แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลใช้กลวิธี ClickFix เป็นอาวุธในแคมเปญมัลแวร์แบบกำหนดเป้าหมาย
แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลใช้กลวิธี ClickFix เป็นอาวุธในแคมเปญมัลแวร์แบบกำหนดเป้าหมาย
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐจากอิหร่าน เกาหลีเหนือ และรัสเซียได้นำเทคนิค “ClickFix” มาใช้ในแคมเปญส่งมอลแวร์ที่มีการวางแผนชัดเจนในช่วงปลายปี 2024 ถึงต้นปี 2025 เทคนิค ClickFix คือวิธีล่อหลอกให้เหยื่อคัดลอกและวางคำสั่งลงในระบบของตนเองโดยที่อยู่ภายใต้เหตุผลที่ดูเหมือนว่าจำเป็น เช่น การแก้ไขปัญหาหรือการยืนยันการลงทะเบียนอุปกรณ์ ซึ่งคำสั่งเหล่านี้จะนำไปสู่การดาวน์โหลดและรันไฟล์ที่เป็นอันตราย
ตัวอย่างจากกลุ่ม TA427 (หรือที่รู้จักในนาม Kimsuky) เริ่มต้นด้วยการส่งคำเชิญประชุมปลอมจากที่แสดงว่ามาจากนักการทูตญี่ปุ่น สร้างความเชื่อถือให้กับเหยื่อ จากนั้นจึงส่งไฟล์ PDF ที่มีลิงค์นำไปสู่หน้าเว็บไซต์ปลอมซึ่งชักชวนให้เหยื่อคัดลอกและรันคำสั่ง PowerShell คำสั่งดังกล่าวจะดึงโค้ดที่ติดตั้ง Trojan ชนิด Quasar RAT ผ่านกระบวนการติดตั้งหลายขั้นตอนที่ทำงานในพื้นหลัง
ในการโจมตีอีกแนวทางหนึ่ง กลุ่ม TA450 (หรือ MuddyWater) ใช้อีเมลฟิชชิ่งที่ปลอมแปลงเป็นการแจ้งเตือนอัปเดตรับรองความปลอดภัยจาก Microsoft โดยชักชวนให้เหยื่อรันคำสั่ง PowerShell ด้วยสิทธิ์ผู้ดูแลระบบ ซึ่งจะติดตั้งซอฟต์แวร์สำหรับการตรวจสอบและควบคุมจากระยะไกล (RMM) ที่ถูกนำไปดัดแปลงเพื่อใช้สกัดกั้นความปลอดภัยและขโมยข้อมูล จากทั้งสองกรณีนี้ ผู้โจมตีสามารถเปลี่ยนแปลงขั้นตอนการติดตั้งและการรันมัลแวร์โดยใช้วิธี ClickFix แทนการอัปโหลดไฟล์หรือการโจมตีแบบที่ตรวจจับได้ง่าย
นอกจากนี้ ยังมีรายงานว่าอีกกลุ่มที่สงสัยว่ามาจากรัสเซีย ภายใต้ชื่อ UNK_RemoteRogue ก็ได้นำเทคนิคเช่นเดียวกันนี้มาใช้ โดยส่งอีเมลล่อหลอกจากเซิร์ฟเวอร์ที่ถูกโจมตี (compromised Zimbra servers) ซึ่งลิงค์ในอีเมลจะพาเหยื่อไปยังหน้าที่มีคำแนะนำให้คัดลอกและวางคำสั่งในเทอร์มินัลเพื่อให้เข้าถึงระบบควบคุมแบบ Empire C2 framework
สรุปแล้ว การนำเทคนิค ClickFix มาใช้ในแคมเปญของกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐแสดงให้เห็นว่ากลยุทธ์ล่อหลอกผู้ใช้งานด้วยความละเอียดและการปรับเปลี่ยนกระบวนการติดตั้งมัลแวร์นั้นมีประสิทธิภาพมากพอที่จะถูกนำไปใช้งานในระดับชาติในอนาคต โดยมีแนวโน้มว่ากลุ่มอื่น ๆ ที่เกี่ยวข้องกับการโจมตีเชิงไซเบอร์ในระดับโลกอาจนำเทคนิคนี้มาใช้ร่วมกับกลยุทธ์ใหม่ ๆ เพื่อหลีกเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพในการแทรกซึมเข้าสู่ระบบของเหยื่อในระดับที่สูงขึ้น
ที่มา: Thehackernews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
ยกระดับการป้องกันของคุณ: MSP และ MDR ร่วมกันเสริมสร้างความปลอดภัยด้าน IT ของคุณอย่างไร
เจ้าหน้าที่เนเธอร์แลนด์ระบุตัวผู้ก่ออาชญากรรมไซเบอร์รายใหม่ชาวรัสเซีย “Laundry Bear” ที่กำลังเล็งเป้าไปที่นาโต้
เหตุผล เบื้องหลัง Bitdefender GravityZone PHASR – นวัตกรรมที่ไม่เคยมีมาก่อน
เครื่องมือ Defendnot ใหม่หลอก Windows ให้ปิดการใช้งาน Microsoft Defender
จาก 60 เป็น 4,000: ระบบ Locked Shield ของ NATO สะท้อนการเติบโตของระบบป้องกันไซเบอร์
