แฮกเกอร์ใช้ Microsoft Teams ในการ Phishing เพื่อติดตั้ง A0Backdoor

Last updated: 12 Mar 2026

8 Views

สรุปข้อมูล

BlueVoyant รายงานว่าแฮกเกอร์ได้ใช้ Microsoft Teams เป็นช่องทางการหลอกเหยื่อในองค์กรด้านการเงินและสาธารณสุข โดยแอบอ้างเป็นเจ้าหน้าที่ฝ่าย IT เพื่อสร้างความน่าเชื่อถือกับเหยื่อ การโจมตีนี้มีการติดตั้งมัลแวร์ที่ชื่อ A0Backdoor ลงในเครื่องของเหยื่อ ทำให้แฮกเกอร์สามารถควบคุมเครื่อง ดาวน์โหลดไฟล์ อัปโหลดไฟล์ และเข้าถึงข้อมูลภายในเครื่องได้โดยที่เหยื่อไม่รู้ตัว เป็นจุดเริ่มต้นในการโจมตีระบบอื่นภายในเครือข่ายขององค์กร เหตุการณ์นี้ทำให้เห็นว่าช่องทางการสื่อสารภายในองค์กรสามารถถูกนำมาใช้ในการโจมตีได้

รายละเอียดการโจมตี

แฮกเกอร์เริ่มจากการ Spam Bombing ไปยังเหยื่อ เพื่อให้เหยื่อคิดว่าระบบอีเมลมีปัญหาหรือถูกโจมตี จากนั้นจะติดต่อเหยื่อผ่าน Microsoft Teams โดยใช้เทคนิค Social Engineering สร้างความน่าเชื่อถือ และแอบอ้างเป็นเจ้าหน้าที่ฝ่าย IT ขององค์กร ให้เหยื่อเชื่อว่าเป็นคนในองค์กร เพื่อเสนอช่วยแก้ไขปัญหาอีเมลเกิดขึ้น เมื่อเหยื่อหลงเชื่อ แฮกเกอร์จะขอให้เหยื่ออนุญาตการเข้าถึงเครื่องผ่าน Quick Assist และเมื่อควบคุมเครื่องของเหยื่อได้ แฮกเกอร์จะติดตั้งโปรแกรม MSI ที่ดูเหมือนไฟล์ปกติ และเก็บไฟล์ไว้บนคลาวด์ Microsoft ของแฮกเกอร์
เมื่อไฟล์ MSI ถูกติดตั้งแล้ว ไฟล์นี้จะถูกปลอมให้ดูเหมือนเป็นไฟล์ปกติของระบบ เช่น Microsoft Teams หรือบริการของ Microsoft Windows ตัวอย่างคือ การปลอมเป็นไฟล์ CrossDeviceService[.]exe ซึ่งเป็นบริการของ Windows ที่ใช้เชื่อมต่ออุปกรณ์ต่าง ๆ ของ Microsoft การปลอมลักษณะนี้ทำให้ไฟล์ดูเหมือนเป็นไฟล์ของระบบจริง ทำให้เหยื่อไม่สงสัยว่าเป็นไฟล์อันตรายและตรวจจับได้ยาก ตามตัวอย่างรูปที่ 1

รูปที่ 1: ตัวอย่าง command line ที่ใช้ติดตั้งไฟล์ CrossDeviceService[.]exe ที่เป็นมัลแวร์

มัลแวร์จะใช้เทคนิคต่าง ๆ เพื่อซ่อนตัวในระบบและหลีกเลี่ยงการตรวจจับจาก Security tools ทำให้สามารถใช้งานในเครื่องของเหยื่อได้ ตัวอย่างเทคนิคที่ใช้มีดังนี้
- DLL Sideloading เป็นการใช้ไฟล์ DLL ปลอมที่มีชื่อเหมือนกับไฟล์ของระบบ เช่น ไฟล์ hostfxr[.]dll ไฟล์ดังกล่าวจะถูกวางไว้ในตำแหน่งที่โปรแกรมปกติสามารถเรียกใช้งานได้ เมื่อโปรแกรมเรียกใช้ DLL มัลแวร์ที่ซ่อนอยู่จะถูก load เข้า memory และเริ่ม execute ทำให้ดูเหมือนเป็นการทำงานของโปรแกรมปกติ
- Anti-analysis เช่น การสร้าง thread จำนวนมากด้วยฟังก์ชัน CreateThread วิธีนี้อาจทำให้โปรแกรม debugger ทำงานผิดพลาดหรือหยุดทำงาน ทำให้กระบวนการ Malware Analysis ทำได้ยากขึ้น
Encryption ข้อมูล โดย payload ของมัลแวร์จะถูก Encrypt ด้วย Advanced Encryption Standard (AES) และใช้ key ที่ generate จากการ hash ด้วย SHA-256 ทำให้ไม่สามารถ read code หรือ analyze structure ของมัลแวร์ได้ง่าย
มัลแวร์ A0Backdoor จะเริ่มรวบรวมข้อมูลของเครื่องที่ติดมัลแวร์ เช่น computer name, username และ system fingerprint เพื่อให้แฮกเกอร์สามารถ manage เครื่องเหยื่อได้ง่ายขึ้น ระหว่างการทำงาน มัลแวร์จะทำการenvironment check เพื่อตรวจสอบว่ากำลังรันอยู่ใน sandbox หรือ malware analysis environment หรือไม่ หากตรวจพบ มัลแวร์อาจหยุดการทำงานบางส่วน เพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้มัลแวร์ยังใช้ Windows API เช่น DeviceIoControl, GetUserNameExW และ GetComputerNameW เพื่อรวบรวมข้อมูลของระบบ ก่อนส่งข้อมูลกลับไปยัง C2 server ของแฮกเกอร์เพื่อใช้ควบคุมและดำเนินการโจมตี
ขั้นตอนสุดท้ายมัลแวร์จะใช้ DNS-based C2 เพื่อเชื่อมต่อกับ server ของแฮกเกอร์ โดยส่ง DNS MX query ไปยังโดเมนที่แฮกเกอร์ควบคุม และฝัง metadata ของเครื่องที่ติดมัลแวร์ไว้ใน subdomain จากนั้น C2 server จะตอบกลับคำสั่งผ่าน MX record เช่น ดาวน์โหลดไฟล์เพิ่มเติม ส่งข้อมูลกลับไปยังแฮกเกอร์ และ Execute คำสั่งบนเครื่องเหยื่อ ทำให้ traffic ดูเหมือน DNS ปกติของ Network จึงเลี่ยงการตรวจจับจาก Security Tools ได้ง่ายและทำให้การเชื่อมต่อกับ C2 server ตรวจพบได้ยาก

ผลกระทบจากการโจมตี
การโจมตีแบบ Phishing ผ่าน Microsoft Teams ทำให้แฮกเกอร์สามารถหลอกเหยื่อ เพื่อเข้าถึงเครื่องคอมพิวเตอร์และระบบภายในได้ เมื่อแฮกเกอร์เข้าถึงเครื่องของเหยื่อได้ อาจทำให้เกิดการรั่วไหลของข้อมูลสำคัญ การเข้าถึงระบบภายในองค์กร และการหยุดชะงักของระบบ IT และส่งผลกระทบต่อความน่าเชื่อถือและชื่อเสียงขององค์กรในระยะยาว

สรุปการโจมตี
เริ่มจากแฮกเกอร์ส่ง Spam Bombing ไปยังเหยื่อเพื่อให้เหยื่อคิดว่าระบบอีเมลมีปัญหา จากนั้นแฮกเกอร์จะติดต่อเหยื่อผ่าน Microsoft Teams เพื่อขอเข้าถึงเครื่องของเหยื่อ เมื่อควบคุมเครื่องของเหยื่อได้แล้ว แฮกเกอร์จะติดตั้งไฟล์ MSI ที่ดูเหมือนเป็นไฟล์ปกติลงในเครื่องของเหยื่อ และไฟล์นี้จะถูกใช้ในการติดตั้งมัลแวร์หรือใช้ในการโจมตีต่อไป

คำแนะนำ

กำหนดนโยบายการให้สิทธิ์ Remote Access อย่างเข้มงวด โดยไม่อนุญาตให้มีการเข้าถึงระบบผ่านการ Remote Access จากบุคคลที่ไม่ได้รับการยืนยันจากองค์กร
จำกัดการสื่อสารจาก External Tenants รวมถึงกำหนดนโยบาย Allowlist สำหรับโดเมนหรือองค์กรที่ได้รับอนุญาตเท่านั้น
Awareness Training ให้กับพนักงานในองค์กรเพื่อตระหนักถึงภัยคุกคาม
ติดตามและตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับการ Remote Access เพื่อให้สามารถตรวจจับพฤติกรรมที่ผิดปกติและป้องกันได้ทันที

แหล่งอ้างอิง

https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-targets-employees-with-backdoors/

https://www.bluevoyant.com/blog/new-a0backdoor-linked-to-teams-impersonation-and-quick-assist-social-engineering

Tags :