แคมเปญ Ransomware ใหม่มุ่งเป้าการโจมตีไปยังผู้ใช้งาน Microsoft Office 365

สรุปข้อมูล

พบสองแคมเปญแรนซัมแวร์ของแฮกเกอร์ที่ชื่อว่า STAC5143 และ STAC5777 มุ่งเป้าการโจมตีไปยังองค์กรต่าง ๆ ผ่าน Microsoft Office 365 และ Teams ซึ่งการโจมตีในครั้งนี้จะเน้นการใช้ email bombing และ vishing เพื่อโจมตีระบบและขโมยข้อมูลสำคัญขององค์กร โดยใช้ Microsoft Office 365 ของตนเองเป็นส่วนหนึ่งของการโจมตี และยังอาศัยการตั้งค่าของ Microsoft Teams ที่อนุญาตให้ผู้ใช้งานจากโดเมนภายนอกสามารถแชทหรือจัดประชุมกับผู้ใช้งานภายในองค์กรได้โดยตรง

รายละเอียดการโจมตี

1. เริ่มแรกแฮกเกอร์จะทำการ Email-bombing โดยการส่งอีเมลจำนวนมาก (มากกว่า 3,000 ฉบับ) ไปยังเหยื่อ
2. จากนั้น เหยื่อจะได้รับสายผ่าน Microsoft Teams จากบัญชีภายนอกองค์กรที่ชื่อว่า Help Desk Manager (เนื่องจากองค์กรดังกล่าวใช้ IT Service จากผู้ให้บริการภายนอก) การโทรนี้จึงไม่ได้สร้างความสงสัยหรือข้อกังวลใด ๆ เหยื่อจึงตอบรับการโทรวิดีโอดังกล่าว
3. แฮกเกอร์จะแนะนำเหยื่อให้ทำการติดตั้งและใช้งานเครื่องมือ Microsoft Quick Assist ในระหว่างการด้วย Teams แฮกเกอร์ได้แนะนำให้เหยื่ออนุญาตให้สิทธิ์ในการ Remote เมื่อผู้โจมตีควบคุมอุปกรณ์ได้แล้ว แฮกเกอร์ใช้เว็บเบราว์เซอร์เพื่อดาวน์โหลดมัลแวร์ ในบางกรณี ไฟล์มัลแวร์ถูกดาวน์โหลดโดยตรงจากเซิร์ฟเวอร์ของแฮกเกอร์ ซึ่งไฟล์มัลแวร์จะมี 2 ไฟล์ ได้แก่ kb641812-filter-pack-2024-1.dat และ kb641812-filter-pack-2024-2.dat จากนั้นแฮกเกอร์รวมไฟล์ .dat ทั้งสองเป็นไฟล์ pack.zip และแตกไฟล์นั้นโดยใช้เครื่องมือ tar.exe เพื่อดำเนินการโจมตีต่อไป
4. แฮกเกอร์จะสร้างไฟล์ Archive ลงใน AppData ของเหยื่อที่ OneDriveUpdate/upd2836a[.]bkt เพื่อแตกไฟล์มัลแวร์และ Playload ลงในโฟลเดอร์ /OneDriveUpdate
5. แฮกเกอร์จะใช้ไฟล์ winhttp.dll ที่เลียนแบบไฟล์ของ ESET เพื่อรวบรวมข้อมูลประจำตัว ข้อมูลระบบ และแป้นพิมพ์โดยการเปลี่ยนชื่อ เพื่อให้ไฟล์ดังกล่าวถูกโหลดเข้าสู่หน่วยความจำที่รันด้วยOneDriveStandaloneUpdater.exe ผ่าน DLL Search Order Hijacking

ผลกระทบจากการโจมตี

การโจมตีของแฮกเกอร์ที่ชื่อว่า STAC5143 และ STAC5777 ส่งผลกระทบอย่างรุนแรงต่อผู้ใช้งานและองค์กร เนื่องจากแฮกเกอร์จะปลอมตัวเป็นทีมงาน Help Desk และหลอกเหยื่อให้อนุมัติสิทธิ์ในการ Remote ทำให้แฮกเกอร์นั้นสามารถเข้าถึงเครื่องเหยื่อ เพื่อขโมยข้อมูลที่สำคัญขององค์กรหรือข้อมูลส่วนบุคคลของพนักงานและติดตั้งมัลแวร์ได้

สรุปการโจมตี

การโจมตีเริ่มต้นด้วย Email-bombing โดยการส่งอีเมลจำนวนมากกว่า 3,000 ฉบับไปยังเหยื่อ จากนั้นเหยื่อได้รับสายผ่าน Microsoft Teams จากบัญชีภายนอกที่ชื่อว่า "Help Desk Manager" ซึ่งทำให้เหยื่อไม่สงสัยและตอบรับการโทร โดยแฮกเกอร์จะแนะนำให้เหยื่อติดตั้ง Microsoft Quick Assist และอนุญาตให้สิทธิ์ในการ Remote จากนั้นแฮกเกอร์ดาวน์โหลดมัลแวร์ ต่อมาแฮกเกอร์จะใช้ไฟล์ winhttp.dll ที่เลียนแบบไฟล์ของ ESET เพื่อรวบรวมข้อมูลประจำตัว ข้อมูลระบบ และบันทึกการกดแป้นพิมพ์ โดยใช้เทคนิค DLL Search Order Hijacking ทำให้สามารถโหลดมัลแวร์ผ่าน OneDriveStandaloneUpdater.exe เพื่อดำเนินการโจมตีต่อเนื่องได้สำเร็จ

คำแนะนำ

• ตั้งค่า Microsoft Office 365 service ให้แชทและรับสายได้แค่ภายใน Domain เดียวกัน หากมีความจำเป็นต้องติดต่อจากภายนอก ให้อนุญาตเฉพาะ Domain ที่ได้รับการอนุมัติเท่านั้น
• จำกัดสิทธิ์การใช้งานโปรแกรม Remote เช่น Quick Assist เฉพาะผู้ใช้งานที่ได้รับอนุญาต หากไม่ต้องการให้มีการใช้งานโปรแกรมดังกล่าวให้ทำการ Block การใช้งานที่ Endpoint ทันที
• ทำการ Full-scan ที่ Endpoint ทุก ๆ สัปดาห์ เพื่อป้องกันไฟล์อันตราย

แหล่งอ้างอิง

Https://securityonline.info/stac5143-and-stac5777-new-ransomware-campaigns-target-microsoft-office-365-users/

https://news.sophos.com/en-us/2025/01/21/sophos-mdr-tracks-two-ransomware-campaigns-using-email-bombing-microsoft-teams-vishing/