SANS เผยรายละเอียดที่พนักงานภายในตกเป็นเหยื่อของ Phishing

เมื่อสัปดาห์ก่อนทาง SANS ได้ออกมาเปิดเผยว่ามีพนักงานภายในตกเป็นเหยื่อของ Phishing ซึ่งล่าสุดได้มีการเปิดเผยรายละเอียดทางเทคนิคว่าหน้าตา Phishing เป็นยังไง และมีพฤติกรรมอะไรบ้าง

สำหรับใครที่ไม่ได้ติดตามข่าวนี้ต้องย้อนกลับไปก่อนว่าเมื่อไม่นานมานี้มีพนักงานภายในของ SANS หรือสถาบันจัดอบรมและเปิดสอบ Certificate ด้าน Cybersecurity ได้ตกเป็นเหยื่อของ Phishing ทำให้คนร้ายสามารถ Forward Email 513 ฉบับออกไป ซึ่งกระทบกับข้อมูลสำคัญของสมาชิกกว่า 28,000 รายการ โดย ณ เวลานั้น SANS สัญญาว่าหากมีรายละเอียดเพิ่มเติมจะออกมาเปิดเผยให้เป็นกรณีศึกษาแก่สังคม

ต่อมามีการเปิดเผยรูปแบบของ Phishing ที่โดนแล้ว คือการอ้างตัวว่าส่งมาจากบริการ SharePoint ขององค์กร (หน้าตาตามด้านบน) ซึ่งมีการแชร์ไฟล์ที่ชื่อ ‘Copy of July Bonus 24JUL2020.xls’ พร้อมกับเสนอให้กดเปิด โดยเมื่อคลิกจะพาไปยัง URL “https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws [.]com/index.html,” ให้ใส่ Credentials ของ Office365 เมื่อเหยื่อหลงกลจะเข้าไปติดตั้ง OAuth Addon ที่ชื่อ ‘Enable4Excel’ และจะเข้าไปตั้ง Rule เพื่อ Forward อีเมลที่เกี่ยวข้องกับ Keyword เช่น agreement, bank, fund, transfer และอื่นๆ ออกไปที่ daemon [@] daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com.’

สำหรับรายละเอียดทั้งหมดของ IoC ที่ SANS แชร์ออกมาสามารถศึกษาเพิ่มเติมได้ที่นี่ โดยอุทาหรณ์ของเรื่องคือไม่ว่าองค์กรจะแกร่งแค่ไหน ขอเพียงมีรอยรั่วนิดเดียวก็หายนะได้

ที่มา :  https://www.bleepingcomputer.com/news/security/sans-shares-details-on-attack-that-led-to-their-data-breach/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] ฟอร์ติเน็ตเปิดตัวโซลูชัน Cloud native protection ปกป้องธุรกิจให้พ้นจากภัยคุกคามบนคลาวด์ พร้อมให้ใช้งานแล้วบน AWS

FortiCNP ช่วยลดความซับซ้อนในกระบวนการด้านความปลอดภัยบนคลาวด์ บริหารความเสี่ยงภัยได้เร็วขึ้น และให้การป้องกันภัยคุกคามได้เกือบเรียลไทม์ด้วยคุณสมบัติในการตรวจจับมัลแวร์ในระดับ Zero-Permission

พบช่องโหว่ Local Privilege Escalation บน Kaspersky VPN Client

พบช่องโหว่ Local Privilege Escalation ความรุนแรงระดับสูง บน Kaspersky VPN Client ผู้ที่ใช้งานควรรีบทำการอัปเดต