🚨เตือน! พบการโจมตีแบบฟิชชิงผ่าน Microsoft Teams เพื่อติดตั้งมัลแวร์
-
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบรายงานภัยคุกคามทางไซเบอร์ โดยการใช้ Social Engineering ผ่านระบบสนทนาใน Microsoft Teams และเปิดช่องทางการเข้าถึงเครื่องคอมพิวเตอร์ จากนั้นผู้โจมตีจะติดตั้งมัลแวร์ประเภท Backdoor ที่เรียกว่า A0Backdoor
-
รายละเอียดเหตุการณ์
• ผู้โจมตีจะส่งอีเมลสแปมจำนวนมากไปยังเหยื่อ เพื่อสร้างสถานการณ์ว่าระบบอีเมลของเหยื่อมีปัญหา และจะติดต่อผ่าน Microsoft Teams โดยแอบอ้างเป็นเจ้าหน้าที่ฝ่าย IT เพื่อเปิดช่องทางการเข้าถึงเครื่องคอมพิวเตอร์ -
พฤติกรรมการโจมตี
• ผู้โจมตีจะส่งอีเมลสแปมจำนวนมากไปยังเหยื่อ เพื่อสร้างสถานการณ์ว่าระบบอีเมลของเหยื่อมีปัญหา และจะติดต่อผ่าน Microsoft Teams โดยแอบอ้างเป็นเจ้าหน้าที่ฝ่าย IT
• หลอกให้เหยื่อเปิดใช้งาน Quick Assist เพื่อให้ผู้โจมตีเข้าควบคุมเครื่อง
• หลังจากเข้าควบคุมครื่องได้แล้ว ผู้โจมตีจะติดตั้งไฟล์ (MSI) ที่เป็นอันตราย โดยไฟล์ดังกล่าวถูกโฮสต์ไว้บนคลาวด์ของ Microsoft ที่เป็นบัญชีส่วนบุคคลของผู้โจมตี
• ไฟล์ดังกล่าวจะปลอมแปลงเป็นส่วนประกอบของ Microsoft Teams และ CrossDeviceService ซึ่งเป็นเครื่องมือของ Windows
• เมื่อทำการติดตั้งแล้ว มัลแวร์ A0Backdoor จะเปิดช่องทางให้ผู้โจมตีเข้าควบคุมระบบ -
แนวทางป้องกันและลดความเสี่ยง
• กำหนดนโยบายจำกัดการติดต่อจาก บัญชี Microsoft Teams ภายนอกองค์กร
• หลีกเลี่ยงการเปิดใช้งาน Quick Assist หรือ Remote Access
• ตรวจสอบและติดตามการติดตั้งไฟล์ MSI หรือโปรแกรมที่ไม่ได้รับอนุญาต
• จำกัดสิทธิ์การติดตั้งซอฟต์แวร์ของผู้ใช้งานทั่วไป
• ใช้งานระบบ Endpoint Detection and Response (EDR) หรือระบบตรวจจับภัยคุกคามเพื่อเฝ้าระวังพฤติกรรมผิดปกติ -
แหล่งอ้างอิง (References)
• https://dg.th/ty86mhid20
หากมีบุคคลจะติดต่อผ่าน Microsoft Teams และอ้างว่าเป็นเจ้าหน้าที่ฝ่าย IT ควรตรวจสอบตัวตนผ่านช่องทางภายในองค์กรก่อนทุกครั้ง
-
