DarkHydrus ทำการโจมตีแบบ Phishing โดยใช้ Open-Source Tools

นักวิจัยจาก Palo Alto Networks Unit 42 พบ DarkHydrus การโจมตีแบบ Phishing โดยใช้ Open-Source Tools ทำให้ Hacker สามารถเข้าสั่งการ และควบคุม Server ได้โดยตรง ทำให้ Hacker สามารถขโมยข้อมูลที่อยู่บนเครื่อง Server ได้

การโจมตีนี้เรียกว่า DarkHydrus เกิดขึ้นประมาณเดือนมิถุนายนที่ผ่านมา เป้าหมายอยู่ที่รัฐบาล และสถานศึกษาในแถบตะวันออกกลาง วิธีการทำงานก็คือ มันจะส่งเอกสาร Word ที่เป็นไฟล์แนบโดยใช้หัวเรื่องว่า “Project Offer” เมื่อผู้ใช้ทำการเปิดเอกสารนั้น ระบบจะแสดงข้อความให้กรอก Username กับ Password ผู้ใช้ เมื่อผู้ใช้ทำการกรอกข้อมูลลงไป Hacker จะใช้ประโยชน์จากการโจมตีนี้ทำการสั่งการ และเข้าควบคุมเครื่อง Server ทำให้ Hacker สามารถขโมยข้อมูลได้

จากรูปด้านล่างแสดงให้เห็นถึงกล่องข้อความทวึ่งเป็นภาพที่คุ้นตากันดี ซึ่ง Hacker จะทำการเปลี่ยนโดเมนย่อยให้เป็นโดเมนหลักของสถานศึกษา ซึ่งจะใช้โดเมน “0utl00k[.]net” ซึ่งมีลักษณะคล้ายกับ outlook.com อีกด้วย


ที่มาภาพ :Bleeping Computer

วิธีการนี้ทำให้ผู้ใช้ไม่ได้เอะใจเลย เพราะคิดว่าเป็นอีเมลฟรี จึงกรอกข้อมูลลงไป

ตามข้อมูลของ Palo Alto Networks Unit 42 ที่ทำการรวบรวมเกี่ยวกับการโจมตีแบบ Phishing ก่อนหน้านี้มีการโจมตีผ่าน Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire และ Veil ซึ่งวิธีการที่ใช้จะเหมือนๆ กันก็คือ ใช้เอกสาร Office โดยภายในประกอบไปด้วยโค้ดที่เป็นอันตราย ทำให้ Hacker สามารถรันโค้ดเพื่อทำการโจมตีได้จากระยะไกลได้

ดังนั้นผู้ใช้ควรตรวจสอบ และเช็คดูให้ดีเสียก่อนที่จะทำการกรอกข้อมูลใดๆ ลงไป และหากมีอีเมลส่งมาจากบุคคลที่ไม่รู้จัก ก็ไม่ควรไปเปิด เพื่อเป็นการป้องกันเบื้องต้น

ที่มา: Bleeping Computer