
ที่มาภาพ: BleepingComputer
การหลอกลวง IT Support ผ่าน Microsoft Teams ส่งลิงก์ดาวน์โหลด EtherRAT
⚡ สรุป 30 วิ
กลุ่มอาชญากรรมไซเบอร์ใช้การโทรผ่าน Microsoft Teams แอบอ้างเป็นฝ่าย IT เพื่อหลอกพนักงานดาวน์โหลดไฟล์ปลอมที่มีมอลแวร์ EtherRAT ซึ่งเชื่อมต่อกับเซิร์ฟเวอร์ C2…
กลุ่มอาชญากรรมไซเบอร์ใช้การโทรผ่าน Microsoft Teams แฝงเป็นเจ้าหน้าที่ไอ‑ทีขององค์กรเพื่อหลอกให้พนักงานดาวน์โหลดและติดตั้งมัลแวร์ EtherRAT ซึ่งเปิดช่องทางเข้าครั้งแรกสู่เครือข่ายภายในบริษัท การโจมตีแบบนี้ทำให้การตรวจจับผ่านระบบอีเมลหรือเว็บฟิลเตอร์ไม่เพียงพอ และเพิ่มความเสี่ยงต่อการสูญเสียข้อมูลสำคัญขององค์กร
Overview
ตามรายงานของ BleepingComputer กลุ่มผู้ก่อเหตุได้สร้างบัญชีปลอมบน Microsoft Teams แล้วส่งคำเชิญเข้าร่วมการสนทนาเสียงที่ดูเหมือนมาจากฝ่ายเทคนิคไอ‑ทีของบริษัทเป้าหมาย การโทรเริ่มต้นด้วยการแนะนำตัวและยืนยันว่าเป็น “เจ้าหน้าที่ช่วยเหลือ” ที่กำลังทำงานกับปัญหาทางระบบภายในองค์กร
พนักงานหลายคนถูกชักจูงให้คลิกลิงก์ที่แนบมาในข้อความ Teams ซึ่งนำไปสู่ไฟล์ติดตั้งของ EtherRAT เวอร์ชันใหม่ล่าสุด ไฟล์นั้นมักจะได้รับการทำเครื่องหมายเป็น “PDF” หรือ “เอกสาร Word” เพื่อหลอกให้นำเข้าโดยไม่สงสัย
หลังจากผู้ใช้ดำเนินการติดตั้ง มัลแวร์จะเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ควบคุมของโจรกรรม (C2) ผ่านช่องทาง HTTPS ทำให้ยากต่อการตรวจจับด้วยระบบป้องกันเครือข่ายแบบดั้งเดิม
Attack Vector & Modus Operandi
เทคนิคที่ใช้ในเหตุการณ์นี้อาศัยจุดอ่อนด้านมนุษย์มากกว่าช่องโหว่ของซอฟต์แวร์ โดยผู้โจมตีพยายามสร้างความรู้สึกเร่งด่วนและเชื่อถือได้โดยการอ้างว่า “ระบบของคุณกำลังมีปัญหา ต้องรีเซ็ตทันที”
ลิงก์ดาวน์โหลดที่ส่งมาใน Teams มักจะเป็น URL ย่อ (shortened URL) หรือโดเมนที่ดูคล้ายกับเว็บไซต์ของผู้ให้บริการซอฟต์แวร์ยอดนิยม ซึ่งทำให้การตรวจสอบจากมุมมองผู้ใช้ทั่วไปยากขึ้น
ขั้นตอนสำคัญของการโจมตีประกอบด้วย
- ส่งคำเชิญ Teams พร้อมข้อความอธิบายปัญหาเทคนิค
- แนะนำให้ดาวน์โหลดไฟล์ติดตั้งซึ่งเป็น EtherRAT ปลอมแปลงเป็นไฟล์เอกสารหรืออัปเดตซอฟต์แวร์
- หลังการติดตั้ง มัลแวร์จะสร้างช่องทางเชื่อมต่อกับ C2 Server เพื่อรับคำสั่งระยะไกล
Malware Profile – EtherRAT
EtherRAT เป็น Remote Access Trojan ที่พัฒนาโดยผู้โจมตีในภูมิภาคเอเชียตะวันออกเฉียงใต้ เวอร์ชันล่าสุดรองรับการทำงานบนระบบปฏิบัติการ Windows 10/11 และมีความสามารถหลายด้าน ได้แก่
- Keylogging เพื่อบันทึกข้อมูลที่พิมพ์โดยผู้ใช้
- File exfiltration ส่งไฟล์สำคัญออกสู่เซิร์ฟเวอร์ควบคุม
- Command execution ให้ผู้โจรกรรมเรียกใช้งาน PowerShell หรือ cmd.exe จากระยะไกล
- Persistence สร้างค่า Registry และ Scheduled Task เพื่อให้มัลแวร์ทำงานต่อเนื่องแม้รีสตาร์ทเครื่อง
การใช้ช่องทาง HTTPS ทำให้การตรวจจับโดยระบบ IDS/IPS ที่อาศัยการตรวจสอบแบบ signature‑based มีประสิทธิภาพลดลง จึงต้องพึ่งพาการวิเคราะห์พฤติกรรม (behavioral analysis) และ threat intelligence เพื่อตรวจหาเครือข่ายที่ติดต่อกับโดเมน C2 ที่เป็นที่รู้จัก
Impact on Enterprises
การเข้าถึงครั้งแรกผ่าน EtherRAT สามารถทำให้ผู้โจมตียึดครองเครื่องของพนักงานคนเดียวแล้วขยายอิทธิพลไปยังเซิร์ฟเวอร์ภายในได้อย่างรวดเร็ว ตัวอย่างเช่น การใช้ credential dumping เพื่อเก็บข้อมูลล็อกอินจากระบบ Active Directory หรือการติดตั้ง ransomware ต่อเนื่อง
ผลกระทบโดยตรงต่อองค์กรประกอบด้วย
- ความเสี่ยงต่อการรั่วไหลของข้อมูลลับและข้อมูลส่วนบุคคลของลูกค้า
- ค่าใช้จ่ายในการตรวจสอบเหตุการณ์ (incident response) และฟื้นฟูระบบที่อาจสูงหลายล้านบาท
- การสูญเสียความเชื่อมั่นจากพันธมิตรทางธุรกิจและผู้ถือหุ้น
นักวิเคราะห์ด้านความปลอดภัยชี้ให้เห็นว่าการโจมตีแบบนี้เป็น “low‑tech, high‑impact” เนื่องจากการใช้ช่องทางสื่อสารที่องค์กรส่วนใหญ่พึ่งพาอยู่แล้ว (Microsoft Teams) ทำให้ยากต่อการแยกแยะระหว่างการสนทนาธรรมดากับการหลอกลวง
Mitigation & Recommendations
เพื่อป้องกันไม่ให้เหตุการณ์เช่นนี้เกิดขึ้น ผู้ดูแลระบบควรดำเนินมาตรการหลายประการ ได้แก่
- ฝึกอบรมพนักงาน อย่างต่อเนื่องเกี่ยวกับสังคมวิศวกรรม (social engineering) และแนะนำให้ตรวจสอบตัวตนของผู้ติดต่อก่อนดาวน์โหลดไฟล์ใด ๆ
- ปรับตั้งค่า Microsoft Teams ให้บล็อกการเชิญจากภายนอกหรือจำกัดการใช้ฟีเจอร์ Voice Call เฉพาะผู้ใช้งานที่ได้รับอนุมัติแล้ว
- เปิดใช้ **Multi‑Factor Authentication (MFA) สำหรับทุกบัญชีผู้ใช้โดยเฉพาะบัญชีที่มีสิทธิ์ระดับแอดมิน
- ใช้เครื่องมือ EDR/EDR ที่สามารถตรวจจับพฤติกรรมของ malware อย่าง EtherRAT เช่น การเชื่อมต่อ HTTPS ไปยังโดเมนที่ไม่คุ้นเคยหรือการสร้าง Registry key เฉพาะ
การอัปเดต threat intelligence feed อย่างสม่ำเสมอก็เป็นส่วนสำคัญในการระบุ Indicator of Compromise (IoC) ของ EtherRAT ได้เร็วขึ้นและทำให้ทีมตอบโต้เหตุการณ์สามารถปิดกั้นการเชื่อมต่อ C2 ได้ทันท่วงที
Summary
การแอบอ้างเป็นเจ้าหน้าที่ไอ‑ทีผ่าน Microsoft Teams เพื่อกระจายมัลแวร์ EtherRAT แสดงให้เห็นถึงความเปราะบางของช่องทางสื่อสารภายในองค์กร แม้ไม่มีช่องโหว่ซอฟต์แวร์ก็ตาม การเสริมสร้างการรับรู้ด้านความปลอดภัยและกำหนดนโยบายใช้งาน Teams อย่างเข้มงวดจึงเป็นขั้นตอนสำคัญเพื่อลดความเสี่ยงต่อการโจมตีในลักษณะนี้.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Fake IT support calls on Microsoft Teams push EtherRAT malware
- ผู้เขียน
- Lawrence Abrams
- แหล่ง
- BleepingComputer
- วันที่เผยแพร่
- 7 กรกฎาคม 2569 เวลา 03:23



