แคมเปญฟิชชิ่ง VENOMOUS#HELPER

แคมเปญฟิชชิงที่ซับซ้อนซึ่งระบุว่าเป็น VENOMOUS#HELPER ได้เริ่มดำเนินการมาตั้งแต่เดือนเมษายน 2025 เป็นอย่างน้อย โดยมุ่งเป้าไปที่ช่องทางการโจมตีหลายช่องทางผ่านการใช้เครื่องมือตรวจสอบและจัดการระยะไกล (RMM) ที่ถูกต้องตามกฎหมายในทางที่ผิด มีองค์กรมากกว่า 80 แห่งได้รับผลกระทบ โดยส่วนใหญ่อยู่ในสหรัฐอเมริกา กิจกรรมนี้ซ้อนทับกับกลุ่มที่เคยมีการบันทึกไว้ก่อนหน้านี้ซึ่งรู้จักกันในชื่อ STAC6405 แม้ว่าการระบุตัวผู้กระทำผิดยังไม่แน่นอน แต่รูปแบบการดำเนินการสอดคล้องกับกลุ่ม Initial Access Brokers (IABs) หรือกลุ่มที่เตรียมการโจมตีด้วยแรนซัมแวร์ซึ่งมุ่งหวังที่จะสร้างฐานที่มั่นเพื่อการโจมตีในภายหลัง

การใช้ประโยชน์จากเครื่องมือที่น่าเชื่อถือในทางที่ผิด: การใช้ซอฟต์แวร์ RMM ที่ถูกต้องตามกฎหมายในทางที่ผิด

แทนที่จะใช้ซอฟต์แวร์ที่เป็นอันตรายอย่างโจ่งแจ้ง ผู้โจมตีอาศัยเวอร์ชันที่ปรับแต่งแล้วของเครื่องมือที่ถูกต้องตามกฎหมาย เช่น SimpleHelp และ ConnectWise ScreenConnect เนื่องจากแอปพลิเคชันเหล่านี้ใช้กันทั่วไปในสภาพแวดล้อมขององค์กร การปรากฏตัวของแอปพลิเคชันเหล่านี้จึงมักหลีกเลี่ยงการควบคุมความปลอดภัยแบบดั้งเดิมและไม่ก่อให้เกิดความสงสัย

การใช้งานเครื่องมือทั้งสองพร้อมกันเป็นกลยุทธ์ที่จงใจกระทำ โดยการสร้างช่องทางการเข้าถึงระยะไกลแบบคู่ ผู้โจมตีจะมั่นใจได้ถึงความยืดหยุ่นในการปฏิบัติงาน หากตรวจพบและปิดกั้นการเชื่อมต่อหนึ่ง ช่องทางที่สองจะยังคงทำงานอยู่ ทำให้สามารถเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างต่อเนื่องโดยไม่หยุดชะงัก

จุดเริ่มต้นของการหลอกลวงแบบฟิชชิ่ง: วิศวกรรมสังคมด้วยการปลอมตัวที่ดูน่าเชื่อถือ

กระบวนการโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่สร้างขึ้นอย่างพิถีพิถัน โดยแอบอ้างเป็นสำนักงานประกันสังคมแห่งสหรัฐอเมริกา (SSA) ข้อความดังกล่าวขอให้ผู้รับตรวจสอบที่อยู่อีเมลของตนและดาวน์โหลดเอกสารรับรองจาก SSA ผ่านลิงก์ที่ฝังอยู่

ที่น่าสังเกตคือ ลิงก์ดังกล่าวจะนำเหยื่อไปยังเว็บไซต์ธุรกิจของเม็กซิโกที่ถูกต้องตามกฎหมายแต่ถูกเจาะระบบ ซึ่งแสดงให้เห็นถึงความพยายามโดยเจตนาที่จะหลีกเลี่ยงตัวกรองสแปมและการป้องกันตามชื่อเสียง จากนั้น เหยื่อจะถูกเปลี่ยนเส้นทางไปยังโดเมนที่สองที่ผู้โจมตีควบคุม ซึ่งเป็นที่ที่โฮสต์ของมัลแวร์ที่ปลอมตัวเป็นเอกสารที่ถูกต้องตามกฎหมาย

การส่งและคงอยู่ของข้อมูล: การออกแบบการเข้าถึงระยะยาว

เมื่อดาวน์โหลดเสร็จแล้ว ไฟล์ที่เป็นอันตรายซึ่งบรรจุอยู่ในรูปแบบไฟล์ปฏิบัติการของ Windows จะเริ่มการติดตั้งเครื่องมือ SimpleHelp RMM เชื่อกันว่าผู้โจมตีได้เจาะระบบบัญชี cPanel บนเซิร์ฟเวอร์โฮสติ้งเพื่อเตรียมไฟล์ที่เป็นอันตรายนี้

หลังจากเริ่มทำงานแล้ว มัลแวร์จะสร้างความสามารถในการคงอยู่และทนทานต่อการโจมตีผ่านกลไกหลายอย่าง:

• ติดตั้งเป็นบริการของ Windows พร้อมความสามารถในการคงสถานะในโหมดปลอดภัย
• การติดตั้งระบบเฝ้าระวังที่สามารถซ่อมแซมตัวเองได้ ซึ่งจะเริ่มต้นบริการใหม่โดยอัตโนมัติหากถูกยุติการทำงาน
• ตรวจสอบรายการผลิตภัณฑ์รักษาความปลอดภัยที่ติดตั้งเป็นประจำผ่านทางเนมสเปซ WMI root\SecurityCenter2 ทุกๆ 67 วินาที

เทคนิคเหล่านี้ทำให้ภัยคุกคามยังคงทำงาน ปรับตัวได้ และยากต่อการกำจัด

การยกระดับสิทธิ์และการควบคุมระบบอย่างเต็มรูปแบบ

เพื่อให้สามารถควบคุมระบบที่ถูกบุกรุกได้อย่างเต็มที่และโต้ตอบได้ โปรแกรม SimpleHelp จะยกระดับสิทธิ์โดยการได้รับสิทธิ์ SeDebugPrivilege ผ่าน AdjustTokenPrivileges นอกจากนี้ ยังมีการใช้ส่วนประกอบที่ถูกต้องตามกฎหมายของซอฟต์แวร์ คือ 'elev_win.exe' เพื่อเข้าถึงระดับ SYSTEM อีกด้วย

ระดับสิทธิ์ที่สูงขึ้นนี้ทำให้ผู้โจมตีสามารถ:

• ตรวจสอบและบันทึกกิจกรรมบนหน้าจอ
• ป้อนการกดแป้นพิมพ์แบบเรียลไทม์
• เข้าถึงทรัพยากรที่ละเอียดอ่อนภายในบริบทของผู้ใช้

ความสามารถดังกล่าวทำให้สามารถควบคุมสภาพแวดล้อมของเหยื่อได้อย่างสมบูรณ์โดยไม่ทำให้ระบบรักษาความปลอดภัยแบบเดิมทำงาน

กลยุทธ์การเข้าถึงแบบสำรอง: ScreenConnect เป็นช่องทางสำรอง

หลังจากสร้างช่องทางการเข้าถึงหลักแล้ว ผู้โจมตีจะใช้ ConnectWise ScreenConnect เป็นกลไกการเข้าถึงระยะไกลสำรอง ซึ่งช่วยให้การเข้าถึงคงอยู่ได้แม้ว่าการเชื่อมต่อ SimpleHelp เริ่มต้นจะถูกตรวจพบและบล็อกแล้วก็ตาม

การใช้เครื่องมือที่ถูกต้องตามกฎหมายหลายอย่างเน้นให้เห็นถึงกลยุทธ์การเข้าถึงแบบหลายชั้นที่ออกแบบมาเพื่อความทนทานและการพรางตัว ซึ่งทำให้การตรวจจับและการตอบสนองต่อเหตุการณ์ทำได้ยากขึ้น

ผลกระทบต่อการปฏิบัติงาน: การควบคุมอย่างเงียบๆ โดยไม่ให้ใครสังเกตเห็น

เวอร์ชัน SimpleHelp ที่ใช้งานอยู่ (5.0.1) มีชุดคุณสมบัติการบริหารจัดการระยะไกลที่แข็งแกร่ง เมื่อแทรกซึมเข้าไปในสภาพแวดล้อมแล้ว ผู้โจมตีจะสามารถดำเนินการได้อย่างอิสระและลับๆ ล่อๆ องค์กรที่ถูกบุกรุกจะตกอยู่ในความเสี่ยงต่อการถูกโจมตีอย่างต่อเนื่อง เนื่องจากผู้โจมตีสามารถกลับเข้าสู่ระบบได้ตามต้องการ

สภาพแวดล้อมดังกล่าวกลายเป็นสินทรัพย์ที่ถูกควบคุมอย่างมีประสิทธิภาพ ซึ่งผู้ไม่หวังดีสามารถเรียกใช้คำสั่งได้อย่างเงียบ ๆ ถ่ายโอนไฟล์ได้ทั้งสองทิศทาง และเคลื่อนที่ไปมาในเครือข่ายได้ เนื่องจากกิจกรรมทั้งหมดดูเหมือนจะมาจากซอฟต์แวร์ที่ลงนามอย่างถูกต้องซึ่งผลิตโดยผู้จำหน่ายที่มีชื่อเสียงในสหราชอาณาจักร ระบบป้องกันไวรัสแบบดั้งเดิมและการป้องกันโดยใช้ลายเซ็นจึงมักตรวจจับการบุกรุกไม่ได้

สรุป: แผนแม่บทสำหรับการบุกรุกในยุคปัจจุบัน

VENOMOUS#HELPER เป็นตัวอย่างของแนวโน้มที่เพิ่มขึ้นของการใช้เครื่องมือบริหารจัดการที่ถูกต้องตามกฎหมายเพื่อจุดประสงค์ที่เป็นอันตราย โดยการผสมผสานวิศวกรรมสังคม การใช้ซอฟต์แวร์ที่เชื่อถือได้ในทางที่ผิด และกลไกการเข้าถึงที่ซ้ำซ้อน ทำให้แคมเปญนี้สามารถคงอยู่ ซ่อนเร้น และมีความยืดหยุ่นในการปฏิบัติงาน แนวทางนี้เน้นย้ำถึงความจำเป็นเร่งด่วนในการตรวจสอบพฤติกรรม หลักการความไว้วางใจเป็นศูนย์ และการตรวจสอบการใช้งานเครื่องมือที่ถูกต้องตามกฎหมายภายในสภาพแวดล้อมขององค์กรอย่างเข้มงวดมากขึ้น