แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลใช้กลวิธี ClickFix เป็นอาวุธในแคมเปญมัลแวร์แบบกำหนดเป้าหมาย
แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลใช้กลวิธี ClickFix เป็นอาวุธในแคมเปญมัลแวร์แบบกำหนดเป้าหมาย
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐจากอิหร่าน เกาหลีเหนือ และรัสเซียได้นำเทคนิค “ClickFix” มาใช้ในแคมเปญส่งมอลแวร์ที่มีการวางแผนชัดเจนในช่วงปลายปี 2024 ถึงต้นปี 2025 เทคนิค ClickFix คือวิธีล่อหลอกให้เหยื่อคัดลอกและวางคำสั่งลงในระบบของตนเองโดยที่อยู่ภายใต้เหตุผลที่ดูเหมือนว่าจำเป็น เช่น การแก้ไขปัญหาหรือการยืนยันการลงทะเบียนอุปกรณ์ ซึ่งคำสั่งเหล่านี้จะนำไปสู่การดาวน์โหลดและรันไฟล์ที่เป็นอันตราย
ตัวอย่างจากกลุ่ม TA427 (หรือที่รู้จักในนาม Kimsuky) เริ่มต้นด้วยการส่งคำเชิญประชุมปลอมจากที่แสดงว่ามาจากนักการทูตญี่ปุ่น สร้างความเชื่อถือให้กับเหยื่อ จากนั้นจึงส่งไฟล์ PDF ที่มีลิงค์นำไปสู่หน้าเว็บไซต์ปลอมซึ่งชักชวนให้เหยื่อคัดลอกและรันคำสั่ง PowerShell คำสั่งดังกล่าวจะดึงโค้ดที่ติดตั้ง Trojan ชนิด Quasar RAT ผ่านกระบวนการติดตั้งหลายขั้นตอนที่ทำงานในพื้นหลัง
ในการโจมตีอีกแนวทางหนึ่ง กลุ่ม TA450 (หรือ MuddyWater) ใช้อีเมลฟิชชิ่งที่ปลอมแปลงเป็นการแจ้งเตือนอัปเดตรับรองความปลอดภัยจาก Microsoft โดยชักชวนให้เหยื่อรันคำสั่ง PowerShell ด้วยสิทธิ์ผู้ดูแลระบบ ซึ่งจะติดตั้งซอฟต์แวร์สำหรับการตรวจสอบและควบคุมจากระยะไกล (RMM) ที่ถูกนำไปดัดแปลงเพื่อใช้สกัดกั้นความปลอดภัยและขโมยข้อมูล จากทั้งสองกรณีนี้ ผู้โจมตีสามารถเปลี่ยนแปลงขั้นตอนการติดตั้งและการรันมัลแวร์โดยใช้วิธี ClickFix แทนการอัปโหลดไฟล์หรือการโจมตีแบบที่ตรวจจับได้ง่าย
นอกจากนี้ ยังมีรายงานว่าอีกกลุ่มที่สงสัยว่ามาจากรัสเซีย ภายใต้ชื่อ UNK_RemoteRogue ก็ได้นำเทคนิคเช่นเดียวกันนี้มาใช้ โดยส่งอีเมลล่อหลอกจากเซิร์ฟเวอร์ที่ถูกโจมตี (compromised Zimbra servers) ซึ่งลิงค์ในอีเมลจะพาเหยื่อไปยังหน้าที่มีคำแนะนำให้คัดลอกและวางคำสั่งในเทอร์มินัลเพื่อให้เข้าถึงระบบควบคุมแบบ Empire C2 framework
สรุปแล้ว การนำเทคนิค ClickFix มาใช้ในแคมเปญของกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐแสดงให้เห็นว่ากลยุทธ์ล่อหลอกผู้ใช้งานด้วยความละเอียดและการปรับเปลี่ยนกระบวนการติดตั้งมัลแวร์นั้นมีประสิทธิภาพมากพอที่จะถูกนำไปใช้งานในระดับชาติในอนาคต โดยมีแนวโน้มว่ากลุ่มอื่น ๆ ที่เกี่ยวข้องกับการโจมตีเชิงไซเบอร์ในระดับโลกอาจนำเทคนิคนี้มาใช้ร่วมกับกลยุทธ์ใหม่ ๆ เพื่อหลีกเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพในการแทรกซึมเข้าสู่ระบบของเหยื่อในระดับที่สูงขึ้น
ที่มา: Thehackernews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
เหตุใดทีม SOC ชั้นนำจึงหันมาใช้ Network Detection and Response
แพ็กเกจ npm ปลอมเลียนแบบ Telegram Bot API เพื่อฝัง SSH Backdoors บนระบบ Linux
ผู้หลอกลวงใช้ Google OAuth เพื่อปลอมตัวเป็น Google ในการโจมตี DKIM แบบรีเพลย์
Wine Lure ของ Cozy Bear ปล่อยมัลแวร์ WineLoader ลงบนนักการทูตสหภาพยุโรป
Microsoft กำหนดให้บัญชีใหม่ทั้งหมดไม่มีรหัสผ่านเป็นค่าเริ่มต้น
