ผู้โจมตีใช้เครื่องมือ RMM โจมตีผู้ใช้งานผ่านไฟล์ PDF ที่เป็นอันตราย

คลื่นลูกใหม่ของการโจมตีทางไซเบอร์ที่ผู้โจมตีใช้ไฟล์ PDF ที่เป็นอันตรายเพื่อหลอกให้ผู้ใช้งานติดตั้งเครื่องมือ Remote Monitoring and Management (RMM) ลงในระบบของตน การโจมตีเหล่านี้ใช้ประโยชน์จากความน่าเชื่อถือของซอฟต์แวร์ RMM เช่น Syncro, SuperOps, NinjaOne และ ConnectWise ScreenConnect เพื่อเข้าถึงระบบของเหยื่อโดยไม่ได้รับอนุญาต โดยไฟล์ PDF ที่เป็นอันตรายจะถูกปลอมแปลงเป็นเอกสารทางการเงินเช่น ‘Invoice’ หรือ ‘Payment’ และส่งผ่านแคมเปญฟิชชิ่ง

Severity: สูง

System Impact:

• ระบบของผู้ใช้งาน (User systems)
• อุปกรณ์ที่ใช้ Remote Monitoring and Management (RMM) tools (เช่น Syncro, SuperOps, NinjaOne, ConnectWise ScreenConnect)
• แพลตฟอร์มอีเมลที่เปิดรับแคมเปญฟิชชิ่ง
• เว็บไซต์ปลอมที่เลียนแบบ Google Drive หรือ Adobe

Technical Attack Steps:

1. ผู้โจมตีส่งไฟล์ PDF ที่เป็นอันตรายผ่านแคมเปญฟิชชิ่ง โดยปลอมเป็นเอกสารที่น่าเชื่อถือเช่น ‘Invoice’, ‘Product Order’ หรือ ‘Payment’
2. เมื่อผู้ใช้งานเปิดไฟล์ PDF พวกเขาจะเห็นรูปภาพที่ไม่สามารถดูตัวอย่างได้ หรือข้อความแสดงข้อผิดพลาด ‘Failed to load PDF document.’
3. ผู้ใช้งานถูกหลอกให้คลิกที่ลิงก์ใน PDF ซึ่งจะนำไปยังหน้า Google Drive ปลอม หรือเว็บไซต์ที่แอบอ้างเป็น Adobe
4. หน้า Google Drive ปลอมจะแสดงไฟล์ที่ดูเหมือนวิดีโอชื่อ ‘Video_recorded_on_iPhone17.mp4’ แต่แท้จริงแล้วคือไฟล์ติดตั้ง RMM ที่ปลอมแปลงมา
5. ผู้ใช้งานดาวน์โหลดและรันไฟล์ติดตั้ง RMM (สร้างด้วย Advanced Installer หรือ NSIS) ซึ่งจะติดตั้ง RMM tool ที่ถูกกฎหมาย (เช่น Syncro, NinjaOne) ลงบนระบบเป้าหมาย
6. ไฟล์ติดตั้ง Syncro RMM จะใช้พารามิเตอร์เฉพาะ เช่น ‘key’ และ ‘customerid’ เพื่อให้ผู้โจมตีสามารถควบคุมเครื่องที่ติดเชื้อจากระยะไกลได้
7. NSIS-based downloader variant จะดาวน์โหลด payload เพิ่มเติมจากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี (เช่น ‘anhemvn124.com’) และติดตั้ง NinjaOne RMM ในโหมดเงียบเพื่อหลีกเลี่ยงการตรวจจับ

Recommendations:

Short Term:

• ระมัดระวังเป็นพิเศษกับอีเมลและไฟล์ PDF ที่น่าสงสัย โดยเฉพาะที่เกี่ยวข้องกับใบแจ้งหนี้ คำสั่งซื้อ หรือการชำระเงิน
• ตรวจสอบแหล่งที่มาของผู้ส่งอีเมลและลิงก์ทั้งหมดอย่างละเอียดก่อนที่จะคลิกหรือดาวน์โหลดไฟล์
• ห้ามคลิกลิงก์หรือดาวน์โหลดไฟล์จากหน้า Google Drive หรือเว็บไซต์ที่ไม่คุ้นเคยที่เปิดขึ้นจากเอกสาร PDF
• ใช้ซอฟต์แวร์รักษาความปลอดภัย (เช่น Antivirus, Endpoint Detection & Response – EDR) ที่อัปเดตอยู่เสมอ

Long Term:

• จัดให้มีการฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์แก่พนักงานอย่างต่อเนื่อง เพื่อให้รู้จักและหลีกเลี่ยงการโจมตีแบบฟิชชิ่งและไฟล์อันตราย
• ใช้ระบบกรองอีเมลและโซลูชัน EDR ที่มีประสิทธิภาพเพื่อตรวจจับและบล็อกภัยคุกคามที่อาจใช้ RMM tools
• พิจารณาการนำ Application Whitelisting มาใช้ เพื่ออนุญาตให้เฉพาะซอฟต์แวร์ที่ได้รับอนุญาตเท่านั้นที่สามารถทำงานบนระบบได้
• ตรวจสอบและจำกัดการใช้งาน RMM tools เฉพาะบุคลากรที่จำเป็นอย่างเคร่งครัด และตรวจสอบกิจกรรมของ RMM อย่างสม่ำเสมอเพื่อหาพฤติกรรมที่ผิดปกติ
• ใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับการเข้าถึงระบบและบริการที่สำคัญทั้งหมด

Source: https://cybersecuritynews.com/threat-actors-leveraging-rmm-tools/