Sandbox is a multipurpose HTML5 template with various layouts which will be a great solution for your business.

Contact Info

Moonshine St. 14/05
Light City, London
info@email.com
00 (123) 456 78 90

Learn More

Follow Us

กลุ่มแฮกเกอร์ STAC4365 โจมตี MSP ด้วย Qilin Ransomware

Apr 03, 2025 Variya Kittiwattanachok

สรุปข้อมูล

กลุ่มแฮกเกอร์ STAC4365 ใช้มัลแวร์ Ransomware ที่ชื่อว่า Qilin ซึ่งเป็นโปรแกรมประเภท Ransomware-as-a-Service (RaaS) โดยเริ่มพบการใช้งานมาตั้งแต่ปี 2022 เดิมมีชื่อว่า Agenda ที่มีการใช้ Double-Extortion Model ซึ่งผสมระหว่าง Ransomware และ Extortionware เพื่อเพิ่มประสิทธิภาพในการกดดันเหยื่อให้ยอมจ่ายค่าไถ่ กลุ่ม STAC4365 มุ่งเป้าหมายไปที่ Managed Service Provider (MSP) โดยใช้วิธีโจมตีผ่าน Spear-phishing ก่อนจะขยายขอบเขตการโจมตีต่อไปยังกลุ่มผู้ใช้งานที่เป็นลูกค้าของ MSP ดังกล่าว

รายละเอียดการโจมตี

  1. แฮกเกอร์ส่ง Spear-phishing ไปยังบัญชี Administrator ของ MSP โดยปลอมเป็นการแจ้งเตือนเข้าสู่ระบบของ ConnectWise ScreenConnect เมื่อเหยื่อคลิก “Login and review the security alert” จะนำ Browser ของเหยื่อ Redirect ด้วย Amazon Simple Email Service (SES) ไปหน้าเว็บ Phishing ที่ปลอมเป็น ScreenConnect เพื่อให้เหยื่อกรอกข้อมูล Credential เช่น ชื่อบัญชี รหัสผ่าน Cookie รวมถึง Multi-Factor Authentication (MFA)
  2. แฮกเกอร์นำข้อมูล Credential ที่ได้มาเข้าสู่ระบบผ่าน ScreenConnect Control Panel และสามารถเข้าถึง Remote Management Environment ของ MSP ได้
  3. หลังจากแฮกเกอร์เข้าถึงบัญชี Administrator แฮกเกอร์จะติดตั้งไฟล์ “ru[.]msi” ซึ่งใช้ในการติดตั้ง ScreenConnect Instance ใหม่ที่แฮกเกอร์สามารถควบคุมได้ลงในระบบของผู้ใช้งาน MSP
  4. เมื่อติดตั้ง ScreenConnect Instance ที่อันตรายสำเร็จ จะดำเนินการ Discovery ระบบเครือข่ายและข้อมูลผู้ใช้งานภายในระบบของผู้ใช้งาน รวมถึง Reset รหัสผ่านของบัญชีผู้ใช้งานต่าง ๆ อีกด้วย นอกจากนี้แฮกเกอร์ใช้เครื่องมือที่มีอยู่แล้วในระบบปฏิบัติการ Windows ในการเข้าถึงข้อมูล Local Credential และ Remote Code Execution โดยเครื่องมือที่ใช้ในการโจมตีนี้ เช่น PsExec, NetExec, WinRM และ ScreenConnect Instance
  5. ในขณะเดียวกันแฮกเกอร์ยังดาวน์โหลดไฟล์ชื่อ “veeam[.]exe” ซึ่งถูกสร้างขึ้นมาเพื่อโจมตีช่องโหว่ CVE-2023-27532 ใน Veeam Cloud Backup Service ช่องโหว่นี้เป็นช่องโหว่ที่แฮกเกอร์ที่ไม่ผ่านการ Authentication สามารถ Request ข้อมูล Credential ที่ไม่ได้ Encryption ออกมาจากฐานข้อมูล Local Veeam Configuration
  6. ต่อมาแฮกเกอร์ดำเนินการรวบรวมข้อมูลโดยใช้บัญชีที่ถูก Compromise เพื่อสั่งให้โปรแกรม WinRAR Compress ไฟล์ที่ต้องการในรูปแบบ [.]rar จากนั้นจึงอัปโหลดไฟล์ดังกล่าวไปยังเว็บไซต์ easyupload[.]io ผ่านเบราว์เซอร์ Google Chrome ในโหมด Incognito เมื่อการส่งข้อมูลเสร็จสิ้น แฮกเกอร์จะลบเครื่องมือที่ใช้งานแล้วออกจากระบบและแก้ไข Boot Options เพื่อให้เครื่องเข้าสู่โหมด “Safe Mode with Networking” ในการ Boot
  7. สุดท้าย แฮกเกอร์จะติดตั้งมัลแวร์ Qilin Ransomware ลงในระบบของเหยื่อ พร้อมทิ้งไฟล์ Readme ไว้ภายในเครื่องของเหยื่อ โดยมัลแวร์ดังกล่าวมีฟีเจอร์การทำงานหลักดังนี้:
    • หยุดหรือปิดการใช้งาน Volume Shadow Copy Service (VSS)
    • เปิดใช้งาน Symbolic Links
    • สามารถ Enumerate Host
    • ลบข้อมูลใน Shadow Copy
    • ลบ Windows Event Log
    • เปลี่ยนภาพพื้นหลังของเครื่องเหยื่อให้แสดงข้อความเรียกค่าไถ่
    • ลบมัลแวร์ Qilin ทิ้งหลังจากทำงานเสร็จสิ้น

Figure 6: The phishing email received by the targeted administrator: New Login AlertYour ScreenConnect instance was recently logged into from a new IP address: Account ID: Domain: cloud.screenconnect.com Host User Name: IP Address: Location: Long Beach, California, United States Time: 2025/01/22 13:53:20 If you authorized this login, no further action is required. If you did not authorize this login attempt, please review the security alert checklist in documentation for further instructions. Login and review the security alert. ScreenConnect Team

รูปที่ 1: ตัวอย่าง Phishing Email ที่เหยื่อได้รับจากแฮกเกอร์

ผลกระทบจากการโจมตี

จากการโจมตีโดยกลุ่มแฮกเกอร์ STAC4365 ส่งผลกระทบต่อระบบของ Managed Service Provider (MSP) และผู้ใช้งานของ MSP เช่น ส่งผลให้แฮกเกอร์สามารถเข้าถึงและขโมยข้อมูลที่สำคัญของเหยื่อ อาทิข้อมูล Credential ไม่ว่าจะเป็นชื่อบัญชี รหัสผ่าน Session Cookie รวมถึง MFA นอกจากนี้แฮกเกอร์ยังเจาะจงโจมตีไปยังระบบ Backup ข้อมูล เพื่อป้องกันไม่ให้เหยื่อกู้ข้อมูลกลับคืนได้

สรุปการโจมตี

การโจมตีเริ่มจากแฮกเกอร์ส่ง Spear-phishing ไปยังเหยื่อโดยปลอมเป็นการแจ้งเตือนเข้าสู่ระบบ เมื่อเหยื่อคลิกเข้าไปจะ Redirect ไปยังหน้าเว็บ Phishing ปลอมให้เหยื่อกรอกข้อมูล Credential ต่าง ๆ เพื่อใช้ในการเข้าสู่ระบบของ MSP และดำเนินการโจมตีเพิ่มเติมต่อไป เช่น การติดตั้งมัลแวร์ Qilin Ransomware เพื่อเรียกค่าไถ่

คำแนะนำ

  • Awareness Training เรื่องรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น Phishing
  • ใช้ Multi-Factor Authentication (MFA) เพื่อลดโอกาสในการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต
  • หมั่นตรวจสอบและอัปเดตซอฟต์แวร์และฮาร์ดแวร์ต่าง ๆ ในระบบอย่างสม่ำเสมอ เพื่อป้องกันช่องโหว่
  • ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
  • จำกัดสิทธิ์การเข้าถึงและใช้งานโดยใช้หลักการ Least Privilege
  • อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
  • พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
  • เพิ่มแผนการ Backup ในการลดผลกระทบและความเสียหายหลังถูกโจมตี
  • หลีกเลี่ยงการชำระค่าไถ่ เนื่องจากกลุ่มแฮกเกอร์สามารถทำการโจมตีซ้ำได้

แหล่งอ้างอิง

hxxps://securityonline[.]info/qilin-ransomware-attack-exploits-msp-vulnerability-to-target-downstream-customers/

hxxps://news[.]Sophos[.]com/en-us/2025/04/01/sophos-mdr-tracks-ongoing-campaign-by-qilin-affiliates-targeting-screenconnect/


Tags: Phishing Email Qilin ransomware STAC4365 PsExec

เข้าร่วมเป็นส่วนหนึ่งในสมาชิกของเรา

สมัครสมาชิกเพื่อรับข่าวสารด้าน Cybersecurity ในทุกๆวัน ไม่พลาดอัปเดต และคำแนะนำต่างๆ