Sophos รายงานว่ามีกลุ่มผู้ไม่หวังดีแอบอ้างเป็นเจ้าหน้าที่ฝ่ายสนับสนุนเทคนิคเพื่อเปิดการโจมตีผ่านแพลตฟอร์ม Microsoft Teams ซึ่งกลุ่มผู้ไม่หวังดีเหล่านี้ถูกติดตามในชื่อ STAC5143 และ STAC5777 โดยการสืบสวนเริ่มขึ้นตั้งแต่เดือนพฤศจิกายนและธันวาคม 2024
ในรายงานระบุว่า กลุ่มผู้ไม่หวังดีทั้งสองได้ใช้บัญชี Microsoft 365 ของตนเองเพื่อเป็นส่วนหนึ่งของการโจมตี โดยอาศัยประโยชน์จากการตั้งค่าดั้งเดิมของ Microsoft Teams ที่อนุญาตให้ผู้ใช้จากโดเมนภายนอกสามารถเริ่มการแชทหรือการประชุมกับผู้ใช้ภายในองค์กรได้
Sophos ระบุว่า STAC5143 เป็นภัยคุกคามที่ยังไม่เคยถูกรายงานมาก่อน ในขณะที่ STAC5777 ได้รับการระบุโดย Microsoft ในนาม Storm-1811 นอกจากนี้ยังมีข้อสงสัยว่า STAC5143 อาจมีความเชื่อมโยงกับกลุ่มผู้ไม่หวังดีที่รู้จักกันในชื่อ FIN7, Sangria Tempest หรือ Carbon Spider ซึ่งเป็นกลุ่มที่มีประวัติการโจมตีทางไซเบอร์อย่างต่อเนื่อง
Sophos MDR กล่าวว่า “เรากำลังเผยแพร่รายงานเชิงลึกเกี่ยวกับกลุ่มภัยคุกคามทั้งสองนี้ เพื่อช่วยให้นักป้องกันสามารถตรวจจับและป้องกันภัยคุกคามที่ยังคงดำเนินอยู่ และเพื่อเพิ่มความตระหนักถึงการแพร่กระจายของกลยุทธ์เหล่านี้ในหมู่องค์กรที่ใช้แพลตฟอร์ม Office 365”
จากการสังเกตการณ์ของ Sophos พบว่า มีเหตุการณ์โจมตีมากกว่า 15 ครั้งที่เกี่ยวข้องกับกลยุทธ์นี้ในช่วงสามเดือนที่ผ่านมา โดยครึ่งหนึ่งเกิดขึ้นภายในสองสัปดาห์ที่ผ่านมา ซึ่งบ่งชี้ถึงการเพิ่มขึ้นของความถี่ในการโจมตี
นอกจากนี้ Chance Caldwell ผู้อำนวยการอาวุโสจาก Cofense ได้ให้ข้อมูลเพิ่มเติมกับ ITPro ว่า “การโจมตีแบบอีเมลบอมบ์ไม่ใช่เทคนิคใหม่ แต่เป็นเทคนิคที่มีประสิทธิภาพ ซึ่งได้รับความนิยมเพิ่มขึ้น เนื่องจากการมีเครื่องมือโจมตีอีเมลบอมบ์ฟรีและบริการที่ช่วยสมัครสมาชิกอีเมลจำนวนมากในราคาที่ไม่แพง”
องค์กรที่ใช้ Microsoft Teams และแพลตฟอร์ม Office 365 ควรตรวจสอบและปรับแต่งการตั้งค่าด้านความปลอดภัยให้เหมาะสม เช่น การจำกัดการสื่อสารกับโดเมนภายนอกและการตรวจสอบความน่าเชื่อถือของบัญชีผู้ใช้งาน เพื่อป้องกันการตกเป็นเป้าหมายของภัยคุกคามดังกล่าว
รายละเอียด – ITPro
