แคมเปญ Spear-Phishing ใหม่ชื่อ ‘Operation Poseidon’ ได้เกิดขึ้น โดยใช้โครงสร้างพื้นฐานการโฆษณาของ Google เพื่อแพร่กระจายมัลแวร์ EndRAT และหลีกเลี่ยงมาตรการรักษาความปลอดภัยแบบดั้งเดิม ผู้โจมตีจากกลุ่ม Konni APT ใช้ลิงก์ติดตามการคลิกโฆษณาที่ถูกต้องเพื่อปลอมแปลง URL ที่เป็นอันตราย ทำให้ดูเหมือนเป็นการเข้าชมโฆษณาที่น่าเชื่อถือ ซึ่งช่วยหลีกเลี่ยงตัวกรองความปลอดภัยของอีเมล กลุ่มนี้มุ่งเป้าไปที่องค์กรในเกาหลีใต้ โดยปลอมเป็นองค์กรสิทธิมนุษยชนและสถาบันการเงินเพื่อหลอกให้เหยื่อดาวน์โหลดไฟล์อันตรายที่ปลอมแปลงเป็นเอกสารทางการเงิน การโจมตีเริ่มต้นเมื่อเหยื่อคลิก URL โฆษณาที่ถูกปลอมแปลง ซึ่งจะนำทางผ่านโดเมน ad.doubleclick.net ของ Google ไปยังเซิร์ฟเวอร์ WordPress ที่ถูกบุกรุกซึ่งโฮสต์ไฟล์ ZIP ที่มีมัลแวร์ การวิเคราะห์โดย Genians เผยให้เห็นเส้นทางการสร้างภายในที่เรียกว่า ‘Poseidon’ ซึ่งบ่งชี้ถึงการจัดการอย่างเป็นระบบของหน่วยปฏิบัติการนี้
Severity: วิกฤต
System Impact:
- ตัวกรองความปลอดภัยของอีเมล (Email Security Filters)
- นโยบายการบล็อก URL และโดเมนแบบดั้งเดิม (Traditional URL and Domain Blocking Policies)
- เว็บไซต์ WordPress ที่ถูกบุกรุกเพื่อใช้เป็นจุดกระจายมัลแวร์และโครงสร้างพื้นฐาน C2 (Compromised WordPress websites for malware distribution and C2 infrastructure)
- ระบบปลายทางของเหยื่อที่ติดมัลแวร์ EndRAT (Victim endpoints infected with EndRAT malware)
Technical Attack Steps:
- การส่งอีเมล Spear-Phishing: ส่งอีเมลที่มีเนื้อหาปลอมแปลงเป็นองค์กรที่น่าเชื่อถือ (เช่น องค์กรสิทธิมนุษยชน, สถาบันการเงิน) และมีข้อความภาษาอังกฤษจำนวนมากที่ซ่อนอยู่ด้วย ‘display:none’ ใน HTML เพื่อหลีกเลี่ยงระบบตรวจจับ Phishing ด้วย AI
- การใช้ Web Beacons: อีเมลมี 1×1 พิกเซล web beacons ที่โปร่งใส เพื่อติดตามการเปิดอีเมลและยืนยันอีเมลที่ใช้งานอยู่
- การหลอกลวงผ่าน Google Ads: อีเมลฝัง URL โฆษณาที่ถูกปลอมแปลง ซึ่งใช้โดเมนติดตามการคลิกโฆษณาที่ถูกต้องของ Google (เช่น ad.doubleclick.net) เพื่ออำพราง URL ที่เป็นอันตราย
- การเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ที่ถูกบุกรุก: เมื่อเหยื่อคลิก URL โฆษณาที่ถูกปลอมแปลง จะถูกเปลี่ยนเส้นทางผ่านโครงสร้างพื้นฐานของ Google ไปยังเซิร์ฟเวอร์ WordPress ที่ถูกบุกรุก ซึ่งโฮสต์ไฟล์ ZIP ที่เป็นอันตราย
- การดาวน์โหลดและเรียกใช้ไฟล์ ZIP: ไฟล์ ZIP เหล่านี้ประกอบด้วยไฟล์ LNK (Shortcut files) ที่ปลอมตัวเป็นเอกสาร PDF
- การโหลดมัลแวร์ EndRAT: ไฟล์ LNK จะทริกเกอร์การดาวน์โหลดและเรียกใช้สคริปต์ AutoIt โดยตรงในหน่วยความจำ ซึ่งเป็น EndRAT variant Remote Access Trojan (RAT) โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้เพิ่มเติม
Recommendations:
Short Term:
- แจ้งเตือนผู้ใช้งาน: ให้ความรู้แก่พนักงานเกี่ยวกับการโจมตีแบบ Spear-Phishing โดยเฉพาะการใช้ลิงก์โฆษณาที่ปลอมแปลงและเอกสารแนบที่น่าสงสัย
- ตรวจสอบและบล็อก IoC: ตรวจสอบและบล็อก Indicators of Compromise (IoC) ที่ทราบทั้งหมดที่เกี่ยวข้องกับ Operation Poseidon และกลุ่ม Konni APT (โดเมน C2, แฮชไฟล์มัลแวร์)
- ปรับปรุงตัวกรองอีเมล: ประเมินและปรับปรุงการตั้งค่าตัวกรองอีเมลเพื่อตรวจจับเทคนิคการหลีกเลี่ยง (เช่น เนื้อหาที่ซ่อนอยู่, web beacons) ที่ใช้ในการโจมตีประเภทนี้
- การสำรองข้อมูลอย่างสม่ำเสมอ: ตรวจสอบให้แน่ใจว่ามีการสำรองข้อมูลที่สำคัญและสามารถกู้คืนได้ เพื่อลดผลกระทบจากการติดมัลแวร์
Long Term:
- ใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA): บังคับใช้ MFA สำหรับทุกบัญชีเพื่อเพิ่มชั้นความปลอดภัย แม้ว่าข้อมูลรับรองจะถูกขโมยไปก็ตาม
- โปรแกรมการฝึกอบรมความตระหนักด้านความปลอดภัย: จัดการฝึกอบรมอย่างต่อเนื่องเพื่อให้ผู้ใช้งานมีความตระหนักถึงภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไป โดยเฉพาะเทคนิคทางวิศวกรรมสังคมที่ซับซ้อน
- การป้องกันปลายทางขั้นสูง (EDR): ติดตั้งโซลูชัน Endpoint Detection and Response (EDR) ที่สามารถตรวจจับและตอบสนองต่อพฤติกรรมมัลแวร์ขั้นสูงและการโจมตีแบบ fileless ได้
- การจัดการแพตช์และช่องโหว่: อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และแพลตฟอร์ม (เช่น WordPress) อย่างสม่ำเสมอเพื่อลดช่องโหว่ที่ผู้โจมตีอาจใช้
- การจำกัดสิทธิ์การเข้าถึง: ใช้หลักการสิทธิ์ขั้นต่ำ (Principle of Least Privilege) เพื่อจำกัดสิทธิ์การเข้าถึงของผู้ใช้งานและระบบให้เฉพาะที่จำเป็นเท่านั้น
- การสร้างแผนรับมือเหตุการณ์: พัฒนาและทดสอบแผนรับมือเหตุการณ์ที่มีประสิทธิภาพเพื่อตอบสนองต่อการโจมตีได้อย่างรวดเร็วและลดความเสียหาย
Source: https://cybersecuritynews.com/new-spear-phishing-attack-abusing-google-ads/
Share this content: