งานวิจัยล่าสุดของ Fortinet ที่ FortiGuard Labs เน้นย้ำถึงแคมเปญฟิชชิงที่เพิ่งค้นพบ ซึ่งใช้ประโยชน์จากอีเมลที่ออกแบบอย่างพิถีพิถันเพื่อส่ง URL ที่เชื่อมโยงไปยังหน้าฟิชชิงที่น่าเชื่อถือ หน้าเหล่านี้ออกแบบมาเพื่อล่อลวงให้ผู้รับดาวน์โหลดไฟล์ JavaScript ที่ทำหน้าที่เป็นตัวดรอปเปอร์สำหรับ UpCrypter ซึ่งเป็นมัลแวร์ที่ท้ายที่สุดแล้วจะนำเครื่องมือการเข้าถึงระยะไกล (RAT) ต่างๆ มาใช้
เว็บไซต์ปลอมนี้ได้รับการปรับแต่งด้วยโดเมนอีเมลของเป้าหมาย ช่วยเพิ่มความน่าเชื่อถือ งานวิจัยล่าสุดอธิบายถึงห่วงโซ่การติดเชื้อที่ใช้วิธีการต่างๆ เพื่อล่อเหยื่อและส่งมอบ RAT หลายตัวได้สำเร็จ รวมถึง PureHVNC, DCRat และ Babylon RAT
จากงานวิจัยแสดงให้เห็นว่า ปัจจุบันผู้โจมตีสามารถสร้างอีเมลฟิชชิงและเว็บไซต์ปลอมได้อย่างง่ายดายโดยใช้เครื่องมือสำเร็จรูปที่พบได้ทางออนไลน์ เครื่องมือเหล่านี้ช่วยให้พวกเขาสร้างระบบที่สมบูรณ์เพื่อแพร่กระจายมัลแวร์ ไม่ใช่แค่การหลอกลวงแบบง่ายๆ
นี่ไม่ใช่แค่การขโมยข้อมูลล็อกอินอีเมลเท่านั้น เพราะเมื่อเข้าไปแล้ว ผู้โจมตีสามารถควบคุมระบบได้เป็นระยะเวลานาน ผู้ใช้และองค์กรควรให้ความสำคัญกับภัยคุกคามนี้อย่างจริงจัง ใช้ตัวกรองอีเมลที่แข็งแกร่ง และตรวจสอบให้แน่ใจว่าพนักงานได้รับการฝึกอบรมให้สามารถรับรู้และหลีกเลี่ยงการโจมตีประเภทนี้ได้
ความคิดเห็นเพิ่มเติมจากแหล่งผู้เชี่ยวชาญสองสามแห่งของฉันสามารถดูได้ด้านล่าง
Frankie Sclafani ผู้อำนวยการฝ่ายส่งเสริมความปลอดภัยทางไซเบอร์ at ดีพวอช
องค์กรต่างๆ ทั่วโลกจำเป็นต้องตระหนักว่าแคมเปญฟิชชิ่งของ UpCrypter เป็นภัยคุกคามที่ซับซ้อนและอันตรายอย่างยิ่ง นี่คือกระบวนการโจมตีแบบเบ็ดเสร็จที่ออกแบบมาเพื่อติดตั้งเพย์โหลดอันตรายแบบถาวรภายในเครือข่ายของคุณอย่างลับๆ
แคมเปญนี้ดำเนินการในระดับโลกอย่างแท้จริง FortiGuard Labs ระบุว่า ภายในเวลาเพียงสองสัปดาห์ จำนวนการตรวจจับเพิ่มขึ้นมากกว่าสองเท่า สะท้อนให้เห็นถึงรูปแบบการเติบโตที่รวดเร็วและรุนแรง โค้ดอันตรายถูกบดบังอย่างหนักและถูกแทรกด้วยโค้ดขยะจำนวนมากเพื่อปกปิดวัตถุประสงค์ มัลแวร์จะสแกนและรีสตาร์ทระบบหากตรวจพบเครื่องมือทางนิติวิทยาศาสตร์ โปรแกรมดีบัก หรือสภาพแวดล้อมของเครื่องเสมือน เช่น any.run หรือ Wireshark
UpCrypter ใช้ PowerShell และ .NET reflection เพื่อดำเนินการโจมตีขั้นถัดไปโดยตรงในหน่วยความจำโดยไม่ต้องเขียนข้อมูลสุดท้ายลงในดิสก์ นอกจากนี้ ข้อมูลโหลดเดอร์จะถูกส่งในสองรูปแบบ คือ ข้อความธรรมดา และฝังอยู่ในไฟล์ภาพโดยใช้เทคนิคสเตกาโนกราฟี เพื่อหลีกเลี่ยงการตรวจจับแบบคงที่ นอกจากนี้ แคมเปญนี้ยังนำเสนอเครื่องมือการเข้าถึงระยะไกล (RAT) ที่หลากหลาย เช่น PureHVNC, DCRat และ Babylon RAT ซึ่งช่วยให้ผู้โจมตีสามารถควบคุมระบบที่ถูกโจมตีจากระยะไกลได้อย่างสมบูรณ์
การฝึกอบรมพนักงานเป็นสิ่งสำคัญอย่างยิ่ง ตรวจสอบให้แน่ใจว่า WAF, ตัวกรองอีเมล, EDR และโปรแกรมป้องกันไวรัสของคุณได้รับการอัปเดตอยู่เสมอ เนื่องจากมัลแวร์จะถูกตรวจจับและบล็อกโดยเครื่องมือต่างๆ เช่น FortiGuard Antivirus ทีมรักษาความปลอดภัยที่ชาญฉลาดจะป้องกันการโจมตีเหล่านี้ในเชิงรุกโดยใช้บริการข่าวกรองภัยคุกคามและการใช้ตัวบ่งชี้การบุกรุก (Indicators of Compromise: IOC) ที่ให้ไว้
เพื่อหยุดยั้งสคริปต์อันตรายเช่นเดียวกับที่ใช้ในแคมเปญนี้ ทีมรักษาความปลอดภัยควรนำมาตรการควบคุมที่สำคัญหลายประการมาใช้ ซึ่งรวมถึงการบังคับใช้การลงนามสคริปต์ PowerShell และการใช้โหมด Constrained Language หากไม่จำเป็นสำหรับการดำเนินงานประจำวัน ให้จำกัดการทำงานของ PowerShell สำหรับผู้ใช้ทั่วไป โดยปรับนโยบายการทำงานให้เป็นการตั้งค่าที่เข้มงวดยิ่งขึ้น เช่น AllSigned หรือ RemoteSigned
อย่างไรก็ตาม การควบคุมที่มีประสิทธิภาพที่สุดที่คุณสามารถนำมาใช้ได้คือ Application Allowlisting การนำ Allowlist มาใช้จะช่วยให้ทีมรักษาความปลอดภัยสามารถป้องกันการทำงานของ JavaScript dropper ที่เป็นอันตรายและเพย์โหลด RAT ที่ตามมาได้ ช่วยลดภัยคุกคามได้ แม้ว่าผู้ใช้จะถูกหลอกให้ดาวน์โหลดไฟล์ก็ตาม
เจ. สตีเฟน โควสกี้, CTO ภาคสนามที่ SlashNext ความปลอดภัยอีเมล+
สิ่งที่สำคัญที่สุดที่ต้องเข้าใจคือ นี่ไม่ใช่การขโมยข้อมูลเพียงครั้งเดียว แต่มันเป็นการละเมิดระบบทั้งหมดที่สามารถแพร่กระจายอย่างเงียบๆ ภายในเครือข่ายของบริษัท
“ทีมต่างๆ ควรมุ่งเน้นไปที่การตรวจจับภัยคุกคามเหล่านี้ก่อนที่ผู้ใช้จะคลิก เนื่องจากการบล็อกที่ชั้นอีเมลและเว็บเป็นการป้องกันที่เร็วที่สุด การตรวจจับอัตโนมัติที่มองข้ามการบดบังในสคริปต์และเว็บไซต์ฟิชชิ่งถือเป็นกุญแจสำคัญ เพราะตัวกรองแบบเดิมมักจะพลาดเทคนิคที่ใช้ที่นี่
การฝึกอบรมพนักงานให้สามารถตรวจจับสิ่งล่อใจ เช่น ข้อความเสียงปลอมหรือคำขอสั่งซื้อได้นั้นมีประโยชน์ แต่การจับคู่กับการตรวจจับภัยคุกคามที่หยุดการดาวน์โหลดที่เป็นอันตรายได้แบบเรียลไทม์นั้นเป็นสิ่งที่สามารถป้องกันผู้โจมตีได้จริง
จอห์น แบมเบเนค ประธานบริษัท ที่ปรึกษา Bambenek
เหยื่อล่อฟิชชิ่งข้อความเสียงปลอมและใบแจ้งหนี้ปลอมยังคงเป็นที่นิยมในหมู่ผู้โจมตีเพียงเพราะมันได้ผลจริง อย่างไรก็ตาม ในกรณีนี้ การค้นหาลำดับเหตุการณ์ของการเปิดไฟล์แนบ HTML ในอีเมลที่นำไปสู่การใช้งาน PowerShell ช่วยให้ตรวจจับและป้องกันเหตุการณ์เหล่านี้ได้อย่างง่ายดายและรวดเร็ว (และหวังว่าจะป้องกันได้) ไม่ใช่ผู้ใช้ทุกคนจำเป็นต้องเข้าถึง PowerShell และไม่จำเป็นต้องเข้าถึงเมื่อลำดับเหตุการณ์เริ่มต้นจาก Outlook.exe