แฮกเกอร์โจมตีแผนกทรัพยากรบุคคลด้วยประวัติย่อปลอมที่ทิ้งมัลแวร์ More_eggs
แฮกเกอร์โจมตีแผนกทรัพยากรบุคคลด้วยประวัติย่อปลอมที่ทิ้งมัลแวร์ More_eggs
แคมเปญการโจมตีทางไซเบอร์ที่ถูกออกแบบมาอย่างชาญฉลาดและมุ่งเป้าไปที่แผนกทรัพยากรบุคคล (HR) ขององค์กร โดยผู้โจมตีได้ใช้เทคนิค spear‐phishing ส่งอีเมล์ที่ดูเหมือนจะมาจากผู้สมัครงานจริง โดยมีลิงก์ให้ดาวน์โหลดไฟล์เรซูเม่ แต่ในความเป็นจริงไฟล์ดังกล่าวซ่อนมัลแวร์ที่เรียกว่า “More_eggs” ซึ่งทำหน้าที่เป็นแบ็คดอร์สำหรับเข้าควบคุมระบบ จากกลุ่มโจมตีที่ชื่อ “Venom Spider” ที่มีเป้าหมายทางการเงินและเคยใช้ในการโจมตีในภาคส่วนอื่น ๆ เช่น อีคอมเมิร์ซและร้านค้าปลีก
การติดเชื้อเริ่มต้นเมื่อผู้รับอีเมล์คลิกลิงก์ที่ส่งมา ซึ่งนำพาไปสู่เว็บไซต์ควบคุมโดยผู้โจมตีที่มีการแทรกขั้นตอน CAPTCHA เพื่อหลีกเลี่ยงการตรวจจับโดยระบบอัตโนมัติ เมื่อผู้ใช้ผ่านการตรวจสอบแล้ว ไฟล์ zip ที่ดาวน์โหลดจะมีไฟล์ shortcut (.lnk) ที่ถูก obfuscate อย่างเข้มข้นและไฟล์ภาพที่ใช้เบี่ยงเบนความสนใจ เมื่อเรียกใช้งาน ไฟล์ shortcut จะรันคำสั่งผ่าน Windows Command Shell โดยเขียนไฟล์ชั่วคราวขึ้นมาและเรียกใช้งานยูทิลิตี้อย่าง ie4uinit.exe ผ่านโปรแกรม WordPad เพื่อทำให้เกิดความสับสนให้กับผู้ใช้
ในขั้นตอนต่อมา ระบบจะสร้างไลบรารี “More_eggs_Dropper” ในโฟลเดอร์ AppData ของผู้ใช้และปล่อย payload ในรูปแบบของ JavaScript ที่มีการเข้ารหัสอย่างซับซ้อน โดยใช้คีย์ที่ถูกฝังอยู่ร่วมกับข้อมูลเฉพาะของระบบ เช่น ชื่อเครื่องและตัวระบุของโปรเซสเซอร์ เมื่อทำงานแล้ว payload ดังกล่าวจะรวบรวมข้อมูลระบบต่าง ๆ เช่น วันที่ติดตั้ง OS, รายละเอียดโปรแกรมป้องกันไวรัส, ชื่อผู้ใช้งาน และข้อมูลอื่น ๆ จากนั้นจึงส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ควบคุมเพื่อที่จะนำไปใช้โจมตีหรือขโมยข้อมูลในขั้นตอนต่อไป
แคมเปญนี้แสดงให้เห็นถึงจุดอ่อนในกระบวนการรับสมัครงานขององค์กรที่จำเป็นต้องเปิดไฟล์แนบจากภายนอกอยู่เสมอ ซึ่งทำให้แผนก HR กลายเป็นเป้าหมายที่ง่ายสำหรับผู้โจมตี แนวทางการโจมตีที่ใช้เทคนิคการปลอมตัวผ่านไฟล์เรซูเม่ปลอมและการแทรก CAPTCHA ในขั้นตอนดาวน์โหลด แสดงให้เห็นว่าผู้โจมตีมีความคิดสร้างสรรค์และปรับเปลี่ยนกลยุทธ์ให้เข้ากับบริบทขององค์กรในปัจจุบัน ด้วยเหตุนี้ ผู้ที่ดูแลความปลอดภัยระบบและแผนกที่มีความเสี่ยงเหล่านี้ควรมีมาตรการป้องกันที่เข้มงวดและติดตามข่าวสารอัปเดตเกี่ยวกับภัยไซเบอร์อย่างต่อเนื่อง
ที่มา: Cybersecuritynews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
ยกระดับการป้องกันของคุณ: MSP และ MDR ร่วมกันเสริมสร้างความปลอดภัยด้าน IT ของคุณอย่างไร
เจ้าหน้าที่เนเธอร์แลนด์ระบุตัวผู้ก่ออาชญากรรมไซเบอร์รายใหม่ชาวรัสเซีย “Laundry Bear” ที่กำลังเล็งเป้าไปที่นาโต้
เหตุผล เบื้องหลัง Bitdefender GravityZone PHASR – นวัตกรรมที่ไม่เคยมีมาก่อน
เครื่องมือ Defendnot ใหม่หลอก Windows ให้ปิดการใช้งาน Microsoft Defender
จาก 60 เป็น 4,000: ระบบ Locked Shield ของ NATO สะท้อนการเติบโตของระบบป้องกันไซเบอร์
