แฮกเกอร์เนียนเป็น IT บุกยึดองค์กรผ่าน Microsoft Teams
หลอกล่อให้พนักงานกดรับแชทนำไปสู่การเจาะระบบ
กลุ่มแฮกเกอร์หน้าใหม่ในชื่อ UNC6692 กำลังสร้างความปั่นป่วนให้กับระบบเครือข่ายขององค์กรขนาดใหญ่ด้วยแผนการที่แยบยล โดยอาศัยความเชื่อใจของพนักงานที่มีต่อเครื่องมือทำงานอย่าง Microsoft Teams เป็นช่องทางหลัก รายงานจาก Google Threat Intelligence Group และ Mandiant ระบุว่าการโจมตีนี้ไม่ได้ใช้ช่องโหว่ทางเทคนิคแม้แต่อย่างเดียว แต่เน้นไปที่การปั่นหัวพนักงานด้วยการรัวส่งอีเมลขยะจำนวนมหาศาลเพื่อสร้างความสับสนและเร่งรีบ ก่อนจะปรากฏตัวในคราบพนักงานฝ่ายไอทีใจดีที่ยื่นมือเข้ามาช่วยเหลือในโปรแกรมแชท
กลยุทธ์ที่กลุ่มคนร้ายใช้เริ่มจากการส่งข้อความ Phishing โดยตรงผ่าน Microsoft Teams ซึ่งแฮกเกอร์จะปลอมโปรไฟล์เป็นเจ้าหน้าที่สนับสนุนด้านไอทีเพื่อขอความช่วยเหลือจัดการกับปัญหาอีเมลถล่มกล่องขาเข้า สิ่งที่น่ากังวลคือผู้ตกเป็นเหยื่อมักจะกดตอบรับคำขอแชทจากบัญชีภายนอกองค์กร แม้ว่าระบบจะมีการแจ้งเตือนความปลอดภัยขึ้นมาเตือนแล้วหลายครั้งก็ตาม เมื่อเหยื่อหลงเชื่อและเริ่มสนทนา แฮกเกอร์จะส่งลิงก์เพื่อให้ติดตั้งโปรแกรมที่อ้างว่าเป็น ตัวแก้ปัญหาอีเมลขยะ ซึ่งแท้จริงแล้วคือจุดเริ่มต้นของการฝังมัลแวร์ลงในเครื่อง
เมื่อเหยื่อคลิกลิงก์จะถูกส่งไปยังหน้าเว็บปลอมที่ออกแบบมาอย่างแนบเนียนบน AWS S3 โดยใช้ชื่อโปรแกรมหลอกๆ ว่า Mailbox Repair and Sync Utility v2.1.5 ซึ่งในขั้นตอนนี้ระบบจะบังคับให้เหยื่อใช้งานผ่าน Microsoft Edge เพื่อประสิทธิภาพสูงสุดในการเจาะระบบ จากนั้นจะมีการหลอกให้กรอกรหัสผ่านด้วยเทคนิคทางจิตวิทยาที่เรียกว่า Double-entry โดยจะแกล้งทำเป็นว่ารหัสผ่านผิดในสองครั้งแรกเพื่อให้เหยื่อตั้งใจพิมพ์รหัสที่ถูกต้องที่สุดส่งไปให้แฮกเกอร์โดยไม่รู้ตัว
ในระหว่างที่เหยื่อกำลังรอแถบสถานะดาวน์โหลดที่เขียนว่า กำลังตรวจสอบความสมบูรณ์ของกล่องจดหมาย ซึ่งเป็นเพียงภาพหลอกตาที่แฮกเกอร์สร้างขึ้นมาเพื่อเบี่ยงเบนความสนใจ เบื้องหลังนั้นระบบกำลังแอบดาวน์โหลดและรันสคริปต์อัตโนมัติเพื่อติดตั้งมัลแวร์ที่ชื่อว่า SNOWBELT ซึ่งเป็นส่วนขยายของเบราว์เซอร์ Chromium ที่ปลอมตัวเป็นโปรแกรมชื่อ MS Heartbeat หรือ System Heartbeat เพื่อคอยดักจับข้อมูลและควบคุมเครื่องจากระยะไกล
ความน่ากลัวของมัลแวร์ตัวนี้คือมันสามารถทำงานอยู่เบื้องหลังได้อย่างยาวนานโดยที่พนักงานไม่สังเกตเห็นความผิดปกติ และเมื่อแฮกเกอร์ได้รหัสผ่านรวมถึงสิทธิ์ในการเข้าถึงเครื่องคอมพิวเตอร์ของพนักงานเพียงคนเดียวแล้ว พวกเขาสามารถขยายผลเพื่อบุกรุกเข้าไปในระบบเครือข่ายหลักของทั้งบริษัทได้ทันที ซึ่งนำไปสู่การจดจำรหัสผ่านระดับผู้ดูแลระบบและการขโมยข้อมูลสำคัญขององค์กรในที่สุด
ทาง Microsoft ได้ออกคำเตือนอย่างเป็นทางการเมื่อเดือนเมษายน 2026 ที่ผ่านมา โดยย้ำเตือนให้ผู้ใช้งานระมัดระวังการพูดคุยกับบุคคลภายนอกผ่าน Microsoft Teams และอย่าหลงเชื่อคำแนะนำให้ปิดการแจ้งเตือนความปลอดภัยหรือดาวน์โหลดไฟล์จากแหล่งที่ไม่รู้จักเด็ดขาด องค์กรต่างๆ ควรเพิ่มมาตรการตรวจสอบความปลอดภัยของบัญชีและการฝึกอบรมพนักงานให้เท่าทันกลโกงทางจิตวิทยาที่แนบเนียนขึ้นทุกวัน เพราะในยุคนี้ จุดอ่อนที่อันตรายที่สุดอาจไม่ใช่ที่ซอฟต์แวร์ แต่คือความเชื่อใจของคนในองค์กรเอง
