สรุปสั้น

บริษัท Palo Alto Networks โดยทีม Unit 42 เปิดเผยแคมเปญโจมตีที่ฉวยใช้การโทรด้วยเสียงผ่าน Microsoft Teams โดยผู้โจมตีปลอมตัวเป็นเจ้าหน้าที่ไอทีซัพพอร์ตขององค์กร เพื่อหลอกให้พนักงานติดตั้งมัลแวร์ชื่อ EtherRAT ซึ่งเปิดทางให้ผู้โจมตีเข้าถึงเครือข่ายองค์กรได้ในขั้นแรก จุดเด่นของแคมเปญนี้คือการผสมหลายเทคนิคเข้าด้วยกัน ทั้งอีเมลฟิชชิง การโทรหลอกด้วยเสียง (vishing) ผ่าน Teams เครื่องมือควบคุมเครื่องระยะไกลของแท้ และตัวโหลดมัลแวร์ที่เขียนด้วย Node.js ทำให้เหยื่อหลงเชื่อว่ากำลังได้รับความช่วยเหลือจากฝ่ายไอทีจริง ทั้งที่กำลังมอบสิทธิ์ควบคุมเครื่องให้อาชญากร

การโจมตีเริ่มจากอีเมลฟิชชิงที่อ้างเป็น “แบบสำรวจพนักงาน” พร้อมไฟล์ PDF อันตราย ไม่นานหลังเหยื่อเปิดเอกสาร ก็จะได้รับสายจาก Microsoft Teams จากบัญชีภายนอกที่อ้างตัวเป็น “ผู้ดูแลระบบ” เมื่อหลอกให้เหยื่อเปิดสิทธิ์ควบคุมเครื่องผ่านฟีเจอร์แชร์หน้าจอของ Teams ได้แล้ว ผู้โจมตีจะพาเหยื่อติดตั้งเครื่องมือรีโมตของแท้อย่าง HopToDesk และ AnyDesk ก่อนดาวน์โหลดตัวติดตั้ง MSI อันตรายมารันเป็นตัวโหลด สุดท้ายจึงปล่อย EtherRAT ซึ่งเป็นโทรจันควบคุมระยะไกลข้ามแพลตฟอร์มที่ใช้สัญญาอัจฉริยะ (smart contract) บนบล็อกเชน Ethereum ในการดึงที่อยู่เซิร์ฟเวอร์ควบคุมสั่งการ ทำให้การปิดกั้นทำได้ยากกว่าปกติมาก

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 6 กรกฎาคม พ.ศ. 2569 ว่า มีกลุ่มผู้โจมตีกำลังฉวยใช้การโทรด้วยเสียงผ่าน Microsoft Teams ปลอมตัวเป็นทีมไอทีซัพพอร์ตขององค์กรเพื่อหลอกพนักงานให้ติดตั้งมัลแวร์ EtherRAT โดยแคมเปญนี้ถูกรายงานโดยทีม Unit 42 ของบริษัท Palo Alto Networks ซึ่งเผยแพร่รายละเอียดผ่าน GitHub

ตามรายงานของ Unit 42 การโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่ใช้เนื้อหาล่อลวงเรื่อง “แบบสำรวจพนักงาน” (Employee Survey) พร้อมแนบไฟล์ PDF อันตราย ไม่นานหลังจากเหยื่อเปิดเอกสาร ก็จะได้รับสายเรียกเข้าผ่าน Microsoft Teams จากบัญชีภายนอกที่แอบอ้างเป็น “System Administrator” นักวิจัยสังเกตว่าเซสชัน Teams ดังกล่าวแสดงป้ายกำกับ “External unfamiliar” ซึ่งบ่งชี้ว่าผู้โทรอยู่ในองค์กร Microsoft 365 คนละ tenant กับผู้รับ และจากบันทึกการตรวจสอบ (audit log) พบว่าผู้โจมตีเปิดแชตภายนอกโดยใช้บัญชี helpdesk@Progressive936.onmicrosoft [.]com ขณะปลอมตัวเป็นฝ่ายไอที

หลังจากหว่านล้อมให้เหยื่อยอมมอบสิทธิ์ควบคุมเครื่องผ่านฟีเจอร์แชร์หน้าจอในตัวของ Microsoft Teams ผู้โจมตีจะพาเหยื่อติดตั้งเครื่องมือเข้าถึงระยะไกลของแท้ ได้แก่ HopToDesk และ AnyDesk เมื่อสร้างช่องทางเข้าถึงระยะไกลสำเร็จ ก็จะดาวน์โหลดและรันตัวติดตั้ง MSI อันตราย (v7.msi) จากโดเมน camorreado[.]click ซึ่งไฟล์ MSI นี้ทำหน้าที่เป็นตัวโหลดมัลแวร์ ด้วยการดึงตัวรันไทม์ Node.js ของแท้ลงมา ถอดรหัสเพย์โหลดที่ฝังอยู่ แล้วปล่อย EtherRAT ในขั้นสุดท้าย นักวิจัยยังพบว่าเซิร์ฟเวอร์แจกจ่ายมัลแวร์มี open directory ที่เก็บตัวติดตั้งหลายเวอร์ชัน (v1 ถึง v9) บ่งชี้ว่าแคมเปญนี้ยังอยู่ระหว่างการพัฒนาอย่างต่อเนื่อง

วิธีการโจมตี

EtherRAT เป็นโทรจันควบคุมระยะไกล (RAT) แบบข้ามแพลตฟอร์มที่เขียนด้วย Node.js ให้ผู้โจมตีควบคุมเครื่องที่ถูกยึดได้อย่างเต็มรูปแบบ ทั้งการรันคำสั่ง จัดการไฟล์ ขโมยข้อมูล และคงความอยู่รอด (persistence) บนเครื่อง จุดที่ทำให้มันรับมือยากเป็นพิเศษคือการใช้สัญญาอัจฉริยะบนบล็อกเชน Ethereum ในการดึงที่อยู่เซิร์ฟเวอร์ควบคุมสั่งการ (C2) ที่ยังทำงานอยู่ เนื่องจากข้อมูลบนบล็อกเชนไม่สามารถลบหรือยึดได้ง่ายเหมือนโดเมนหรือไอพีทั่วไป การตัดวงจรการสื่อสารกับ C2 จึงทำได้ยากกว่ามาก ทั้งนี้ EtherRAT เคยถูกใช้ในการโจมตีที่มีรัฐหนุนหลังโดยอาศัยช่องโหว่ React2Shell มาก่อน ก่อนที่จะถูกนำไปใช้ต่อโดยกลุ่มผู้โจมตีอื่น ๆ อีกจำนวนมาก

แคมเปญล่าสุดนี้เป็นส่วนหนึ่งของแนวโน้มการโจมตีที่ฉวยใช้ Microsoft Teams เจาะเครือข่ายองค์กรที่เพิ่มขึ้นเรื่อย ๆ ก่อนหน้านี้เมื่อเดือนมีนาคมมีแคมเปญที่พุ่งเป้าองค์กรด้านการเงินและสาธารณสุข ด้วยการถล่มกล่องอีเมลของเหยื่อด้วยสแปมก่อน แล้วจึงติดต่อผ่าน Microsoft Teams โดยปลอมเป็นทีมไอทีของบริษัท หลอกให้เหยื่อเปิดเซสชัน Quick Assist จนนำไปสู่การติดตั้งมัลแวร์ A0Backdoor ต่อมาอีกหนึ่งเดือน บริษัท Microsoft ได้ออกคำเตือนว่าผู้โจมตีเริ่มฉวยใช้บัญชี Teams ภายนอกปลอมเป็นเจ้าหน้าที่ helpdesk มากขึ้น เพื่อหลอกพนักงานให้เปิดสิทธิ์เข้าถึงเครื่องระยะไกล แล้วสำรวจเครือข่าย ขยับไปเครื่องอื่นในแนวราบ (lateral movement) และขโมยข้อมูลในที่สุด

เพื่อรับมือกับการโจมตีลักษณะนี้ บริษัท Microsoft ได้ทยอยเพิ่มมาตรการป้องกันให้ Teams โดยช่วงต้นปีที่ผ่านมาได้เพิ่มคำเตือนที่ระบุผู้โทรและแชตจากภายนอกเพื่อป้องกันการโจมตีแบบฟิชชิงและ vishing และล่าสุดยังเพิ่มนโยบายสำหรับผู้ดูแลระบบ Teams ที่จะพาบอตของบุคคลที่สามซึ่งต้องสงสัยไปพักไว้ใน meeting lobby โดยอัตโนมัติ จนกว่าผู้จัดประชุมจะอนุมัติให้เข้าร่วมด้วยตนเอง

ผลกระทบต่อไทย

องค์กรไทยจำนวนมากใช้ Microsoft Teams เป็นเครื่องมือสื่อสารหลักในการทำงาน และมักเปิดให้ติดต่อจากภายนอกได้ตามค่าเริ่มต้น ทำให้แคมเปญนี้เป็นภัยที่พนักงานไทยเผชิญได้โดยตรง จุดอันตรายคือการโจมตีไม่ได้อาศัยช่องโหว่ทางเทคนิค แต่อาศัยการหลอกลวงทางจิตวิทยา (social engineering) ล้วน ๆ โดยสวมรอยเป็นฝ่ายไอทีที่พนักงานคุ้นเคยและไว้ใจ ยิ่งองค์กรที่พนักงานไม่คุ้นกับป้าย “External” ใน Teams หรือไม่เคยได้รับการอบรมเรื่อง vishing ก็ยิ่งเสี่ยงถูกหลอกให้ติดตั้งเครื่องมือรีโมตและมอบสิทธิ์ควบคุมเครื่องให้ผู้โจมตี นอกจากนี้การที่ EtherRAT ซ่อน C2 ไว้บนบล็อกเชน Ethereum ยังทำให้ทีม SOC ของไทยที่พึ่งการบล็อกโดเมน/ไอพีเป็นหลักตรวจจับและตัดการสื่อสารได้ยากขึ้น

คำแนะนำ

ผู้ดูแลระบบควรตั้งค่า Microsoft Teams ให้จำกัดหรือปิดการรับข้อความและสายจากผู้ใช้ภายนอกองค์กร (external access) เท่าที่จำเป็น และเปิดใช้คำเตือนผู้โทร/แชตภายนอกให้พนักงานเห็นชัดเจน ควรอบรมพนักงานให้ตระหนักว่าฝ่ายไอทีจริงจะไม่โทรผ่าน Teams จากบัญชีภายนอกเพื่อขอสิทธิ์ควบคุมเครื่อง และให้ยืนยันตัวตนผู้ติดต่อผ่านช่องทางภายในที่เชื่อถือได้ก่อนเสมอ ในเชิงเทคนิค ควรจำกัดหรือบล็อกการติดตั้งเครื่องมือรีโมตที่ไม่ได้รับอนุญาต เช่น AnyDesk และ HopToDesk บนเครื่องพนักงานทั่วไป เฝ้าระวังการรันตัวติดตั้ง MSI และตัวรันไทม์ Node.js ที่ผิดปกติ รวมถึงตรวจสอบทราฟฟิกที่วิ่งออกไปยังโหนดบล็อกเชน Ethereum ที่ไม่เกี่ยวกับงานปกติ และควรเปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) กับบัญชีสำคัญเพื่อจำกัดความเสียหายหากเครื่องถูกยึด

แหล่งอ้างอิง