การหลอกลวง IT Support ผ่าน Microsoft Teams ส่งลิงก์ดาวน์โหลด EtherRAT

ที่มาภาพ: BleepingComputer

Security-อ่าน 7 นาทีBleepingComputer

การหลอกลวง IT Support ผ่าน Microsoft Teams ส่งลิงก์ดาวน์โหลด EtherRAT

⚡ สรุป 30 วิ

กลุ่มอาชญากรรมไซเบอร์ใช้การโทรผ่าน Microsoft Teams แอบอ้างเป็นฝ่าย IT เพื่อหลอกพนักงานดาวน์โหลดไฟล์ปลอมที่มีมอลแวร์ EtherRAT ซึ่งเชื่อมต่อกับเซิร์ฟเวอร์ C2…

กลุ่มอาชญากรรมไซเบอร์ใช้การโทรผ่าน Microsoft Teams แฝงเป็นเจ้าหน้าที่ไอ‑ทีขององค์กรเพื่อหลอกให้พนักงานดาวน์โหลดและติดตั้งมัลแวร์ EtherRAT ซึ่งเปิดช่องทางเข้าครั้งแรกสู่เครือข่ายภายในบริษัท การโจมตีแบบนี้ทำให้การตรวจจับผ่านระบบอีเมลหรือเว็บฟิลเตอร์ไม่เพียงพอ และเพิ่มความเสี่ยงต่อการสูญเสียข้อมูลสำคัญขององค์กร

Overview

ตามรายงานของ BleepingComputer กลุ่มผู้ก่อเหตุได้สร้างบัญชีปลอมบน Microsoft Teams แล้วส่งคำเชิญเข้าร่วมการสนทนาเสียงที่ดูเหมือนมาจากฝ่ายเทคนิคไอ‑ทีของบริษัทเป้าหมาย การโทรเริ่มต้นด้วยการแนะนำตัวและยืนยันว่าเป็น “เจ้าหน้าที่ช่วยเหลือ” ที่กำลังทำงานกับปัญหาทางระบบภายในองค์กร

พนักงานหลายคนถูกชักจูงให้คลิกลิงก์ที่แนบมาในข้อความ Teams ซึ่งนำไปสู่ไฟล์ติดตั้งของ EtherRAT เวอร์ชันใหม่ล่าสุด ไฟล์นั้นมักจะได้รับการทำเครื่องหมายเป็น “PDF” หรือ “เอกสาร Word” เพื่อหลอกให้นำเข้าโดยไม่สงสัย

หลังจากผู้ใช้ดำเนินการติดตั้ง มัลแวร์จะเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ควบคุมของโจรกรรม (C2) ผ่านช่องทาง HTTPS ทำให้ยากต่อการตรวจจับด้วยระบบป้องกันเครือข่ายแบบดั้งเดิม

Attack Vector & Modus Operandi

เทคนิคที่ใช้ในเหตุการณ์นี้อาศัยจุดอ่อนด้านมนุษย์มากกว่าช่องโหว่ของซอฟต์แวร์ โดยผู้โจมตีพยายามสร้างความรู้สึกเร่งด่วนและเชื่อถือได้โดยการอ้างว่า “ระบบของคุณกำลังมีปัญหา ต้องรีเซ็ตทันที”

ลิงก์ดาวน์โหลดที่ส่งมาใน Teams มักจะเป็น URL ย่อ (shortened URL) หรือโดเมนที่ดูคล้ายกับเว็บไซต์ของผู้ให้บริการซอฟต์แวร์ยอดนิยม ซึ่งทำให้การตรวจสอบจากมุมมองผู้ใช้ทั่วไปยากขึ้น

ขั้นตอนสำคัญของการโจมตีประกอบด้วย

  • ส่งคำเชิญ Teams พร้อมข้อความอธิบายปัญหาเทคนิค
  • แนะนำให้ดาวน์โหลดไฟล์ติดตั้งซึ่งเป็น EtherRAT ปลอมแปลงเป็นไฟล์เอกสารหรืออัปเดตซอฟต์แวร์
  • หลังการติดตั้ง มัลแวร์จะสร้างช่องทางเชื่อมต่อกับ C2 Server เพื่อรับคำสั่งระยะไกล

Malware Profile – EtherRAT

EtherRAT เป็น Remote Access Trojan ที่พัฒนาโดยผู้โจมตีในภูมิภาคเอเชียตะวันออกเฉียงใต้ เวอร์ชันล่าสุดรองรับการทำงานบนระบบปฏิบัติการ Windows 10/11 และมีความสามารถหลายด้าน ได้แก่

  • Keylogging เพื่อบันทึกข้อมูลที่พิมพ์โดยผู้ใช้
  • File exfiltration ส่งไฟล์สำคัญออกสู่เซิร์ฟเวอร์ควบคุม
  • Command execution ให้ผู้โจรกรรมเรียกใช้งาน PowerShell หรือ cmd.exe จากระยะไกล
  • Persistence สร้างค่า Registry และ Scheduled Task เพื่อให้มัลแวร์ทำงานต่อเนื่องแม้รีสตาร์ทเครื่อง

การใช้ช่องทาง HTTPS ทำให้การตรวจจับโดยระบบ IDS/IPS ที่อาศัยการตรวจสอบแบบ signature‑based มีประสิทธิภาพลดลง จึงต้องพึ่งพาการวิเคราะห์พฤติกรรม (behavioral analysis) และ threat intelligence เพื่อตรวจหาเครือข่ายที่ติดต่อกับโดเมน C2 ที่เป็นที่รู้จัก

Impact on Enterprises

การเข้าถึงครั้งแรกผ่าน EtherRAT สามารถทำให้ผู้โจมตียึดครองเครื่องของพนักงานคนเดียวแล้วขยายอิทธิพลไปยังเซิร์ฟเวอร์ภายในได้อย่างรวดเร็ว ตัวอย่างเช่น การใช้ credential dumping เพื่อเก็บข้อมูลล็อกอินจากระบบ Active Directory หรือการติดตั้ง ransomware ต่อเนื่อง

ผลกระทบโดยตรงต่อองค์กรประกอบด้วย

  • ความเสี่ยงต่อการรั่วไหลของข้อมูลลับและข้อมูลส่วนบุคคลของลูกค้า
  • ค่าใช้จ่ายในการตรวจสอบเหตุการณ์ (incident response) และฟื้นฟูระบบที่อาจสูงหลายล้านบาท
  • การสูญเสียความเชื่อมั่นจากพันธมิตรทางธุรกิจและผู้ถือหุ้น

นักวิเคราะห์ด้านความปลอดภัยชี้ให้เห็นว่าการโจมตีแบบนี้เป็น “low‑tech, high‑impact” เนื่องจากการใช้ช่องทางสื่อสารที่องค์กรส่วนใหญ่พึ่งพาอยู่แล้ว (Microsoft Teams) ทำให้ยากต่อการแยกแยะระหว่างการสนทนาธรรมดากับการหลอกลวง

Mitigation & Recommendations

เพื่อป้องกันไม่ให้เหตุการณ์เช่นนี้เกิดขึ้น ผู้ดูแลระบบควรดำเนินมาตรการหลายประการ ได้แก่

  • ฝึกอบรมพนักงาน อย่างต่อเนื่องเกี่ยวกับสังคมวิศวกรรม (social engineering) และแนะนำให้ตรวจสอบตัวตนของผู้ติดต่อก่อนดาวน์โหลดไฟล์ใด ๆ
  • ปรับตั้งค่า Microsoft Teams ให้บล็อกการเชิญจากภายนอกหรือจำกัดการใช้ฟีเจอร์ Voice Call เฉพาะผู้ใช้งานที่ได้รับอนุมัติแล้ว
  • เปิดใช้ **Multi‑Factor Authentication (MFA) สำหรับทุกบัญชีผู้ใช้โดยเฉพาะบัญชีที่มีสิทธิ์ระดับแอดมิน
  • ใช้เครื่องมือ EDR/EDR ที่สามารถตรวจจับพฤติกรรมของ malware อย่าง EtherRAT เช่น การเชื่อมต่อ HTTPS ไปยังโดเมนที่ไม่คุ้นเคยหรือการสร้าง Registry key เฉพาะ

การอัปเดต threat intelligence feed อย่างสม่ำเสมอก็เป็นส่วนสำคัญในการระบุ Indicator of Compromise (IoC) ของ EtherRAT ได้เร็วขึ้นและทำให้ทีมตอบโต้เหตุการณ์สามารถปิดกั้นการเชื่อมต่อ C2 ได้ทันท่วงที

Summary

การแอบอ้างเป็นเจ้าหน้าที่ไอ‑ทีผ่าน Microsoft Teams เพื่อกระจายมัลแวร์ EtherRAT แสดงให้เห็นถึงความเปราะบางของช่องทางสื่อสารภายในองค์กร แม้ไม่มีช่องโหว่ซอฟต์แวร์ก็ตาม การเสริมสร้างการรับรู้ด้านความปลอดภัยและกำหนดนโยบายใช้งาน Teams อย่างเข้มงวดจึงเป็นขั้นตอนสำคัญเพื่อลดความเสี่ยงต่อการโจมตีในลักษณะนี้.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Fake IT support calls on Microsoft Teams push EtherRAT malware
ผู้เขียน
Lawrence Abrams
แหล่ง
BleepingComputer
วันที่เผยแพร่
7 กรกฎาคม 2569 เวลา 03:23

Related

บทความที่เกี่ยวข้อง

Cybersecurity พื้นฐานที่คนไทยต้องรู้ 2026Security
23 พฤษภาคม 2569 เวลา 09:00

Cybersecurity พื้นฐานที่คนไทยต้องรู้ 2026

ภัยไซเบอร์ไทย 2026 เพิ่มสูงขึ้นทุกปี ทั้ง call center scam, phishing LINE/Facebook, OTP hijacking และ deepfake มาเรียนรู้ 10 วิธีป้องกันตัวเองพื้นฐาน ที่ทำได้วันนี้เลยโดยไม่ต้องเป็น IT expert

Editorial14 นาที
เปลี่ยนจาก Pi‑hole ไปใช้ AdGuard Home พร้อม Unbound บน OPNsense ทำให้เครือข่ายสะอาดขึ้น.Security
6 กรกฎาคม 2569 เวลา 17:30

เปลี่ยนจาก Pi‑hole ไปใช้ AdGuard Home พร้อม Unbound บน OPNsense ทำให้เครือข่ายสะอาดขึ้น.

ผู้เขียนย้ายจาก Pi‑hole ไปใช้ AdGuard Home ร่วมกับ Unbound บนเราเตอร์ OPNsense เพื่อรวมฟีเจอร์กรองโฆษณาและไฟร์วอลล์ในเครื่องเดียว…

XDA Developers7 นาที
การวิจัยเปิดเผยวิธีจัดส่งมัลแวร์ผ่าน API ของ ClickFix ที่หลบการตรวจจับSecurity
3 กรกฎาคม 2569 เวลา 12:30

การวิจัยเปิดเผยวิธีจัดส่งมัลแวร์ผ่าน API ของ ClickFix ที่หลบการตรวจจับ

การวิจัยวิเคราะห์ payload ของ ClickFix พบว่าอาชญากรไซเบอร์ใช้เซิร์ฟเวอร์ API ส่งไฟล์อันตรายแบบอับฟุสเคชั่น ทำให้หลบการตรวจจับของ Windows และระบบ EPP แบบเดิม

The Hacker News6 นาที
Wallpaper Engine ลบฟีเจอร์สร้างภาพพื้นหลังหลังพบมัลแวร์ในไฟล์ .exeSecurity
3 กรกฎาคม 2569 เวลา 08:00

Wallpaper Engine ลบฟีเจอร์สร้างภาพพื้นหลังหลังพบมัลแวร์ในไฟล์ .exe

Wallpaper Engine ถูกบังคับให้ลบส่วนของแอปพลิเคชันที่สร้างภาพพื้นหลังออกจาก Steam เนื่องจากพบไฟล์ .exe ที่แฝงมัลแวร์ ผู้ใช้ต้องสำรองข้อมูลก่อนวันที่ 6 กรกฎาคม.

GameSpot5 นาที
คัดลอกลิงก์แล้ว!