Blockdit Logo (Mobile)
BAYCOMS
19 พ.ค. เวลา 23:00 • วิทยาศาสตร์ & เทคโนโลยี

เผยกลลวงเมื่อแฮกเกอร์ระดับชาติ

ปลอมตัวเป็นแก๊งเรียกค่าไถ่ ผ่าน Microsoft Teams
ในโลกไซเบอร์ปี 2026 รูปแบบการโจมตีไม่ได้จำกัดอยู่แค่การเจาะระบบแบบเดิมๆ แต่มีวิวัฒนาการไปสู่การวางแผนที่ซับซ้อนและหลอกล่อให้สับสน ล่าสุดมีการตรวจพบการโจมตีครั้งใหญ่โดยกลุ่ม MuddyWater ซึ่งได้รับการสนับสนุนจากรัฐบาลอิหร่าน โดยครั้งนี้พวกเขาไม่ได้มาเพื่อจารกรรมข้อมูลตรงๆ แต่เลือกใช้ยุทธวิธี "สร้างสถานการณ์ปลอม" (False Flag) เพื่อปกปิดตัวตนและเบี่ยงเบนความสนใจจากการสืบสวน
กลลวงภายใต้หน้ากาก "Chaos"
จากการรายงานของ Rapid7 พบว่า MuddyWater ตั้งใจใช้รูปแบบการโจมตีและเครื่องมือที่เหมือนกับกลุ่มอาชญากรไซเบอร์ที่ชื่อว่า Chaos ซึ่งเป็นแก๊งเรียกค่าไถ่ทั่วไป การสวมรอยนี้มีวัตถุประสงค์เพื่อให้เหยื่อและทีมนักวิเคราะห์เชื่อว่าเป็นเพียงการโจมตีเพื่อเงิน แต่ในความเป็นจริง มันคือฉากบังหน้าที่ใช้ปกปิดเป้าหมายที่แท้จริงนั่นคือการขโมยข้อมูลสำคัญ
Microsoft Teams ช่องโหว่จากความไว้ใจ
หัวใจสำคัญของการโจมตีครั้งนี้คือการใช้ วิศวกรรมสังคม (Social Engineering) ผ่านแพลตฟอร์มการทำงานอย่าง Microsoft Teams โดยแฮกเกอร์จะส่งคำขอแชทจากภายนอก แอบอ้างเป็นเจ้าหน้าที่ IT Support เพื่อสร้างความน่าเชื่อถือ ก่อนจะหลอกให้เหยื่อ "แชร์หน้าจอ" เพื่อแอบเก็บข้อมูลรหัสผ่าน และหลอกล่อให้เหยื่อกดยืนยันตัวตนในระบบ MFA ซึ่งเป็นการข้ามระบบความปลอดภัยโดยอาศัยความยินยอมของตัวเหยื่อเอง
เบื้องหลังทางเทคนิค มัลแวร์ที่ปลอมตัวแนบเนียน
เมื่อเข้าสู่ระบบได้แล้ว MuddyWater จะไม่เสียเวลาเข้ารหัสไฟล์เหมือนแรนซัมแวร์ทั่วไป แต่จะติดตั้งเครื่องมือควบคุมระยะไกล เช่น DWAgent หรือ AnyDesk เพื่อให้เข้าออกระบบได้ตลอดเวลา
นอกจากนี้ยังมีการตรวจพบมัลแวร์ชุดใหม่ที่ซับซ้อน
- Stagecomp (ms_upd.exe): มัลแวร์ด่านหน้าที่ทำหน้าที่เก็บข้อมูลระบบ และลงนามด้วยใบรับรองชื่อ "Donald Gay" (ซึ่งเป็นเอกลักษณ์ที่ช่วยยืนยันว่าเป็นฝีมือของกลุ่ม MuddyWater)
- Darkcomp (game.exe): มัลแวร์ควบคุมระยะไกล (RAT) ที่จงใจปลอมแปลงหน้าตาให้เหมือนแอปพลิเคชัน Microsoft WebView2 จนระบบป้องกันทั่วไปตรวจจับได้ยาก
จากโลกไซเบอร์สู่ภัยพิบัติทางกายภาพ
สิ่งที่น่ากังวลที่สุดในปัจจุบันคือ "เป้าหมาย" ของการโจมตีที่เปลี่ยนไปอย่างสิ้นเชิง จากเดิมที่แฮกเกอร์มุ่งเน้นเพียงการขโมยข้อมูลเพื่อเรียกค่าไถ่ แต่ในวันนี้ ข้อมูลที่ถูกจารกรรมจากโครงสร้างพื้นฐานสำคัญ เช่น ท่าเรือ Fujairah หรือกระทรวงยุติธรรมของโอมาน กำลังถูกนำไปใช้เป็นข้อมูลเชิงยุทธวิธีเพื่อสนับสนุน "การโจมตีทางกายภาพ" (เช่น การระบุพิกัดเพื่อเป้าหมายขีปนาวุธ) ปรากฏการณ์นี้ทำให้เส้นแบ่งระหว่าง "สงครามไซเบอร์" และ "สงครามในโลกความจริง" แทบจะหลอมรวมเป็นเนื้อเดียวกัน
เหตุการณ์นี้เป็นสัญญาณเตือนที่ชัดเจนว่า "ความไวใจ" (Trust) คือช่องโหว่ที่อันตรายที่สุด เพราะแม้แต่แพลตฟอร์มการทำงานที่เรามั่นใจในความปลอดภัยอย่าง Microsoft Teams ก็สามารถถูกใช้เป็นประตูเปิดไปสู่ความเสียหายที่คาดไม่ถึงได้
แนวทางรับมือและข้อควรระวัง
1. ยกระดับการป้องกันบนแพลตฟอร์มการทำงาน
- ควบคุม External Access: องค์กรควรจำกัดสิทธิ์การรับคำขอแชทจากบุคคลภายนอก (External Access) ใน Microsoft Teams ให้เฉพาะโดเมนที่เชื่อถือได้เท่านั้น
- เฝ้าระวังการแชร์หน้าจอ: การแชร์หน้าจอ (Screen Sharing) ไม่ได้มีความเสี่ยงแค่การเห็นข้อมูลลับ แต่คือช่องทางที่แฮกเกอร์ใช้สังเกตพฤติกรรมและหลอกล่อให้กรอกรหัสผ่านเพื่อเลี่ยง MFA โดยตรง
2. อย่าหยุดแค่การกำจัดแรนซัมแวร์
- หากตรวจพบมัลแวร์หรือร่องรอยแรนซัมแวร์ อย่าเพิ่งวางใจเมื่อลบไฟล์หรือกู้คืนข้อมูลเสร็จ ต้องตรวจสอบหาการฝังตัว (Persistence) เช่น การติดตั้ง Tool แปลกปลอม (DWAgent, AnyDesk) หรือการสร้างบัญชีผู้ใช้ใหม่ทิ้งไว้ในระบบด้วยเสมอ
3. ใช้หลักการ Zero Trust และการตรวจสอบอัตลักษณ์ที่เข้มงวด
- Verify Explicitly: ตรวจสอบตัวตนทุกครั้งก่อนเริ่มกระบวนการ Support แม้จะติดต่อผ่านช่องทางภายในองค์กรก็ตาม
- Least Privilege: จำกัดสิทธิ์การเข้าถึงข้อมูลที่สำคัญ เช่น ไฟล์คอนฟิก VPN หรือระบบ Registry ของระบบปฏิบัติการ เพื่อลดความเสียหายหากบัญชีผู้ใช้ถูกเจาะ
4. การเฝ้าระวังเครื่องมือต้องสงสัย
- ระบบป้องกัน (EDR/XDR) ต้องมีการตรวจจับการใช้งานเครื่องมือที่ดูเหมือนถูกกฎหมาย (เช่น AnyDesk, Remote Desktop หรือ Curl) ในพฤติกรรมที่ผิดปกติ เพราะแฮกเกอร์สมัยใหม่มักเลือกใช้เครื่องมือเหล่านี้เพื่อหลบเลี่ยงการตรวจจับแบบดั้งเดิม
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #Malware # MuddyWater #ZeroTrust
โฆษณา