SANS เผยรายละเอียดที่พนักงานภายในตกเป็นเหยื่อของ Phishing

เมื่อสัปดาห์ก่อนทาง SANS ได้ออกมาเปิดเผยว่ามีพนักงานภายในตกเป็นเหยื่อของ Phishing ซึ่งล่าสุดได้มีการเปิดเผยรายละเอียดทางเทคนิคว่าหน้าตา Phishing เป็นยังไง และมีพฤติกรรมอะไรบ้าง

สำหรับใครที่ไม่ได้ติดตามข่าวนี้ต้องย้อนกลับไปก่อนว่าเมื่อไม่นานมานี้มีพนักงานภายในของ SANS หรือสถาบันจัดอบรมและเปิดสอบ Certificate ด้าน Cybersecurity ได้ตกเป็นเหยื่อของ Phishing ทำให้คนร้ายสามารถ Forward Email 513 ฉบับออกไป ซึ่งกระทบกับข้อมูลสำคัญของสมาชิกกว่า 28,000 รายการ โดย ณ เวลานั้น SANS สัญญาว่าหากมีรายละเอียดเพิ่มเติมจะออกมาเปิดเผยให้เป็นกรณีศึกษาแก่สังคม

ต่อมามีการเปิดเผยรูปแบบของ Phishing ที่โดนแล้ว คือการอ้างตัวว่าส่งมาจากบริการ SharePoint ขององค์กร (หน้าตาตามด้านบน) ซึ่งมีการแชร์ไฟล์ที่ชื่อ ‘Copy of July Bonus 24JUL2020.xls’ พร้อมกับเสนอให้กดเปิด โดยเมื่อคลิกจะพาไปยัง URL “https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws [.]com/index.html,” ให้ใส่ Credentials ของ Office365 เมื่อเหยื่อหลงกลจะเข้าไปติดตั้ง OAuth Addon ที่ชื่อ ‘Enable4Excel’ และจะเข้าไปตั้ง Rule เพื่อ Forward อีเมลที่เกี่ยวข้องกับ Keyword เช่น agreement, bank, fund, transfer และอื่นๆ ออกไปที่ daemon [@] daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com.’

สำหรับรายละเอียดทั้งหมดของ IoC ที่ SANS แชร์ออกมาสามารถศึกษาเพิ่มเติมได้ที่นี่ โดยอุทาหรณ์ของเรื่องคือไม่ว่าองค์กรจะแกร่งแค่ไหน ขอเพียงมีรอยรั่วนิดเดียวก็หายนะได้

ที่มา :  https://www.bleepingcomputer.com/news/security/sans-shares-details-on-attack-that-led-to-their-data-breach/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Gartner ออก Magic Quadrant ด้าน Web Application Firewalls ประจำปี 2020 – Imperva, Akamai ครอง Leaders

Gartner บริษัทวิจัยและให้คำปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Web Application Firewalls ประจำปี 2020 ผลปรากฏว่า Akamai และ Imperva …

เตือน KashmirBlack Botnet เข้าโจมตี CMS หลายแพลตฟอร์ม มีเหยื่อแล้วนับแสนราย

Imperva ได้ออกรายงานเตือนถึงความร้ายแรงใน Botnet ที่ชื่อ ‘KashmirBlack’ กับเจ้าของเว็บไซต์ต่างๆ ซึ่งมีเหยื่อนับแสนรายแล้ว