ขอใบเสนอราคา
นักวิจัยพบ การ Phishing และ Ransomware พุ่งสูงขึ้นมากช่วงตุลาคมที่ผ่านมา
Sarun_ss777
Sarun_ss777
ในช่วงเดือนตุลาคมที่ผ่านมา คุณอาจจะสังเกตได้ว่ามีข่าวด้านการหลอกลวงแบบ Phishing และการแพร่กระจายมัลแวร์เรียกค่าไถ่ หรือ Ransomware ที่มากกว่าปกติ โดยจากข้อมูลล่าสุดนี้จะพบว่า คุณไม่ได้กำลังคิดไปเอง
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงรายงานของทีมวิจัยจากบริษัท ANY.RUN บริษัทผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ ที่ได้ตรวจพบว่า ช่วงเดือนตุลาคมที่ผ่านมานั้นมีการตรวจพบแคมเปญหลอกลวงในรูปแบบ Phishing เพิ่มขึ้นมาก รวมทั้งมีการโจมตีของแรนซัมแวร์มากมายหลายสายพันธุ์มากขึ้นในเดือนเดียวกัน ซึ่งทั้ง 2 แคมเปญนั้นก็ได้พากันหันมาใช้แพลตฟอร์มที่มีความน่าเชื่อถือ เช่น Google, Figma และ ClickUp มาสร้างความเชื่อใจให้กับเหยื่อเพื่อที่จะนำไปสู่การขโมยข้อมูลสำคัญส่วนตัวเช่นรหัสผ่าน ขณะที่ทางฝั่งแรนซัมแวร์นั้น ก็มีการตรวจพบการกลับมาของแรนซัมแวร์เก่าแก่ LockBit ในเวอร์ชัน 5.0 ที่สามารถโจมตีได้กระทั่งตัวสภาพการทำงานจำลองอย่าง VMWare ซึ่งเป็นเครื่องมือในการจำลองคอมพิวเตอร์ หรือ Virtual Machine เป็นที่เรียบร้อยแล้ว
ภาพจาก : https://cybersecuritynews.com/rise-in-phishing-and-ransomware-attacks/
ในทางฝั่งของการหลอกลวงแบบ Phishing นั้น ทางทีมวิจัยพบว่าแฮกเกอร์ได้มีการใช้งานบริการแพลตฟอร์มที่มีความน่าเชื่อถือหลายอย่างตามที่กล่าวไว้ข้างต้นแล้ว ก็ยังมีการใช้งานแพลตฟอร์มบางตัวที่เกินความคาดหมายของเหยื่ออย่าง Google Career ซึ่งเป็นแพลตฟอร์มสำหรับการสมัครงานทำงานกับทาง Google โดยถึงแม้จะไม่ได้เป็นการใช้การทำงานโดยตรง แต่ก็เป็นการแอบอ้างที่แนบเนียนด้วยการสร้างแคมเปญที่แอบอ้างว่าเป็นข้อเสนองาน (Job Offers) ที่ถูกส่งมาจากทาง Google Career
นอกจากนั้น ในส่วนของการหลอกลวงแบบคลาสสิคอย่างการใช้อีเมล ก็ได้มีการนำเอาเครื่องมือที่น่าเชื่อถืออย่าง Salesforce ซึ่งเป็นเครื่องมือบริหารการขาย มาใช้ฟีเจอร์เปลี่ยนเป้าหมายการเยี่ยมชมของลิงก์ (Redirect) พร้อมเพิ่มความสมจริงด้วยการใช้งาน Cloudflare Turnstile CAPTCHAs จากทาง Cloudflare ตอกย้ำความน่าเชื่อถือของเว็บไซต์ ก่อนที่จะทำการขโมยข้อมูลรหัสผ่านต่าง ๆ ของเหยื่อผ่านทางโดเมนอย่าง satoshicommands[.]com
ภาพจาก : https://cybersecuritynews.com/rise-in-phishing-and-ransomware-attacks/
ไม่เพียงเท่านั้น งานวิจัยยังได้ระบุถึงการหลอกลวงเพื่อปล่อยมัลแวร์ และแคมเปญการโจมตีทางไซเบอร์อื่น ๆ ในรูปแบบการโจมตีเหยื่อแบบหลากขั้นตอน (Multi-Step Attack) ที่มีการใช้งานแพลตฟอร์มที่มีความน่าเชื่อถือสูงอย่าง Figma มาทำหน้าเพจปลอมในการหลอกลวงเหยื่อ โดยการโจมตีในรูปแบบนี้มักมุ่งเน้นไปยังเหยื่อที่เป็นกลุ่มองค์กรธุรกิจต่าง ๆ ซึ่งกลุ่มแฮกเกอร์ Storm-1747 ได้นำไปใช้บนแคมเปญขโมยข้อมูลของตนด้วยการใช้ลิงก์ของเพจปลอมที่สร้างจาก Figma แนบบอีเมลเพื่อฝ่าระบบป้องกันของอีเมล ซึ่งหลังจากที่เหยื่อกดลิงก์ Figma บนอีเมลแล้ว ก็จะพาไปยังหน้าเพจที่อยู่บน Figma ที่มีการใส่ลิงก์ลวงไว้อีกชั้น ด้วยลิงก์ก็จะพาไปยังหน้า Captcha แล้วหลังจากที่แก้ Captcha เสร็จ ลิงก์ก็จะพาไปยังหน้าล็อกอินปลอมในท้ายที่สุด
แหล่งข่าวยังได้มีการรายงานถึงการที่เครื่องมืออย่าง ClickUp ก็ได้มีการถูกนำเอามาใช้โดยแฮกเกอร์สำหรับการทำ Redirect ให้กับลิงก์หลอกลวงที่ส่งผ่านอีเมล ด้วยการพาเหยื่อไปยังหน้า doc.clickup[.]com ที่โดเมนมีความน่าเชื่อถือสูง ก่อนที่จะส่งเหยื่อไปยังหน้าโดเมนย่อยของทางไมโครซอฟท์ และคลังเก็บไฟล์ของ Azure Blob Storage ที่ถูกนำเอามาใช้งานเพื่อส่งไฟล์มัลแวร์ (Payload) ชุดสุดท้ายลงไปยังเครื่องของเหยื่อ นอกจากวิธีการเหล่านี้แล้ว ยังมีการตรวจพบการใช้งานเครื่องมือสำหรับช่วยทำ Phishing อย่าง TyKit ซึ่งถูกพัฒนาขึ้นในช่วงเดือนพฤษภาคมที่ผ่านมา แต่มีการใช้งานอย่างหนักในช่วงตุลาคม ซึ่งเครื่องมือดังกล่าวนั้นมีการซ่อนโค้ดสำหรับหลอกลวงระบบป้องกัน (Obfuscation) ไว้บนไฟล์รูปภาพสกุล .SVG ทั้งยังมีการป้องกันการถูกตรวจจับด้วยการเข้ารหัสแบบ Base-64 ที่จะพาเหยื่อไปยังหน้าล็อกอินหลอกของไมโครซอฟท์เพื่อขโมยรหัสผ่านของเหยื่อ อีกด้วย
สำหรับตัวแรนซัมแวร์นั้น ก็ได้มีกล่าวถึง LockBit 5.0 ซึ่งเป็นเวอร์ชันใหม่ที่สามารถโจมตีระบบปฏิบัติการอย่าง Linux และระบบการจำลองการทำงานของเครื่อง อย่าง VMware ESXi ได้แล้ว ซึ่งเหนือกว่าเวอร์ชันเก่าที่สามารถโจมตีได้แค่ระบบปฏิบัติการ Windows เท่านั้น โดยในเวอร์ชันใหม่นี้ยังได้มีการเสริมความสามารถในการทำ Obfuscation ที่เหนือกว่าเดิม, ความสามารถในการทำ DLL Reflection, และตามที่กล่าวไว้ข้างต้นสำหรับความสามารถในการโจมตี VMWare ที่ตัวมัลแวร์สามารถเข้ารหัสทั้งไฟล์ต่าง ๆ ที่อยู่บน VMWare และชุดข้อมูลของมันได้อย่างรวดเร็ว ซึ่งความสามารถใหม่ต่าง ๆ เหล่านี้ถูกสร้างขึ้นมาเพื่อใช้ในการโจมตีธุรกิจแนวศูนย์ข้อมูล (Data Center) โดยจากรายงานนั้นพบว่า สร้างความเสียหายในวงกว้างทั้งในเขตทวีปยุโรป, เอเชีย และอเมริกาเหนือ เป็นที่เรียบร้อยแล้ว
