แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลใช้กลวิธี ClickFix เป็นอาวุธในแคมเปญมัลแวร์แบบกำหนดเป้าหมาย
แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลใช้กลวิธี ClickFix เป็นอาวุธในแคมเปญมัลแวร์แบบกำหนดเป้าหมาย
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐจากอิหร่าน เกาหลีเหนือ และรัสเซียได้นำเทคนิค “ClickFix” มาใช้ในแคมเปญส่งมอลแวร์ที่มีการวางแผนชัดเจนในช่วงปลายปี 2024 ถึงต้นปี 2025 เทคนิค ClickFix คือวิธีล่อหลอกให้เหยื่อคัดลอกและวางคำสั่งลงในระบบของตนเองโดยที่อยู่ภายใต้เหตุผลที่ดูเหมือนว่าจำเป็น เช่น การแก้ไขปัญหาหรือการยืนยันการลงทะเบียนอุปกรณ์ ซึ่งคำสั่งเหล่านี้จะนำไปสู่การดาวน์โหลดและรันไฟล์ที่เป็นอันตราย
ตัวอย่างจากกลุ่ม TA427 (หรือที่รู้จักในนาม Kimsuky) เริ่มต้นด้วยการส่งคำเชิญประชุมปลอมจากที่แสดงว่ามาจากนักการทูตญี่ปุ่น สร้างความเชื่อถือให้กับเหยื่อ จากนั้นจึงส่งไฟล์ PDF ที่มีลิงค์นำไปสู่หน้าเว็บไซต์ปลอมซึ่งชักชวนให้เหยื่อคัดลอกและรันคำสั่ง PowerShell คำสั่งดังกล่าวจะดึงโค้ดที่ติดตั้ง Trojan ชนิด Quasar RAT ผ่านกระบวนการติดตั้งหลายขั้นตอนที่ทำงานในพื้นหลัง
ในการโจมตีอีกแนวทางหนึ่ง กลุ่ม TA450 (หรือ MuddyWater) ใช้อีเมลฟิชชิ่งที่ปลอมแปลงเป็นการแจ้งเตือนอัปเดตรับรองความปลอดภัยจาก Microsoft โดยชักชวนให้เหยื่อรันคำสั่ง PowerShell ด้วยสิทธิ์ผู้ดูแลระบบ ซึ่งจะติดตั้งซอฟต์แวร์สำหรับการตรวจสอบและควบคุมจากระยะไกล (RMM) ที่ถูกนำไปดัดแปลงเพื่อใช้สกัดกั้นความปลอดภัยและขโมยข้อมูล จากทั้งสองกรณีนี้ ผู้โจมตีสามารถเปลี่ยนแปลงขั้นตอนการติดตั้งและการรันมัลแวร์โดยใช้วิธี ClickFix แทนการอัปโหลดไฟล์หรือการโจมตีแบบที่ตรวจจับได้ง่าย
นอกจากนี้ ยังมีรายงานว่าอีกกลุ่มที่สงสัยว่ามาจากรัสเซีย ภายใต้ชื่อ UNK_RemoteRogue ก็ได้นำเทคนิคเช่นเดียวกันนี้มาใช้ โดยส่งอีเมลล่อหลอกจากเซิร์ฟเวอร์ที่ถูกโจมตี (compromised Zimbra servers) ซึ่งลิงค์ในอีเมลจะพาเหยื่อไปยังหน้าที่มีคำแนะนำให้คัดลอกและวางคำสั่งในเทอร์มินัลเพื่อให้เข้าถึงระบบควบคุมแบบ Empire C2 framework
สรุปแล้ว การนำเทคนิค ClickFix มาใช้ในแคมเปญของกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐแสดงให้เห็นว่ากลยุทธ์ล่อหลอกผู้ใช้งานด้วยความละเอียดและการปรับเปลี่ยนกระบวนการติดตั้งมัลแวร์นั้นมีประสิทธิภาพมากพอที่จะถูกนำไปใช้งานในระดับชาติในอนาคต โดยมีแนวโน้มว่ากลุ่มอื่น ๆ ที่เกี่ยวข้องกับการโจมตีเชิงไซเบอร์ในระดับโลกอาจนำเทคนิคนี้มาใช้ร่วมกับกลยุทธ์ใหม่ ๆ เพื่อหลีกเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพในการแทรกซึมเข้าสู่ระบบของเหยื่อในระดับที่สูงขึ้น
ที่มา: Thehackernews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
ผู้ให้บริการระบบคลาวด์ที่ดีที่สุด 25 อันดับแรก (ทั้งแบบสาธารณะและส่วนตัว) ในปี 2025
เครื่องมือ Tor Oniux ใหม่ทำให้การรับส่งข้อมูลเครือข่ายของแอพ Linux ไม่ระบุตัวตน
การควบคุมแอพพลิเคชั่น Windows Defender ถูกข้ามไปโดยใช้ช่องโหว่ของเบราว์เซอร์ที่ใช้งานได้
BianLian และ RansomExx ใช้ประโยชน์จากช่องโหว่ SAP NetWeaver เพื่อติดตั้งโทรจัน PipeMagic
Admin และ 123456 ยังคงเป็นรหัสผ่านที่ถูกใช้งานมากที่สุดในการโจมตี FTP
