กลวิธีฟิชชิ่งรูปแบบใหม่ใช้กลอุบาย Microsoft Office แพร่กระจาย NetSupport RAT

NetSupport RAT

แคมเปญฟิชชิ่งใหม่กำหนดเป้าหมายองค์กรในสหรัฐฯ โดยมีจุดประสงค์เพื่อติดตั้งโทรจันการเข้าถึงระยะไกลที่เรียกว่า NetSupport RAT

Perception Point บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอลกำลังติดตามกิจกรรมภายใต้ชื่อเล่นว่า Operation PhantomBlu

“การดำเนินการ PhantomBlu นำเสนอวิธีการหาประโยชน์ที่เหมาะสมยิ่ง ซึ่งแยกจากกลไกการจัดส่งทั่วไปของ NetSupport RAT โดยใช้ประโยชน์จากการจัดการเทมเพลต OLE (Object Linking and Embedding) โดยใช้ประโยชน์จากเทมเพลตเอกสาร Microsoft Office เพื่อรันโค้ดที่เป็นอันตรายในขณะที่หลบเลี่ยงการตรวจจับ” นักวิจัยด้านความปลอดภัย Ariel Davidpur กล่าว

NetSupport RAT คือโปรแกรมแอบแฝงที่อันตรายแยกตัวมาจากเครื่องมือควบคุมคอมพิวเตอร์ทางไกลที่ถูกต้องตามกฎหมายอย่าง NetSupport Manager RAT ย่อมาจาก Remote Access Trojan ซึ่งแปลว่า โทรจันควบคุมคอมพิวเตอร์ทางไกล NetSupport RAT ช่วยให้ผู้ไม่หวังดีสามารถทำการกระทำต่างๆ เพื่อรวบรวมข้อมูลบนอุปกรณ์ที่ถูกโจมตีได้

จุดเริ่มต้นคืออีเมลฟิชชิ่งธีมเงินเดือนที่อ้างว่ามาจากแผนกบัญชี และกระตุ้นให้ผู้รับเปิดเอกสาร Microsoft Word ที่แนบมาเพื่อดู “รายงานเงินเดือนรายเดือน”

การวิเคราะห์ส่วนหัวของข้อความอีเมลอย่างใกล้ชิด โดยเฉพาะช่อง Return-Path และ Message-ID แสดงให้เห็นว่าผู้โจมตีใช้แพลตฟอร์มการตลาดผ่านอีเมลที่ถูกต้องตามกฎหมายที่เรียกว่า Brevo (เดิมชื่อ Sendinblue) เพื่อส่งอีเมล

เมื่อเปิดเอกสาร Word จะแนะนำให้เหยื่อป้อนรหัสผ่านที่ให้ไว้ในเนื้อหาอีเมลและเปิดใช้งานการแก้ไข ตามด้วยการคลิกสองครั้งที่ไอคอนเครื่องพิมพ์ที่ฝังอยู่ในเอกสารเพื่อดูกราฟเงินเดือน

Microsoft Office

การทำเช่นนี้จะเปิดไฟล์เก็บถาวร ZIP (“Chart20072007.zip”) ที่มีไฟล์ทางลัดของ Windows หนึ่งไฟล์ ซึ่งทำหน้าที่เป็นตัวหยด PowerShell เพื่อดึงและเรียกใช้ไบนารี NetSupport RAT จากเซิร์ฟเวอร์ระยะไกล

“ด้วยการใช้ .docs ที่เข้ารหัสเพื่อส่ง NetSupport RAT ผ่านเทมเพลต OLE และการแทรกเทมเพลต PhantomBlu ถือเป็นการแตกต่างจาก TTP ทั่วไปที่มักเกี่ยวข้องกับการปรับใช้ NetSupport RAT” Davidpur กล่าว โดยเพิ่มเทคนิคที่ได้รับการปรับปรุง “แสดงให้เห็นถึงนวัตกรรมของ PhantomBlu ในการผสมผสานกลยุทธ์การหลีกเลี่ยงที่ซับซ้อน ด้วยวิศวกรรมสังคม”

การใช้แพลตฟอร์มคลาวด์ในทางที่ผิดและ CDN ยอดนิยมเพิ่มมากขึ้น

การพัฒนาดังกล่าวเกิดขึ้นเมื่อ Resecurity เปิดเผยว่าผู้คุกคามกำลังใช้บริการคลาวด์สาธารณะอย่างในทางที่ผิดมากขึ้น เช่น Dropbox, GitHub, IBM Cloud และ Oracle Cloud Storage รวมถึงแพลตฟอร์มการโฮสต์ข้อมูล Web 3.0 ที่สร้างขึ้นบนโปรโตคอล InterPlanetary File System (IPFS) เช่น Pinata เพื่อสร้าง URL ฟิชชิ่งที่ตรวจไม่พบอย่างสมบูรณ์ (FUD) โดยใช้ชุดอุปกรณ์ที่มีจำหน่ายทั่วไป

ลิงก์ FUD ดังกล่าวมีให้บริการบน Telegram โดยผู้ขายใต้ดิน เช่น BulletProofLink, FUDLINKSHOP, FUDSENDER, ONNX และ XPLOITRVERIFIER ในราคาเริ่มต้นที่ 200 ดอลลาร์ต่อเดือน โดยเป็นส่วนหนึ่งของรูปแบบการสมัครสมาชิก ลิงก์เหล่านี้ได้รับการรักษาความปลอดภัยเพิ่มเติมหลังอุปสรรคแอนติบอทเพื่อกรองการรับส่งข้อมูลที่เข้ามาและหลบเลี่ยงการตรวจจับ

นอกจากนี้ บริการเหล่านี้ยังมีเครื่องมืออย่าง HeartSender ที่ทำให้สามารถเผยแพร่ลิงก์ FUD ที่สร้างขึ้นในวงกว้างได้ กลุ่ม Telegram ที่เกี่ยวข้องกับ HeartSender มีสมาชิกเกือบ 13,000 ราย

“FUD Links เป็นตัวแทนของขั้นตอนต่อไปใน [ฟิชชิ่ง-as-a-service] และนวัตกรรมการติดตั้งมัลแวร์” บริษัทกล่าว โดยสังเกตว่าผู้โจมตีกำลัง “เปลี่ยนโครงสร้างพื้นฐานที่มีชื่อเสียงสูงสำหรับกรณีการใช้งานที่เป็นอันตราย”

“แคมเปญที่เป็นอันตรายเมื่อเร็วๆ นี้ ซึ่งใช้ประโยชน์จาก Rhadamanthys Stealer เพื่อกำหนดเป้าหมายไปที่ภาคน้ำมันและก๊าซ ได้ใช้ URL ที่ฝังไว้ซึ่งใช้ประโยชน์จากการเปลี่ยนเส้นทางแบบเปิดบนโดเมนที่ถูกต้องตามกฎหมาย โดยเฉพาะ Google Maps และ Google Images เทคนิคการซ้อนโดเมนนี้ทำให้ URL ที่เป็นอันตรายสังเกตเห็นได้น้อยลงและ มีแนวโน้มที่จะดักจับเหยื่อมากกว่า”

พบว่าบทความนี้น่าสนใจ? ติดตามเราบน Twitter  และ LinkedIn เพื่ออ่านเนื้อหาพิเศษเพิ่มเติมที่เราโพสต์