SUSE by Ingram

SANS เผยรายละเอียดที่พนักงานภายในตกเป็นเหยื่อของ Phishing

เมื่อสัปดาห์ก่อนทาง SANS ได้ออกมาเปิดเผยว่ามีพนักงานภายในตกเป็นเหยื่อของ Phishing ซึ่งล่าสุดได้มีการเปิดเผยรายละเอียดทางเทคนิคว่าหน้าตา Phishing เป็นยังไง และมีพฤติกรรมอะไรบ้าง

สำหรับใครที่ไม่ได้ติดตามข่าวนี้ต้องย้อนกลับไปก่อนว่าเมื่อไม่นานมานี้มีพนักงานภายในของ SANS หรือสถาบันจัดอบรมและเปิดสอบ Certificate ด้าน Cybersecurity ได้ตกเป็นเหยื่อของ Phishing ทำให้คนร้ายสามารถ Forward Email 513 ฉบับออกไป ซึ่งกระทบกับข้อมูลสำคัญของสมาชิกกว่า 28,000 รายการ โดย ณ เวลานั้น SANS สัญญาว่าหากมีรายละเอียดเพิ่มเติมจะออกมาเปิดเผยให้เป็นกรณีศึกษาแก่สังคม

ต่อมามีการเปิดเผยรูปแบบของ Phishing ที่โดนแล้ว คือการอ้างตัวว่าส่งมาจากบริการ SharePoint ขององค์กร (หน้าตาตามด้านบน) ซึ่งมีการแชร์ไฟล์ที่ชื่อ ‘Copy of July Bonus 24JUL2020.xls’ พร้อมกับเสนอให้กดเปิด โดยเมื่อคลิกจะพาไปยัง URL “https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws [.]com/index.html,” ให้ใส่ Credentials ของ Office365 เมื่อเหยื่อหลงกลจะเข้าไปติดตั้ง OAuth Addon ที่ชื่อ ‘Enable4Excel’ และจะเข้าไปตั้ง Rule เพื่อ Forward อีเมลที่เกี่ยวข้องกับ Keyword เช่น agreement, bank, fund, transfer และอื่นๆ ออกไปที่ daemon [@] daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com.’

สำหรับรายละเอียดทั้งหมดของ IoC ที่ SANS แชร์ออกมาสามารถศึกษาเพิ่มเติมได้ที่นี่ โดยอุทาหรณ์ของเรื่องคือไม่ว่าองค์กรจะแกร่งแค่ไหน ขอเพียงมีรอยรั่วนิดเดียวก็หายนะได้

ที่มา :  https://www.bleepingcomputer.com/news/security/sans-shares-details-on-attack-that-led-to-their-data-breach/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Palo Alto Networks | Nutanix Webinar: Straight up Security with Nutanix and Palo Alto Networks

Palo Alto Networks และ Nutanix ขอเชิญเหล่า CISO, IT Security Manager, Security Engineer และผู้ที่เกี่ยวข้องกับสายงานทางด้าน IT Security …

CISA ออกเตือนพบคนร้ายสามารถ Bypass MFA เพื่อเข้าถึงบัญชี Cloud

CISA ได้ออกเตือนถึงเหตุการณ์ทั่วไปที่ตนพบเกี่ยวกับการโจมตีบัญชี Cloud ที่เกิดขึ้นได้บ่อย และมีบางกรณีที่คนร้ายสามารถลัดผ่านการป้องกันด้วย Multi-factor Authentication ได้