สำนักข่าวกรองแห่งชาติ
| ค้นหา |
สถานการณ์ไซเบอร์

Cybersecurity

แก้ไขล่าสุดเมื่อ :
ไม่มีไฟล์แนบ

อิเกียได้รับผลกระทบจากการโจมตีด้วยอีเมลหลอกลวงภายในอย่างต่อเนื่อง

เว็บไซต์ bleepingcomputer.com รายงานเมื่อ ๒๖ พ.ย. ๖๔ ว่า ระบบอีเมลของอิเกีย (IKEA) บริษัทจำหน่ายเครื่องเรือนและของใช้ในบ้าน กำลังได้รับผลกระทบจากการโจมตีทางไซเบอร์อย่างต่อเนื่อง ซึ่งผู้ไม่หวังดีนั้นใช้การโจมตีด้วยการส่งอีเมลตอบกลับที่ดูน่าเชื่อถือว่าเป็นอีเมลภายในของอีเกียเอง โดยมุ่งเป้าหมายไปที่พนักงานของบริษัทอิเกีย การโจมตีด้วยอีเมลตอบกลับ คือการที่ผู้ไม่หวังดีได้ขโมยบัญชีอีเมลของบริษัท จากนั้นนำอีเมลดังกล่าวซึ่งเป็นอีเมลที่ถูกต้องของบริษัทไปตอบกลับ (reply) อีเมลภายในของอีเกีย พร้อมแนบลิงก์ที่เชื่อมต่อไปยังเอกสารที่แฝงมัลแวร์อันตรายไว้ เพื่อหลอกล่อให้ผู้รับคลิกและติดตั้งมัลแวร์ดังกล่าวลงในเครื่องคอมพิวเตอร์ของผู้รับ ผู้ไม่หวังดีได้โจมตีเครื่องคอมพิวเตอร์แม่ข่าย Microsoft Exchange ซึ่งให้บริการระบบอีเมลโดยใช้ช่องโหว่ ProxyShell และ ProxyLogin เพื่อทำการโจมตีแบบฟิชชิ่ง (Phishing) เมื่อผู้ไม่หวังดีเข้าถึงเครื่องคอมพิวเตอร์แม่ข่ายแล้ว จะใช้ Microsoft Exchange ดังกล่าวส่งอีเมลภายในที่ดูเหมือนอีเมลตอบกลับพนักงานอิเกีย โดยการแอบอ้างอีเมลของบริษัท            

                      เนื่องจากอีเมลตอบกลับนั้นเป็นอีเมลที่อยู่ในรูปแบบที่ถูกต้องจากบริษัท และมักจะส่งมาจากบัญชีอีเมลที่ถูกบุกรุกและส่งมาจากเครือข่ายภายใน จึงทำให้ผู้รับเชื่อถืออีเมลและมีแนวโน้มที่จะคลิกลิงก์เปิดเอกสารที่เป็นอันตรายมากขึ้น ซึ่งปัจจุบันยังมีการโจมตีอย่างต่อเนื่อง โดยมุ่งเป้าไปที่กล่องข้อความอีเมลภายในบริษัทอิเกีย รวมถึง หุ้นส่วนหรือพันธมิตรทางธุรกิจอื่น ๆ ของอิเกีย ทั้งนี้ แผนกไอทีของอิเกียได้แจ้งเตือนพนักงานไม่ให้เปิดอีเมล ไม่ว่าจะเป็นการส่งจากใครก็ตาม และให้รายงานไปยังแผนกที่ไอทีทันที โดยอีเมลหลอกลวงดังกล่าวจะแนบลิงก์ที่ประกอบด้วยตัวเลข ๗ หลักต่อท้าย ดังภาพ 

 

                                  ภาพเนื้อหาของอีเมลตอบกลับหลอกลวงของบริษัทอิเกีย 

                    การโจมตีดังกล่าวใช้เพื่อแพร่กระจายมัลแวร์ Emotet หรือ Qbot เมื่อเหยื่อหรือผู้รับคลิกลิงก์ในอีเมล บราวเซอร์จะถูกเปลี่ยนเส้นทางไปยังการดาวน์โหลดไฟล์ที่ชื่อว่า charts.zip ซึ่งมีไฟล์เอกสาร Excel ที่แฝงมัลแวร์ที่เป็นอันตรายอยู่ ไฟล์แนบดังกล่าวจะบอกให้ผู้รับคลิกปุ่ม เปิดใช้งานเนื้อหา หรือ เปิดใช้งานการแก้ไข เพื่อดูเนื้อหาอย่างถูกต้อง ดังภาพ เมื่อคลิกปุ่มเหล่านั้นแล้ว มัลแวร์มาโครจะทำการดาวน์โหลดไฟล์ชื่อ besta.ocx bestb.ocx และ bestc.ocx จากเว็บไซต์ระยะไกลและบันทึกลงโฟลเดอร์ C:\Datop ของคอมพิวเตอร์ จากนั้นไฟล์ .ocx จะเปลี่ยนสกุลเป็น .dll และจะใช้คำสั่ง regsrv32.exe เพื่อติดตั้งเพย์โหลดมัลแวร์ลงในเครื่องของเหยื่อ โดยมัลแวร์ Emotet หรือ Qbot เหล่านี้จะนำไปสู่การบุกรุกเครือข่ายอื่นเพิ่มขึ้นและท้ายที่สุดนำไปสู่มัลแวร์เรียกค่าไถ่

 

ภาพเนื้อหาในไฟล์เอกสาร Excel ซึ่งแฝงมัลแวร์เรียกค่าไถ่