แฮกเกอร์ใช้เทคนิค ClickFix หลอกโจมตีผ่าน Microsoft SharePoint ปล่อยมัลแวร์ Havoc C2 ควบคุมระบบ

พบแคมเปญฟิชชิ่งใหม่ที่ใช้เทคนิค ClickFix ในการโจมตีและติดตั้งระบบควบคุมระยะไกล Havoc C2 ผ่านทาง Microsoft SharePoint โดยการโจมตีเริ่มจากอีเมลฟิชชิ่งที่แนบไฟล์ HTML ชื่อ “Documents.html” ซึ่งจะแสดงข้อความแจ้งเตือนความผิดพลาดปลอม เพื่อหลอกให้ผู้ใช้คัดลอกและรันคำสั่ง PowerShell ที่มีมัลแวร์แฝงอยู่

เมื่อคำสั่ง PowerShell ถูกรัน มันจะดาวน์โหลดสคริปต์จาก URL ที่โฮสต์บน SharePoint จากนั้นจะตรวจสอบว่าเครื่องนั้นอยู่ในสภาพแวดล้อมแบบ sandbox หรือไม่ หากไม่พบ มันจะแก้ไขค่าในระบบรีจิสทรีและติดตั้ง Python interpreter หากจำเป็น แล้วดาวน์โหลดและรันสคริปต์ Python ที่ทำหน้าที่โหลด shellcode สำหรับ Havoc Demon agent โดยใช้ KaynLdr ซึ่งเป็นตัวโหลดที่สามารถรันไฟล์ DLL แบบแฝงได้ เฟรมเวิร์ก Havoc นี้ช่วยให้แฮกเกอร์สามารถควบคุมอุปกรณ์ที่ติดมัลแวร์จากระยะไกล รวบรวมข้อมูล จัดการไฟล์ และรันคำสั่งต่างๆ โดยซ่อนการติดต่อสื่อสารไว้ในทราฟฟิกปกติของ Microsoft Graph API

การโจมตีนี้แสดงให้เห็นถึงภัยคุกคามไซเบอร์ที่ซับซ้อนมากขึ้น โดยแฮกเกอร์ใช้บริการที่น่าเชื่อถืออย่าง SharePoint เพื่อหลบเลี่ยงการตรวจจับ สำหรับการป้องกัน องค์กรควรเน้นการฝึกอบรมพนักงานให้รู้เท่าทันการหลอกลวงแบบฟิชชิ่ง จำกัดการรันสคริปต์ PowerShell ที่ไม่ได้รับอนุญาต ตรวจสอบกิจกรรมบน SharePoint ที่ผิดปกติ และติดตั้งระบบตรวจจับภัยคุกคามขั้นสูง การที่แฮกเกอร์ใช้บริการคลาวด์ที่ถูกกฎหมายทำให้ทราฟฟิกที่เป็นอันตรายปะปนกับทราฟฟิกปกติ ส่งผลให้การตรวจจับทำได้ยากขึ้น

ที่มา: The Hacker News, BleepingComputer