หรือแจ้งเตือนว่าเป็นไฟล์อันตราย
ไฟล์ดังกล่าวจะทำการติดตั้งเครื่องมือตรวจสอบ และจัดการระบบจากระยะไกล (Remote Monitoring and Management Tool หรือ RMM) แต่มีการตั้งค่าไว้ล่วงหน้าให้ทำการเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่ แทนที่จะเป็นเซิร์ฟเวอร์ที่ถูกต้อง
โปรแกรมติดตั้งดังกล่าวจะทำงานแบบเบื้องหลังโดยไม่แสดงหน้าต่างแจ้งเตือน พร้อมทั้งทำการคัดลอกไฟล์ลงใน Temp Directory ของผู้ใช้งาน และเรียกใช้ไฟล์ DLL ที่ถูกปรับแต่งขึ้นมาเฉพาะผ่านทาง Utilities ของระบบปฏิบัติการ Windows
นอกจากนี้ ตัวโปรแกรมยังมีการสอดแทรกวิธีเพื่อหลบเลี่ยงการตรวจสอบจากนักวิจัยด้านความปลอดภัย เช่น การตรวจสอบอุปกรณ์เชื่อมต่อผ่านพอร์ต USB, การตรวจจับโปรแกรมวิเคราะห์โค้ด และการหน่วงเวลาการทำงานของระบบให้ยาวนานขึ้น ซึ่งได้รับการออกแบบมาเพื่อรอให้สภาพแวดล้อมที่ใช้ในการวิเคราะห์พฤติกรรมมัลแวร์แบบอัตโนมัติ หมดเวลาการทำงานไปก่อน
ซึ่งกว่าที่ระบบจะสามารถตรวจจับ และแจ้งเตือนพฤติกรรมที่ผิดปกติใด ๆ ได้ ผู้โจมตีก็อาจสร้างช่องทางการเชื่อมต่อเข้าสู่ระบบคอมพิวเตอร์ของเหยื่อได้สำเร็จเป็นที่เรียบร้อยแล้ว
Multi-Layered Persistence and Credential Theft
สิ่งที่เกิดขึ้นหลังกระบวนการติดตั้งเสร็จสิ้นลง คือจุดเริ่มต้นของความเสียหายที่แท้จริง โดยผู้โจมตีจะทำการสร้างกลไกการแฝงตัวเพื่อคงสิทธิ์การเข้าถึงระบบไว้หลายชั้น เพื่อให้มั่นใจว่าจะยังคงสามารถรักษาช่องทางการเข้าถึงระบบเอาไว้ได้ แม้ว่าผู้ใช้งานจะทำการรีสตาร์ตเครื่อง หรือพยายามลบเครื่องมือดังกล่าวออกไปก็ตาม
จากนั้นระบบจะทำการสร้าง Windows Service ขึ้นมาใหม่ พร้อมตั้งค่าให้เริ่มต้นทำงานโดยอัตโนมัติ นอกจากนี้ยังมีการสร้างคีย์ Registry เพื่อให้มั่นใจว่าบริการดังกล่าวจะยังคงสามารถทำงานต่อไปได้ แม้ในกรณีที่ระบบถูกเปิดใช้งานใน Safe Mode with Networking ก็ตาม
นอกเหนือจากการรักษาช่องทางการเข้าถึงระบบแล้ว ผู้โจมตียังทำการ Register ไฟล์ไลบรารีสำหรับ Credential Provider DLL ไว้ภายในระบบ authentication ของ Windows ซึ่งทำให้ผู้โจมตีสามารถดักจับ Passwords ที่ถูกกรอกผ่านทาง Login Screen ได้โดยตรง
นอกจากนี้ ผู้โจมตียังทำการ Register LSA authentication package ซึ่งช่วยให้สามารถเข้าถึง subsystem ด้านความปลอดภัย เพื่อขโมย Credential พฤติการณ์เหล่านี้ไม่ใช่ลักษณะการทำงานของผู้โจมตีที่ฉวยโอกาสเพื่อหวังผลระยะสั้น แต่เป็นกลุ่มผู้โจมตีที่มีทรัพยากรสูง และมีวัตถุประสงค์ในระยะยาวอย่างชัดเจน
องค์กรต่าง ๆ ควรให้ความสำคัญกับระบบตรวจจับภัยคุกคามตามพฤติกรรม มากกว่าการพึ่งพาเพียงระบบตรวจสอบฐานข้อมูล Signature ของ Malware แต่เพียงอย่างเดียว นอกจากนี้ การจัดอบรมสร้างความตระหนักรู้ด้านภัยฟิชชิง โดยเฉพาะในส่วนที่เกี่ยวข้องกับเหยื่อล่อบนแพลตฟอร์มการทำงานร่วมกัน ซึ่งถือเป็นด่านป้องกันแรกที่มีความแข็งแกร่งอย่างยิ่ง
การบังคับใช้ระบบการยืนยันตัวตนแบบ MFA, การจำกัดสิทธิ์ในการติดตั้งซอฟต์แวร์ให้แก่ผู้ดูแลระบบเท่านั้น และการติดตั้งใช้งานเครื่องมือตรวจจับ และตอบสนองภัยคุกคามที่ Endpoint ล้วนเป็นขั้นตอนที่สำคัญยิ่งในการยกระดับความปลอดภัย
ทีมรักษาความปลอดภัยควรเฝ้าระวัง และตรวจสอบการสร้าง Windows Services ขึ้นมาใหม่, การเปลี่ยนแปลงใด ๆ ที่เกิดขึ้นกับแพ็กเกจ LSA รวมถึง Outbound Connections ที่ผิดปกติจากซอฟต์แวร์ที่เพิ่งติดตั้งใหม่ ทั้งนี้ หากพบระบบใดที่ต้องสงสัย จะต้องเข้าสู่กระบวนการตรวจสอบอย่างละเอียด และทำการ Reset พร้อมตั้งค่า Credential ใหม่ทั้งหมด ก่อนที่จะอนุญาตให้ระบบนั้นกลับมาใช้งานอีกครั้งตามปกติ
ที่มา : cybersecuritynews