Microsoft ได้ดำเนินการทางกฎหมายร่วมกับหน่วยงานบังคับใช้กฎหมายในสหรัฐอเมริกาและสหราชอาณาจักร เพื่อจัดการกับ RedVDS ซึ่งเป็นบริการสมัครสมาชิกอาชญากรรมไซเบอร์ที่อำนวยความสะดวกในการฉ้อโกงมูลค่านับล้านดอลลาร์ โดยเฉพาะอย่างยิ่งการหลอกลวงแบบฟิชชิ่งและการฉ้อโกง BEC (Business Email Compromise) ซึ่งส่งผลให้เกิดความเสียหายประมาณ 40 ล้านดอลลาร์สหรัฐฯ และมีองค์กรกว่า 191,000 แห่งทั่วโลกได้รับผลกระทบ Microsoft ได้ยึดโครงสร้างพื้นฐานที่เป็นอันตรายและทำให้บริการ RedVDS.com ออฟไลน์แล้ว การดำเนินการนี้เน้นย้ำถึงบทบาทที่เพิ่มขึ้นของบริการ Crimeware-as-a-Service (CaaS) ในการทำให้การก่ออาชญากรรมไซเบอร์เข้าถึงได้ง่ายขึ้น และการที่ผู้โจมตีใช้เครื่องมือ AI สร้างสรรค์เพื่อเพิ่มความซับซ้อนในการหลอกลวง
Severity: สูง
System Impact:
- RedVDS (บริการสมัครสมาชิกอาชญากรรมไซเบอร์)
- Virtual computers/servers (เซิร์ฟเวอร์ RDP แบบใช้แล้วทิ้งที่ใช้ Windows)
- ซอฟต์แวร์ Windows ที่ไม่ได้รับอนุญาต (โดยเฉพาะ Windows Eval 2022 license)
- แอปพลิเคชัน/บอท Telegram (สำหรับการจัดการเซิร์ฟเวอร์)
- Discord, ICQ (แพลตฟอร์มที่ RedVDS เคยดำเนินการ)
- Microsoft Power Automate (Flow) (ใช้โดยผู้โจมตีเพื่อส่งอีเมลแบบโปรแกรม)
- ChatGPT, OpenAI tools (ใช้เพื่อสร้างเหยื่อล่อฟิชชิ่งและรวบรวมข้อมูล)
- เครื่องมือ AI สร้างสรรค์ (เช่น การสลับใบหน้า, การจัดการวิดีโอ, การโคลนเสียง AI)
- ภาคส่วนที่ได้รับผลกระทบ: กฎหมาย, การก่อสร้าง, การผลิต, อสังหาริมทรัพย์, การดูแลสุขภาพ, การศึกษา
- พื้นที่ทางภูมิศาสตร์ที่ได้รับผลกระทบ: สหรัฐอเมริกา, สหราชอาณาจักร, แคนาดา, ฝรั่งเศส, เนเธอร์แลนด์, เยอรมนี, สิงคโปร์, ออสเตรเลีย และประเทศที่มีโครงสร้างพื้นฐานธนาคารที่สำคัญ
Technical Attack Steps:
- ผู้โจมตีสมัครใช้บริการ RedVDS เพื่อเข้าถึงคอมพิวเตอร์เสมือนที่ใช้แล้วทิ้ง ซึ่งเป็นเซิร์ฟเวอร์ RDP บน Windows ที่ใช้ซอฟต์แวร์ Windows ที่ไม่ได้รับอนุญาต
- เซิร์ฟเวอร์เหล่านี้ตั้งอยู่ในหลายประเทศและมาพร้อมกับการควบคุมของผู้ดูแลระบบอย่างสมบูรณ์
- ผู้โจมตีสามารถจัดการเซิร์ฟเวอร์ผ่านอินเทอร์เฟซผู้ใช้หรือบอท Telegram โดยไม่เก็บล็อกกิจกรรม ทำให้สามารถดำเนินการได้โดยไม่เปิดเผยตัวตน
- เครื่องเสมือน RedVDS ถูกสร้างขึ้นอย่างรวดเร็วโดยใช้เทคโนโลยี QEMU และโคลนจากอิมเมจ Windows Server 2022 เพียงชุดเดียว (ใช้ลิขสิทธิ์ Windows Eval 2022 ที่ถูกขโมยมาและ ID คอมพิวเตอร์เดียวกัน)
- มีการติดตั้งเครื่องมือต่างๆ บนเครื่องเสมือนเหล่านี้ เช่น เครื่องมือส่งอีเมลสแปม/ฟิชชิ่งจำนวนมาก, เครื่องมือเก็บรวบรวมที่อยู่อีเมล, เครื่องมือความเป็นส่วนตัว และเครื่องมือเข้าถึงระยะไกล
- เครื่องมือ AI สร้างสรรค์ เช่น ChatGPT/OpenAI ถูกนำมาใช้เพื่อระบุเป้าหมายที่มีมูลค่าสูง สร้างเหยื่อล่อฟิชชิ่งที่สมจริง และรวบรวมข้อมูลเกี่ยวกับขั้นตอนการทำงานขององค์กร
- มีการใช้เครื่องมือ AI สำหรับการสลับใบหน้า, การจัดการวิดีโอ และการโคลนเสียงเพื่อเพิ่มความน่าเชื่อถือในการหลอกลวง
- ส่งอีเมลฟิชชิ่งในปริมาณมาก, โฮสต์โครงสร้างพื้นฐานการหลอกลวง และดำเนินการฉ้อโกง BEC ส่งผลให้มีการเข้ายึดบัญชีและการฉ้อโกงทางการเงิน
- เป้าหมายสุดท้ายคือการออกใบแจ้งหนี้ปลอมหรือหลอกลวงเหยื่อให้โอนเงินไปยังบัญชีม้าที่อยู่ภายใต้การควบคุมของผู้โจมตี
Recommendations:
Short Term:
- ติดตั้งการยืนยันตัวตนแบบหลายปัจจัย (MFA) ที่แข็งแกร่งสำหรับบัญชีทั้งหมด
- จัดการอบรมพนักงานทันทีเพื่อระบุความพยายามในการฟิชชิ่ง, BEC และ Deepfake ที่ซับซ้อน
- บล็อกที่อยู่ IP ที่น่าสงสัยที่เกี่ยวข้องกับโครงสร้างพื้นฐาน CaaS ที่รู้จัก
- ตรวจสอบและบังคับใช้นโยบายความปลอดภัยอีเมล (เช่น DMARC, SPF, DKIM)
Long Term:
- ลงทุนในโซลูชันการตรวจจับภัยคุกคามขั้นสูงและโซลูชันความปลอดภัยที่ขับเคลื่อนด้วย AI เพื่อระบุและตอบโต้การโจมตีที่เสริมด้วย AI สร้างสรรค์
- สร้างโปรแกรมการจัดการความเสี่ยงของผู้ขายที่แข็งแกร่ง รวมถึงการตรวจสอบวิเคราะห์สถานะเกี่ยวกับลิขสิทธิ์ซอฟต์แวร์และผู้ให้บริการโครงสร้างพื้นฐาน
- ตรวจสอบอย่างต่อเนื่องเพื่อหาการใช้ซอฟต์แวร์ที่ไม่ได้รับอนุญาตหรือละเมิดลิขสิทธิ์ภายในองค์กร
- ดำเนินการโปรแกรมการสร้างความตระหนักด้านความปลอดภัยที่ครอบคลุม ซึ่งรวมถึงการทดสอบฟิชชิ่ง, BEC และ Deepfake จำลองเป็นประจำ
- เสริมสร้างความสามารถในการตอบสนองต่อเหตุการณ์เพื่อตรวจจับและบรรเทาความพยายามในการฉ้อโกงได้อย่างรวดเร็ว
Source: https://thehackernews.com/2026/01/microsoft-legal-action-disrupts-redvds.html
Share this content: