แฮกเกอร์แฝงตัวโจมตี ฟีเจอร์ ‘ScreenConnect’

นักวิจัยพบการโจมตีทางไซเบอร์และกลุ่มภัยคุกคามขั้นสูง (APT) เพิ่มขึ้นโดยการใช้ประโยชน์จากเครื่องมือตรวจสอบและจัดการระยะไกลที่เรียกว่า Remote Monitoring and Management (RMM) อย่าง AnyDesk, ScreenConnect และ Atera เพื่อควบคุมระบบโดยไม่ได้รับอนุญาต

เนื่องจาก AnyDesk ถูกตรวจจับได้ง่ายทำให้แฮกเกอร์จำนวนมากเลิกใช้งาน และหันมาใช้ ScreenConnect ซึ่งพัฒนาโดย ConnectWise ออกแบบมาเพื่อให้ผู้ดูแลระบบไอทีสามารถปรับใช้งาน จัดการอุปกรณ์ และช่วยซับพอร์ตระยะไกลบนระบบปฏิบัติการต่างๆ

อย่าง Windows, macOS, Linux, iOS และ Android โดยแฮกเกอร์ใช้ประโยชน์จากฟีเจอร์ที่ถูกต้องตามกฎหมายของ ScreenConnect เช่น การเข้าถึงโดยไม่ได้รับอนุญาต ฟังก์ชัน VPN การผสานรวม REST API และการถ่ายโอนไฟล์ เพื่อสร้างตัวตนให้สามารถจัดการภายในเครือข่ายที่ถูกบุกรุกโดยระหว่างการติดตั้ง ไคลเอ็นต์

ScreenConnect จะทำงานในหน่วยความจำโดยทิ้งร่องรอยไว้บนดิสก์เพียงเล็กน้อยเพื่อหลบเลี่ยงการสแกนไวรัสขั้นพื้นฐาน ต่อมาใช้คอนโซลการจัดการของแพลตฟอร์มเพื่อสร้าง URL ที่กำหนดเองหรือลิงก์คำเชิญ ซึ่งเป็นเครื่องมือที่เดิมทีออกแบบมาเพื่อลดความซับซ้อนในการเข้าถึงระยะไกล ลิงก์เหล่านี้มักถูกนำไปใช้ในการฟิชชิง ล่อลวงเหยื่อให้ติดตั้งไคลเอ็นต์ ScreenConnect ที่เป็นอันตรายโดยไม่รู้ตัว

เมื่อติดตั้งแล้ว WindowsClient.exe จะลงทะเบียนเป็นบริการของวินโดว์ส ซึ่งทำให้สามารถเชื่อมต่อระยะไกลได้อย่างต่อเนื่อง ส่วนไฟล์ configuration เช่น user.config และ system.config จะจัดเก็บชื่อโฮสต์ IP mappings และคีย์ที่เข้ารหัส ซึ่งสามารถใช้เพื่อติดตามการเชื่อมต่อกับโดเมนที่น่าสงสัยได้

สำหรับเทคนิคที่แฮกเกอร์ใช้ล่อเหยื่อมีหลักๆ 4 แบบ คือ 1.การอัพเดทเบราว์เซอร์ปลอมที่เหยื่อจะถูกเปลี่ยนเส้นทางไปหลังจากเข้าชมเว็บไซต์ที่ติดไวรัส เมื่อผู้ใช้คลิกปุ่ม “update Chrome” เหยื่อจะดาวน์โหลด ITarian RMM Microsoft Installer (MSI) โดยไม่ตั้งใจ

2. คำเชิญเข้าร่วมการประชุม ซึ่งเหยื่อจะได้รับโปรแกรมติดตั้งซอฟต์แวร์การประชุมปลอม เช่น Microsoft Teams และ Zoom Installer เป้าหมายสุดท้ายคือการติดตั้งเครื่องมือ RMM ของ Atera, PDQ หรือ ScreenConnect 3. คำเชิญเข้าร่วมงานปาร์ตี้ ซึ่งมักจะส่งทางอีเมลด้วย “Party Card Viewer” หรือ “E-Invite” เครื่องมือ Atera RMM ถูกส่งผ่านโดเมนจัดเก็บอ็อบเจ็กต์ซึ่งคอมพิวเตอร์ของเหยื่อไว้วางใจ

ขณะที่ แบบฟอร์มราชการ เช่น ใบแจ้งยอดประกันสังคมและแบบแสดงรายการภาษีเงินได้ หากเหยื่อคลิกผ่าน แฮกเกอร์จะเริ่มติดตั้ง PDQ Connect, SimpleHelp, ScreenConnect หรือเครื่องมือ RMM หลายรายการอย่างรวดเร็ว

นอกจากนี้ ทีมงานรักษาความปลอดภัยขององค์กรต้องลดภัยคุกคาม โดยการปรับใช้การตรวจจับและการตอบสนองที่ปลายทาง การดูแลรักษารายการเครื่องมือที่ได้รับอนุมัติและการปฏิเสธการเข้าถึงสิ่งที่ไม่ได้รับอนุญาต การปรับปรุงการมองเห็นเครือข่ายผ่านการควบคุมเชิงป้องกันหรือการตรวจสอบสำหรับบริการที่เชื่อถือได้ ซึ่งอาจรวมถึงการบังคับใช้การแยกเบราว์เซอร์เมื่อโดเมนส่งไฟล์ที่มีนามสกุลไฟล์ที่น่าสงสัย หรือการตรวจสอบโดเมนที่ลงทะเบียนใหม่ที่น่าสงสัยและเพื่อตรวจสอบว่าเครื่องมือ RMM ถูกใช้งานอย่างถูกต้อง

สิ่งสำคัญคือต้องพิจารณาตัวบ่งชี้สำคัญของกิจกรรมที่เป็นอันตรายซึ่งมักจะประกอบด้วย การเปลี่ยนชื่อไฟล์ การดาวน์โหลดและเรียกใช้เครื่องมือจากไดเรกทอรีที่ไม่ได้มาตรฐาน การดาวน์โหลดตัวติดตั้ง RMM จากโดเมนที่ไม่ได้เชื่อมต่อกับผลิตภัณฑ์ RMM หรือการเริ่มต้นการเชื่อมต่อเครือข่ายที่น่าสงสัย

จะเห็นได้ว่า เหล่าบรรดาแฮกเกอร์กำลังหลอกล่อเหยื่อโดยใช้ฟิชชิงรูปแบบใหม่ที่ออกแบบมาเพื่อติดตั้งซอฟต์แวร์ตรวจสอบและจัดการระยะไกล (RMM) ลงในเครื่องของเหยื่อเพื่อเปิดการโจมตีด้วยแรนซัมแวร์หรือการโจรกรรมข้อมูล เนื่องจากการสร้างอีเมลและเว็บไซต์ฟิชชิ่งที่ดูเหมือนจริงนั้นทำค่อนข้างง่าย

องค์กรต่างๆ จึงจำเป็นต้องนำระบบควบคุมความปลอดภัยและความสามารถในการตรวจจับมาใช้ เช่น การแยกเบราว์เซอร์หรือการตรวจสอบโดเมนที่ลงทะเบียนใหม่ที่น่าสงสัย จะสามารถช่วยระบุและควบคุมช่องโหว่เหล่านี้ได้ตั้งแต่ระยะเริ่มต้นครับ