PDPC เตือน! พบแฮกเกอร์อิหร่านใช้ MS Teams หลอกเป็นฝ่ายไอทีดูดข้อมูล

ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล PDPC Eagle Eye พาต์เฟซบุ๊กเตือนภัยไซเบอร์ ระบุว่า ระวัง! กลุ่มแฮกเกอร์อิหร่าน 'MuddyWater' ใช้ Microsoft Teams ปลอมเป็น IT Support หลอกดูดข้อมูล

รายงานจาก The Hacker News ระบุว่า MuddyWater ซึ่งเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน (และเชื่อมโยงกับกระทรวงข่าวกรองของอิหร่าน) ได้ปรับเปลี่ยนยุทธวิธีในการโจมตีองค์กร

ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล - PDPC Eagle Eye

โดยหันมาใช้แพลตฟอร์มทำงานยอดฮิตอย่าง Microsoft Teams เป็นเครื่องมือหลักในการเจาะระบบ แทนที่จะพึ่งพาแต่อีเมลฟิชชิ่ง (Email Phishing) แบบเดิม ๆ

แฮกเกอร์จะส่งข้อความแชตที่ดูน่าเชื่อถือเพื่อหลอกให้พนักงานดาวน์โหลดมัลแวร์ หรือคลิกลิงก์อันตรายที่นำไปสู่การยึดเครื่องและขโมยข้อมูลสำคัญขององค์กร

วิธีการโจมตี จะเริ่มจากการแฝงตัวผ่านบัญชีที่ถูกแฮก (Compromised Accounts) แฮกเกอร์จะใช้บัญชี MS Teams ขององค์กรภายนอกที่ถูกเจาะระบบไว้แล้ว ส่งข้อความแชตข้ามองค์กร (External Message) มาหาเหยื่อโดยตรง

ก่อนหลอกลวงด้วยความน่าเชื่อถือ (Social Engineering) ผ่านการส่งข้อความทักทายที่ดูเป็นทางการ ปลอมตัวเป็นพาร์ตเนอร์หรือฝ่ายไอที เพื่อให้เหยื่อลดความระมัดระวังเมื่อเห็นว่าเป็นแอปพลิเคชันของบริษัท

จากนั้น จะลอบติดตั้งโปรแกรมควบคุมเครื่อง (RMM Deployment) โดยส่งลิงก์หรือไฟล์แนบอันตรายในแชต หากเหยื่อคลิก จะเป็นการดาวน์โหลดและติดตั้งเครื่องมือควบคุมระยะไกล (เช่น Atera หรือ Syncro) ทำให้แฮกเกอร์สามารถยึดเครื่องและเจาะเข้าสู่เครือข่ายองค์กรได้ทันที

ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล ได้แนวทางป้องกันสำหรับองค์กร (Prevention Guidelines) ไว้ดังนี้

• จำกัดการติดต่อจากภายนอก (Restrict External Access) ผู้ดูแลระบบ (IT Admin) ควรตั้งค่า Microsoft Teams ให้บล็อกการรับข้อความจากโดเมนภายนอก (External Domains) หากไม่มีความจำเป็นในการติดต่อทางธุรกิจ
• ใช้ฟีเจอร์ Allow-list หากจำเป็นต้องติดต่อกับพาร์ทเนอร์ภายนอกผ่าน Teams ให้ตั้งค่าอนุญาตเฉพาะโดเมนของพาร์ทเนอร์ที่เชื่อถือได้เท่านั้น (Specific Allowed Domains)
• เฝ้าระวังโปรแกรม RMM แฝง ติดตั้งระบบตรวจจับและบล็อกซอฟต์แวร์ควบคุมเครื่องระยะไกล (RMM Tools) ที่ไม่ได้รับการอนุมัติจากบริษัท (Unsanctioned applications)
• เปิดใช้งาน MFA (Multi-Factor Authentication) บังคับใช้การยืนยันตัวตนแบบหลายปัจจัยสำหรับทุกบัญชี เพื่อป้องกันไม่ให้แฮกเกอร์ยึดบัญชี Teams ของพนักงานไปใช้โจมตีคนอื่นต่อ
• ให้ความรู้พนักงาน (Security Awareness) ย้ำเตือนพนักงานว่า "ข้อความแชตใน Teams สามารถเป็น Phishing ได้เหมือนอีเมล" ห้ามคลิกลิงก์หรือโหลดไฟล์จากคนแปลกหน้าเด็ดขาด