Blockdit Logo (Mobile)
PPTVHD36
ยืนยันแล้ว
15 พ.ค. เวลา 08:00 • ไอที & แก็ดเจ็ต

PDPC เตือน! พบแฮกเกอร์อิหร่านใช้ MS Teams หลอกเป็นฝ่ายไอทีดูดข้อมูล

ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล เตือนภัยไซเบอร์ พบแฮกเกอร์อิหร่าน "MuddyWater" ใช้ Microsoft Teams หลอกเป็นฝ่ายไอทีดูดข้อมูล พร้อมแนะวิธีป้องกัน
ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล PDPC Eagle Eye พาต์เฟซบุ๊กเตือนภัยไซเบอร์ ระบุว่า ระวัง! กลุ่มแฮกเกอร์อิหร่าน 'MuddyWater' ใช้ Microsoft Teams ปลอมเป็น IT Support หลอกดูดข้อมูล
รายงานจาก The Hacker News ระบุว่า MuddyWater ซึ่งเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน (และเชื่อมโยงกับกระทรวงข่าวกรองของอิหร่าน) ได้ปรับเปลี่ยนยุทธวิธีในการโจมตีองค์กร
PDPC เตือน! พบแฮกเกอร์อิหร่านใช้ MS Teams หลอกเป็นฝ่ายไอทีดูดข้อมูล
โดยหันมาใช้แพลตฟอร์มทำงานยอดฮิตอย่าง Microsoft Teams เป็นเครื่องมือหลักในการเจาะระบบ แทนที่จะพึ่งพาแต่อีเมลฟิชชิ่ง (Email Phishing) แบบเดิม ๆ
แฮกเกอร์จะส่งข้อความแชตที่ดูน่าเชื่อถือเพื่อหลอกให้พนักงานดาวน์โหลดมัลแวร์ หรือคลิกลิงก์อันตรายที่นำไปสู่การยึดเครื่องและขโมยข้อมูลสำคัญขององค์กร
วิธีการโจมตี จะเริ่มจากการแฝงตัวผ่านบัญชีที่ถูกแฮก (Compromised Accounts) แฮกเกอร์จะใช้บัญชี MS Teams ขององค์กรภายนอกที่ถูกเจาะระบบไว้แล้ว ส่งข้อความแชตข้ามองค์กร (External Message) มาหาเหยื่อโดยตรง
ก่อนหลอกลวงด้วยความน่าเชื่อถือ (Social Engineering) ผ่านการส่งข้อความทักทายที่ดูเป็นทางการ ปลอมตัวเป็นพาร์ตเนอร์หรือฝ่ายไอที เพื่อให้เหยื่อลดความระมัดระวังเมื่อเห็นว่าเป็นแอปพลิเคชันของบริษัท
จากนั้น จะลอบติดตั้งโปรแกรมควบคุมเครื่อง (RMM Deployment) โดยส่งลิงก์หรือไฟล์แนบอันตรายในแชต หากเหยื่อคลิก จะเป็นการดาวน์โหลดและติดตั้งเครื่องมือควบคุมระยะไกล (เช่น Atera หรือ Syncro) ทำให้แฮกเกอร์สามารถยึดเครื่องและเจาะเข้าสู่เครือข่ายองค์กรได้ทันที
ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล ได้แนวทางป้องกันสำหรับองค์กร (Prevention Guidelines) ไว้ดังนี้
  • จำกัดการติดต่อจากภายนอก (Restrict External Access) ผู้ดูแลระบบ (IT Admin) ควรตั้งค่า Microsoft Teams ให้บล็อกการรับข้อความจากโดเมนภายนอก (External Domains) หากไม่มีความจำเป็นในการติดต่อทางธุรกิจ
  • ใช้ฟีเจอร์ Allow-list หากจำเป็นต้องติดต่อกับพาร์ทเนอร์ภายนอกผ่าน Teams ให้ตั้งค่าอนุญาตเฉพาะโดเมนของพาร์ทเนอร์ที่เชื่อถือได้เท่านั้น (Specific Allowed Domains)
  • เฝ้าระวังโปรแกรม RMM แฝง ติดตั้งระบบตรวจจับและบล็อกซอฟต์แวร์ควบคุมเครื่องระยะไกล (RMM Tools) ที่ไม่ได้รับการอนุมัติจากบริษัท (Unsanctioned applications)
  • เปิดใช้งาน MFA (Multi-Factor Authentication) บังคับใช้การยืนยันตัวตนแบบหลายปัจจัยสำหรับทุกบัญชี เพื่อป้องกันไม่ให้แฮกเกอร์ยึดบัญชี Teams ของพนักงานไปใช้โจมตีคนอื่นต่อ
  • ให้ความรู้พนักงาน (Security Awareness) ย้ำเตือนพนักงานว่า "ข้อความแชตใน Teams สามารถเป็น Phishing ได้เหมือนอีเมล" ห้ามคลิกลิงก์หรือโหลดไฟล์จากคนแปลกหน้าเด็ดขาด
อ่านเนื้อหาต้นฉบับได้ที่ : https://www.pptvhd36.com/news/275498
ติดตามข่าวสารเพิ่มเติมที่เว็บไซต์ https://www.pptvhd36.com
และช่องทาง Social Media
Facebook PPTVHD36 : https://www.facebook.com/PPTVHD36
YouTube : www.youtube.com/@PPTVHD36
โฆษณา