News

ระบบอีเมลของ IKEA ถูกโจมตี

IKEA กำลังรับมือกับการโจมตีไซเบอร์ที่มุ่งเป้าไปที่พนักงาน

พนักงานของ IKEA โดนโจมตีด้วยอีเมลขโมยข้อมูล (Phishing) ที่ใช้รูปแบบของอีเมลองค์กรมาหลอกให้เปิดเอกสารอันตราย เพื่อติดตั้งมัลแวร์ลงบนเครื่อง

ที่น่ากลัวก็คืออีเมลนั้นมีที่มาจากภายในองค์กรด้วยกันเองที่แฮกเกอร์แทรกซึมเข้าไป ได้จึงทำให้พนักงานมีแนวโน้มที่จะเปิดไฟล์อันตรายโดยไม่ทันระวังตัว

IKEA กำลังตกที่นั่งลำบาก

ทาง Bleeping Computer เป็นผู้พบอีเมลและรายงานไปทาง IKEA ต่อมาทาง IKEA เตือนพนักงานภายในเกี่ยวกับอีเมลดังกล่าว

“อีเมลเหล่านี้อาจมาจากเพื่อนร่วมงาน หรือบริษัทที่คุณร่วมงานด้วย ทำให้ยากต่อการแยกแยะ ทางเราจึงอยากให้คุณระมัดระวังเป็นพิเศษ”

ทางทีม IT ของ IKEA ให้จุดสังเกตเป็นตัวเลข 7 หลักหลังลิงก์ที่แนบมา จากที่เห็นในตัวอย่างด้านล่าง ในอีเมลจะบอกไม่ให้พนักงานเปิดลิงก์รูปแบบนี้ ไม่ว่าใครจะส่งมา และรายงานไปทางทีม IT โดยทันทีหากได้รับอีเมลดังกล่าว

ตัวอย่างอีเมลอันตราย

แฮกเกอร์เริ่มต้นจากการแทรกซึมเข้าเซิร์ฟเวอร์ Microsoft Exchange ภายในด้วย ProxyShell และ ProxyLogin ที่มีช่องโหว่ให้โจมตี แล้วส่งอีเมลเพื่อขโมยข้อมูลองค์กร

มัลแวร์

จากลิงก์ URL ที่อยู่ในอีเมลผู้ใช้จะดาวน์โหลดไฟล์ ‘chart.zip’ ที่มีเอกสาร Excel อยู่ภายในไฟล์นี้หากผู้ใช้คลิกที่คำว่า ‘Enable Content’ หรือ ‘Enable Editing’ ชุดคำสั่ง (Marco) จะเริ่มทำงานไฟล์ ‘besta.ocx,’ ‘bestb.ocx,’ และ ‘bestc.ocx’ แล้วบันทึกลงในโฟลเดอร์ C:\Datop

ไฟล์เหล่านี้จะทำหน้าที่ดาวน์โหลดโปรแกรมอันตรายหรือมัลแวร์ เท่าที่เราทราบมี Qbot Trojan (หรือ QakBot และ Quakbot) และอาจมี Emotet รวมอยู่ด้วย

มัลแวร์ทั้งสองรายการสามารถทำงานได้หลากหลายรูปแบบทั้งเจาะระบบ หรือที่แม้กระทั่งโปรแกรมเรียกค่าไถ่ Ransomware ต่างๆ

Source: https://www.bleepingcomputer.com/news/security/ikea-email-systems-hit-by-ongoing-cyberattack/
Translated by: Worapon H.

%d bloggers like this: