แคมเปญดังกล่าวแฮกเกอร์จะหลอกว่ามาจากสรรพากรเพื่อหลอกให้เปิดเอกสาร นำไปสู่การติดตั้งมัลแวร์ดังกล่าวซอฟต์แวร์แบบ RMM หรือ Remote Monitoring and Management มักจะเป็นที่นิยมใช้งานในบริษัทต่าง ๆ โดยแผนกไอที เพื่อใช้ตรวจสอบและบำรุงรักษาเครื่องคอมพิวเตอร์ของพนักงานโดยที่ไม่ต้องเข้าถึงตัวเครื่องโดยตรง ทว่า แฮกเกอร์ก็สามารถใช้ประโยชน์จากซอฟต์แวร์เหล่านี้ได้เช่นเดียวกัน เช่นในข่าวนี้จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญหลอกลวงแบบ Phishing ที่มุ่งเล่นงานกลุ่มธุรกิจและองค์กรต่าง ๆ ในประเทศสหรัฐอเมริกา ภายใต้ชื่อแคมเปญว่า VENOMOUS#HELPER โดยทีมวิจัยจาก Securonix บริษัทผู้เชี่ยวชาญด้านการพัฒนาระบบรักษาความปลอดภัยไซเบอร์ กล่าวว่า ปัจจุบันทางทีมยังไม่พบมีแฮกเกอร์กลุ่มไหนอยู่เบื้องหลังอย่างชัดเจน แต่เป็นที่แน่ชัดว่า แฮกเกอร์กลุ่มที่อยู่เบื้องหลังนั้นมีจุดประสงค์ในการขาย “จุดเข้าถึงระบบ” หรือ Initial Access Broker (IAB) และ การอำนวยความสะดวกในการปล่อยมัลแวร์สำหรับการเรียกค่าไถ่ หรือ Ransomware เนื่องด้วยแคมเปญนี้นั้นจะเป็นการหลอกให้บริษัทที่ตกเป็นเหยื่อ ทำการติดตั้งเครื่องมือ RMM เวอร์ชันที่ทางแฮกเกอร์ดัดแปลงมาเพื่อใช้บนแคมเปญนี้ อย่าง SimpleHelp และ ScreenConnect ซึ่งตามปกตินั้น เครื่องมือเหล่านี้มักจะถูกใช้โดยแผนกไอทีของบริษัทต่าง ๆ อยู่แล้ว ทำให้เหยื่ออาจไม่รู้สึกเอะใจ จนทำให้ตอนนี้มีบริษัทและองค์กรกว่า 80 แห่งทั่วสหรัฐอเมริกา ตกเป็นเหยื่อของแคมเปญนี้เป็นที่เรียบร้อยแล้วพบแฮกเกอร์หลอกลวงองค์กรได้มากกว่า 80 แห่ง เพื่อเข้าสู่ระบบด้วยเครื่องมือ RMM เช่น SimpleHelp และ ScreenConnectภาพจาก : https://thehackernews.com/2026/05/phishing-campaign-hits-80-orgs-using.htmlโดยแคมเปญนี้จะเริ่มจากการที่ทางแฮกเกอร์ทำการส่งอีเมลหลอกลวงแบบ Phishing โดยอ้างมาว่าจากสำนักงานประกันสังคมแห่งประเทศสหรัฐอเมริกา หรือ U.S. Social Security Administration (SSA) พร้อมคำสั่งให้เหยื่อทำการยืนยันอีเมล (Verify Email) แล้วดาวน์โหลดเอกสารของทางหน่วยงานผ่านลิงก์ที่แนบมาบนอีเมล ซึ่งลิงก์นั้นจะพาเหยื่อไปยังเว็บไซต์บริษัทจากประเทศเม็กซิโกซึ่งมีอยู่จริง แต่เว็บไซต์ถูกแฮกเกอร์ทำการแฮกมาใช้กับแคมเปญนี้ โดยมีชื่อ URL ว่า "gruta.com[.]mx" เมื่อเหยื่อเข้าสู่เว็บไซต์ดังกล่าว ก็จะมีการโหลดเอกสารที่อีเมลอ้างมาจากอีกโดเมนหนึ่งชื่อว่า "server.cubatiendaalimentos.com[.]mx" ทว่า สิ่งที่ดาวน์โหลดมานั้นแทนที่จะเป็นเอกสารของจริงอย่างที่อ้าง กลับเป็นไฟล์สำหรับรันติดตั้ง (Executable) เครื่องมือ RMM อย่าง SimpleHelp ในรูปแบบไฟล์แพ็คเกจแบบ JWrapper โดยตัวมัลแวร์นั้นจะมีเทคนิคการคงทนอยู่ในระบบ (Persistence) ที่ร้ายกาจ ซึ่งตัวมัลแวร์จะทำการรันตัวเองขึ้นมาใหม่อย่างอัตโนมัติหลังถูก “ฆ่า” (Killed), รวมทั้งทำการตรวจสอบการลงทะเบียนซอฟต์แวร์รักษาความปลอดภัยไซเบอร์ที่อยู่บนเครื่องทุก ๆ 67 วินาที ด้วยการใช้งาน rootSecurityCenter2 WMI namespace, ระบบตรวจสอบว่าผู้ใช้งานยังคงใช้งานเครื่องอยู่หรือไม่ ทุก ๆ 23 วินาที และระบบต่อต้าน Safe Modeหลังจากที่ตัวมัลแวร์ดังกล่าวฝังลงเครื่องเป็นที่เรียบร้อยแล้ว ก็จะทำการอัปเกรดสิทธิ์การใช้งานเครื่องเพื่อให้สามารถควบคุมเดสก์ท็อป (Desktop) ได้อย่างสมบูรณ์ ด้วยการขอสิทธิ์ SeDebugPrivilege ผ่านทาง AdjustTokenPrivileges ในขณะเดียวกันก็มีการใช้งานเครื่องมืออย่าง "elev_win.exe" เพื่อการเพิ่มสิทธิ์ของมัลแวร์ให้สามารถเข้าถึงเครื่องในระดับผู้ดูแลสูงสุด หรือ SYSTEM ทำให้แฮกเกอร์สามารถเข้าถึงเครื่องของเหยื่อได้อย่างสมบูรณ์ และเพื่อรับประกันว่า ถ้ามัลแวร์ตัวนี้ถูกลบทิ้งสำเร็จ แฮกเกอร์จะยังสามารถเข้าถึงเครื่องของเหยื่อได้ ดังนั้นหลังจากที่ได้สิทธิ์ดังกล่าวเป็นที่เรียบร้อยแล้ว แฮกเกอร์ก็จะใช้สิทธิ์เพื่อติดตั้งเครื่องมือ RMM อีกตัวหนึ่งอย่าง ScreenConnect ไว้ด้วย เรียกได้ว่าถ้าช่องทางไหนล่ม แฮกเกอร์ก็จะยังเข้าถึงได้อยู่ ถ้าจะกำจัดก็ต้องจัดการทั้ง 2 ช่องทางในเวลาเดียวกัน➤ Website : https://www.thaiware.com➤ Facebook : https://www.facebook.com/thaiware➤ Twitter : https://www.twitter.com/thaiware➤ YouTube : https://www.youtube.com/thaiwaretv
พบแฮกเกอร์หลอกลวงองค์กรได้มากกว่า 80 แห่ง เพื่อเข้าสู่ระบบด้วยเครื่องมือ RMM เช่น SimpleHelp และ ScreenConnect
by
Tags: