แคมเปญ Phishing ที่ใช้ HubSpot โจมตีไปยังบัญชี Azure กว่า 20,000 รายการ

พบแคมเปญ Phishing ที่มุ่งเป้าหมายการโจมตีไปยังบริษัทผู้ผลิตยานยนต์ เคมีภัณฑ์ และอุตสาหกรรมในเยอรมนี และสหราชอาณาจักร โดยใช้ HubSpot เพื่อขโมย credentials ของบัญชี Microsoft Azure

โดยกลุ่ม Hacker ได้ใช้ลิงก์ HubSpot Free Form Builder และ PDF ที่เลียนแบบ DocuSign เพื่อเปลี่ยนเส้นทางของเหยื่อไปยังเว็บไซต์ Phishing เพื่อขโมยข้อมูล credentials

ตามรายงานของทีมนักวิจัย Unit 42 ของ Palo Alto Networks พบแคมเปญ Phishing ดังกล่าวมาตั้งแต่เดือนมิถุนายน 2024 และยังคงดำเนินการอยู่จนถึงเดือนกันยายน 2024 ซึ่งขโมย Azure account ไปแล้วประมาณ 20,000 บัญชี

ใช้ HubSpot เพื่อรวบรวมข้อมูล Credentials
**

HubSpot เป็นแพลตฟอร์มการจัดการลูกค้าสัมพันธ์ (CRM) ซึ่งถูกใช้ในระบบการตลาดอัตโนมัติ, การขาย, การบริการลูกค้า, การวิเคราะห์ และการสร้างเว็บไซต์ และ landing pages
**

Form Builder เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้สามารถสร้างแบบฟอร์มออนไลน์ที่กำหนดเองเพื่อรวบรวมข้อมูลจากผู้เยี่ยมชมเว็บไซต์

นักวิจัย Unit 42 พบว่า Hacker ได้ใช้ HubSpot Form Builder เพื่อสร้างแบบฟอร์มหลอกลวงอย่างน้อย 17 แบบ เพื่อล่อลวงเหยื่อให้กรอกข้อมูล credentials ที่มีความสำคัญในโดเมน '.buzz' ซึ่งเลียนแบบหน้าเข้าสู่ระบบของ Microsoft Outlook Web App และ Azure

รวมถึง Hacker ยังใช้เว็บไซต์ที่เลียนแบบระบบการจัดการเอกสารของ DocuSign สำนักงานรับรองเอกสารของฝรั่งเศส และพอร์ทัลการเข้าสู่ระบบเฉพาะองค์กรในการโจมตีด้วย

โดยต่อมาเหยื่อจะถูกส่งต่อไปยังหน้าเว็บไซต์เหล่านั้นโดย phishing messages ที่มีโลโก้ DocuSign ซึ่งมี links ไปยัง HubSpot โดยเป็น PDF ที่แนบมา หรือ HTML ที่ฝังไว้ในเมล์

เนื่องจากอีเมลทั่วไปมองว่าการแนบ links ไปยัง HubSpot ไม่เป็นอันตราย จึงทำให้ email security tools จะไม่ระบุว่า links เหล่านั้น มีแนวโน้มที่จะเป็น Phishing Email ทำให้จะสามารถเข้าถึงกล่องจดหมายของเป้าหมายได้มากกว่า เนื่องจากไม่ผ่านการตรวจสอบจาก Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) และ Domain-based Message Authentication, Reporting, และ Conformance (DMARC)

สิ่งที่เกิดขึ้นหลังการโจมตีสำเร็จ

นักวิจัย Unit 42 พบว่าหลังจากโจมตีด้วย Phishing Campaign สำเร็จ Hacker จะใช้ VPN เพื่อทำให้ดูเหมือนว่าตั้งอยู่ในประเทศขององค์กรที่ตกเป็นเหยื่อ และหากฝ่ายไอทีพยายามกลับมาควบคุมบัญชีดังกล่าว Hacker ก็จะเริ่มต้นการรีเซ็ตรหัสผ่านทันทีเพื่อพยายามที่จะเข้าควบคุมบัญชีอีกครั้ง

โดยทั้งนี้แม้ว่าเซิร์ฟเวอร์ส่วนใหญ่ที่ทำหน้าที่เป็น backbone ของแคมเปญ Phishing จะออฟไลน์ไปนานแล้ว แต่การดำเนินการดังกล่าวก็ยังนับว่าเป็นตัวอย่างของการโจมตีของแคมเปญที่พบ เนื่องจาก Hacker พยายามจะค้นหาช่องทางใหม่ ๆ เพื่อหลีกเลี่ยงเครื่องมือด้านความปลอดภัยอยู่เสมอ

ที่มา : bleepingcomputer

 

 

 

 

แคมเปญการโจมตีอีเมล์ฟิชชิ่ง DocuSign มุ่งเป้าไปที่พนักงานระดับปฏิบัติการ

ปัจจุบันกลุ่มผู้โจมตีฟิชชิ่งกำลังเปลี่ยนการกำหนดเป้าหมายการโจมตีอีเมลฟิชชิงเป็นกลุ่มพนักงานทั่วไปแทนกลุ่มผู้บริหารระดับสูง เพราะบุคคลกลุ่มนี้ก็ยังเป็นกลุ่มที่สามารถเข้าถึงระบบ หรือข้อมูลที่สำคัญภายในองค์กรได้

จากรายงานของนักวิจัยจาก Avanan พบว่าครึ่งหนึ่งของอีเมลฟิชชิ่งทั้งหมดที่ได้ทำการวิเคราะห์ในช่วงไม่กี่เดือนที่ผ่านมา มีการแอบอ้างเป็นพนักงานทั่วไปของบริษัทโดย 77% ของเป้าหมายในการส่งอีเมลฟิชชิ่ง จะเป็นการส่งไปยังพนักงานในระดับเดียวกัน ซึ่งก่อนหน้านี้ส่วนใหญ่อีเมลฟิชชิ่งจะถูกปลอมแปลงเป็นอีเมลที่ส่งจากผู้บริหารระดับสูง (Chief Executive Officer (CEO)) และ ผู้บริหารสูงสุดทางด้านการเงิน (Chief Financial Officer (CFO)) โดยมีเป้าหมายเพื่อหลอกให้พนักงานทั่วไปในบริษัทให้หลงเชื่อ เนื่องจากเป็นอีเมลที่มาจากผู้บริหารระดับสูง หรือผู้บังคับบัญชาจะยิ่งเพิ่มโอกาสให้ผู้รับหลงเชื่อข้อความในอีเมลเหล่านั้นได้ง่ายขึ้น แต่ปัจจุบันในกลุ่มผู้บริหารระดังสูงมีการเพิ่มความระมัดระวังมากขึ้น และองค์กรขนาดใหญ่มีการเพิ่มการป้องกันความปลอดภัยสำหรับบัญชีที่สำคัญเพิ่มขึ้นอีกด้วย จึงทำให้ผู้โจมตีเปลี่ยนเป้าหมายในการปลอมแปลงอีเมลเป็นกลุ่มของพนักงานทั่วไปแทน

จากรายงานของทาง Avanan ระบุว่าผู้โจมตีใช้เทคนิคในการโจมตีโดยอาศัย Docusign ซึ่งเป็นแพลตฟอร์มระบบจัดการลายมือชื่ออิเล็กทรอนิกส์ หรือ e-Signature ที่สามารถระบุตัวตนผู้ทำธุรกรรมกับเอกสารหรือข้อมูลอิเล็กทรอนิกส์บนคลาวด์ที่ถูกต้องตามกฎหมาย

ผู้โจมตีใช้ DocuSign เป็นทางเลือกเพื่อหลอกลวงให้ผู้รับลงลายมือชื่ออิเล็กทรอนิกส์สำหรับเอกสารจากอีเมลที่ทำการส่ง และขอให้ผู้รับป้อนข้อมูลประจำตัวเพื่อเปิดดูเอกสารและลงชื่อ

แม้ว่าอีเมลจะถูกสร้างมาเพื่อให้ดูเหมือนว่าเป็นข้อความที่ถูกต้องจาก Docusign แต่อีเมลเหล่านั้นไม่ได้ถูกส่งจากแพลตฟอร์ม เพราะหากเป็นอีเมลจริงของ DocuSign ผู้ใช้จะไม่ถูกขอให้ป้อนรหัสผ่าน แต่จะส่งอีเมลรหัสการตรวจสอบสิทธิ์ไปยังผู้รับแทน ด้วยความเร่งรีบในการทำงานประจำวัน มีแนวโน้มว่าพนักงานหลายคนอาจถูกหลอกโดยข้อความเหล่านี้ และเข้าใจว่าข้อความนี้เป็นคำขอจาก DocuSign จริง และทำการป้อนข้อมูลที่สำคัญลงไปทำให้ข้อมูลเหล่านั้นถูกส่งต่อให้กับผู้โจมตี

ดังนั้นเมื่อผู้ใช้ได้รับอีเมล สิ่งสำคัญคือต้องใช้เวลาและประเมินอีเมลเพื่อหาสัญญาณของการหลอกลวง รวมถึงไฟล์แนบที่ไม่พึงประสงค์ การสะกดคำผิด และการคำขอให้ทำการป้อนข้อมูลประจำตัวลงในอีเมลถือว่าเป็นสิ่งสำคัญในการพิจารณา

การโจมตีฟิชชิ่งโดยการอาศัย Docusign นั้นไม่ใช่เรื่องใหม่ และถูกใช้โดยผู้โจมตีจำนวนมากเพื่อขโมยข้อมูลสำหรับการเข้าสู่ระบบ และการแพร่กระจายมัลแวร์ โดยในช่วงเดือนสิงหาคม 2019 ผู้โจมตีใช้ DocuSign landing pages took พยายามหลอกล่อให้ผู้ใช้งานป้อนข้อมูลประจำตัวที่สำคัญสำหรับบริการอีเมลทั้งหมดของผู้ใช้

ที่มา : bleepingcomputer

Qakbot Malware is Targeting the Users Via Malicious Email Campaign

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews