กลุ่มแรนซัมแวร์ Crazy กำลังใช้ซอฟต์แวร์ตรวจสอบพนักงานที่ถูกกฎหมาย (Net Monitor for Employees Professional) และเครื่องมือสนับสนุนระยะไกล (SimpleHelp) เพื่อคงการเข้าถึงเครือข่ายองค์กร หลีกเลี่ยงการตรวจจับ และเตรียมการโจมตีด้วยแรนซัมแวร์ การใช้เครื่องมือที่ถูกต้องตามกฎหมายนี้ช่วยให้ผู้โจมตีสามารถกลมกลืนกับการทำงานบริหารจัดการปกติ และเป็นภัยคุกคามที่ซับซ้อนต่อความปลอดภัยขององค์กร
Severity: สูง
System Impact:
- เครือข่ายองค์กร (Corporate networks)
- ระบบ Windows ที่ถูกบุกรุก (Compromised Windows systems)
- ซอฟต์แวร์ป้องกัน (Windows Defender)
- บริการ SSL VPN (จุดเริ่มต้นการเข้าถึง)
Technical Attack Steps:
- การเข้าถึงเบื้องต้น: ผู้โจมตีได้เข้าถึงเครือข่ายผ่านข้อมูลรับรอง SSL VPN ที่ถูกบุกรุก
- การติดตั้งเครื่องมือตรวจสอบ: ติดตั้ง ‘Net Monitor for Employees Professional’ โดยใช้ ‘msiexec.exe’ โดยตรงจากเว็บไซต์ผู้พัฒนา
- การคงอยู่และการเข้าถึงระยะไกล (หลัก): ‘Net Monitor for Employees Professional’ ให้ความสามารถในการดูเดสก์ท็อประยะไกล, ถ่ายโอนไฟล์ และรันคำสั่ง
- การเปิดใช้งานบัญชีผู้ดูแลระบบในเครื่อง: พยายามเปิดใช้งานบัญชีผู้ดูแลระบบในเครื่องโดยใช้คำสั่ง ‘net user administrator /active:yes’
- การติดตั้งเครื่องมือสนับสนุนระยะไกล (การคงอยู่สำรอง): ดาวน์โหลดและติดตั้งไคลเอนต์ ‘SimpleHelp remote access’ ผ่านคำสั่ง PowerShell โดยปลอมตัวเป็น ‘vshost.exe’ หรือ ‘C:\ProgramData\OneDriveSvc\OneDriveSvc.exe’
- การหลีกเลี่ยง: ปิดใช้งาน Windows Defender โดยพยายามหยุดและลบบริการที่เกี่ยวข้อง
- การลาดตระเวนและการเตรียมการ: กำหนดค่ากฎการตรวจสอบใน ‘SimpleHelp’ เพื่อแจ้งเตือนเมื่ออุปกรณ์เข้าถึงกระเป๋าเงินดิจิทัล หรือใช้เครื่องมือการจัดการระยะไกลอื่นๆ (เช่น Metamask, Binance, RDP, AnyDesk) เพื่อเตรียมพร้อมสำหรับการโจมตีด้วยแรนซัมแวร์หรือการขโมยเงินดิจิทัล
- การปรับใช้แรนซัมแวร์: ในบางเหตุการณ์ มีการปรับใช้แรนซัมแวร์ Crazy
Recommendations:
Short Term:
- ตรวจสอบการติดตั้งเครื่องมือตรวจสอบและการสนับสนุนระยะไกลที่ไม่ได้รับอนุญาตอย่างใกล้ชิด
- บังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบริการการเข้าถึงระยะไกลทั้งหมดที่ใช้เข้าถึงเครือข่าย (เช่น SSL VPN)
Long Term:
- ใช้โซลูชัน Endpoint Detection and Response (EDR) ที่แข็งแกร่ง
- ตรวจสอบซอฟต์แวร์ที่ติดตั้งและเครื่องมือการเข้าถึงระยะไกลเป็นประจำ
- เสริมสร้างการฝึกอบรมความตระหนักด้านความปลอดภัยสำหรับพนักงานเกี่ยวกับการโจมตีทางสังคมและการจัดการข้อมูลรับรอง
- ใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการเคลื่อนที่ด้านข้างของผู้โจมตี
- อัปเดตและแพตช์ซอฟต์แวร์ทั้งหมดเป็นประจำ โดยเฉพาะ VPN และเครื่องมือการเข้าถึงระยะไกล
- ตรวจสอบกิจกรรมที่น่าสงสัยที่เกี่ยวข้องกับการปิดใช้งานซอฟต์แวร์ความปลอดภัย
- ตรวจสอบการเชื่อมต่อขาออกสำหรับรูปแบบการรับส่งข้อมูลที่ผิดปกติ
Share this content: