แรนซัมแวร์สายพันธุ์ใหม่ที่เรียกว่า Qilin ถูกค้นพบโดยใช้กลวิธีที่ค่อนข้างซับซ้อนและปรับแต่งได้สูงเพื่อขโมยข้อมูลการเข้าสู่ระบบบัญชีที่จัดเก็บไว้ในเบราว์เซอร์ Google Chrome
ทีมงานวิจัยด้านความปลอดภัยระหว่างประเทศของ Sophos X-Ops ได้สังเกตเทคนิคการรวบรวมข้อมูลประจำตัวระหว่างการตอบสนองต่อเหตุการณ์ที่เกิดขึ้นกับ Qilin สิ่งนี้แสดงถึงการเปลี่ยนแปลงที่น่าตกใจในแนวโน้มการทำงานของแรนซัมแวร์อันตรายสายพันธุ์นี้
ภาพรวมของกระบวนการโจมตี
การโจมตีที่วิเคราะห์โดยนักวิจัยของ Sophos เริ่มต้นจากมัลแวร์ Qilin ที่สามารถเข้าถึงเครือข่ายเป้าหมายได้สำเร็จโดยใช้ข้อมูลประจำตัวที่ถูกบุกรุกบนเกตเวย์ VPN โดยไม่มีการพิสูจน์ตัวตนแบบหลายปัจจัย (MFA)
หลังจากนั้นจึงเกิดช่วง "จำศีล" ของมัลแวร์เป็นเวลา 18 วัน ซึ่งบ่งชี้ว่าแฮกเกอร์น่าจะซื้อการเข้าถึงเครือข่ายผ่านนายหน้าการเข้าถึงเบื้องต้น (IAB) เป็นไปได้ที่ Qilin ใช้เวลาในการทำแผนที่เครือข่าย ระบุสินทรัพย์ที่สำคัญ และดำเนินการลาดตระเวน
หลังจากผ่านไป 18 วันแรก มัลแวร์จะเคลื่อนตัวไปยังตัวควบคุมโดเมนในแนวนอนและปรับเปลี่ยนวัตถุนโยบายกลุ่ม (GPO) เพื่อดำเนินการสคริปต์ PowerShell ('IPScanner.ps1') บนเครื่องทั้งหมดที่เข้าสู่ระบบในเครือข่ายโดเมน
สคริปต์นี้ดำเนินการโดยสคริปต์ชุด ('logon.bat') และรวมอยู่ใน GPO ด้วย ออกแบบมาเพื่อรวบรวมข้อมูลการเข้าสู่ระบบที่จัดเก็บไว้ใน Google Chrome
สคริปต์ชุดได้รับการกำหนดค่าให้ทำงาน (และทริกเกอร์สคริปต์ PowerShell) ทุกครั้งที่ผู้ใช้ล็อกอินเข้าสู่เครื่องของตน ในขณะเดียวกัน ข้อมูลประจำตัวที่ถูกขโมยจะถูกบันทึกไว้บนพาร์ติชัน 'SYSVOL' ภายใต้ชื่อ 'LD' หรือ 'temp.log'
หลังจากส่งไฟล์ไปยังเซิร์ฟเวอร์คำสั่งและควบคุม (C2) ของ Qilin สำเนาในเครื่องและบันทึกเหตุการณ์ที่เกี่ยวข้องก็ถูกลบออกเพื่อปกปิดกิจกรรมที่เป็นอันตราย ในที่สุด Qilin ก็ใช้งานเพย์โหลดแรนซัมแวร์และข้อมูลที่เข้ารหัสบนเครื่องที่ถูกบุกรุก
GPO อื่นและไฟล์คำสั่งแยกต่างหาก ('run.bat') ยังใช้เพื่อดาวน์โหลดและดำเนินการแรนซัมแวร์บนเครื่องทั้งหมดในโดเมน
ความซับซ้อนในการป้องกันประเทศ
แนวทางของ Qilin ต่อข้อมูลประจำตัว Chrome ถือเป็นบรรทัดฐานที่น่ากังวลซึ่งอาจทำให้การปกป้องจากการโจมตีด้วยแรนซัมแวร์ทำได้ยากขึ้น
เนื่องจาก GPO ถูกนำไปใช้กับเครื่องทั้งหมดในโดเมน อุปกรณ์ทุกเครื่องที่ผู้ใช้เข้าสู่ระบบจะต้องผ่��นกระบวนการรวบรวมข้อมูลประจำตัว
ซึ่งหมายความว่าสคริปต์นั้นมีความสามารถในการขโมยข้อมูลประจำตัวจากเครื่องทั้งหมดในระบบตราบใดที่เครื่องเหล่านั้นเชื่อมต่อกับโดเมนและมีผู้ใช้เข้าสู่ระบบในระหว่างเวลาที่สคริปต์กำลังทำงาน
การขโมยข้อมูลประจำตัวที่กว้างขวางเช่นนี้อาจทำให้แฮกเกอร์สามารถเปิดตัวการโจมตีเพิ่มเติม ส่งผลให้เกิดเหตุการณ์ด้านความปลอดภัยที่ครอบคลุมหลายแพลตฟอร์มและบริการ ทำให้ความพยายามในการตอบสนองยุ่งยากมากยิ่งขึ้น สิ่งนี้ยังก่อให้เกิดภัยคุกคามที่ต่อเนื่องยาวนานแม้ว่าเหตุการณ์แรนซัมแวร์จะได้รับการแก้ไขแล้วก็ตาม
องค์กรต่างๆ สามารถบรรเทาความเสี่ยงได้โดยการใช้นโยบายที่เข้มงวดเพื่อห้ามการจัดเก็บความลับในเว็บเบราว์เซอร์ นอกจากนี้ การใช้การตรวจสอบปัจจัยหลายอย่างยังถือเป็นกุญแจสำคัญในการปกป้องบัญชีไม่ให้ถูกเข้าควบคุม แม้ว่าข้อมูลประจำตัวจะถูกบุกรุกก็ตาม
ท้ายที่สุด การนำหลักการของสิทธิ์ขั้นต่ำและการแบ่งส่วนเครือข่ายมาใช้สามารถขัดขวางความสามารถของผู้ก่อให้เกิดภัยคุกคามในการแพร่กระจายไปทั่วเครือข่ายที่ถูกบุกรุกได้อย่างมาก
Controlled Folder Access เป็นฟีเจอร์หนึ่งของแอปพลิเคชันป้องกันไวรัสบนเดสก์ท็อป Windows Security ของ Microsoft คุณสมบัตินี้ป้องกันแรนซัมแวร์โดยป้องกันการแก้ไขไฟล์ในโฟลเดอร์ที่ได้รับการป้องกัน
แม้ว่าทั้งสองคำนี้มักจะสับสนกัน แต่ก็มีความแตกต่างระหว่างแรนซัมแวร์และการกรรโชกทางไซเบอร์ อย่างไรก็ตาม ทั้งสองมีความเชื่อมโยงกันและทั้งสองสิ่งสามารถนำไปสู่อีกสิ่งหนึ่งได้
ติดปัญหาแท็บ Planner ใน Microsoft Teams ใช่ไหม? มาดูวิธีแก้ไขปัญหาทีละขั้นตอนสำหรับปัญหาทั่วไป เช่น การโหลดล้มเหลว ข้อผิดพลาดด้านสิทธิ์ และปัญหาการซิงค์ ทำให้แท็บ Planner ของคุณใช้งานได้อย่างราบรื่นใน Teams ได้แล้ววันนี้
กำลังประสบปัญหาเกี่ยวกับการโทรผ่านวิดีโอใน Microsoft Teams อยู่ใช่ไหม? ค้นพบวิธีแก้ไขปัญหาแบบทีละขั้นตอนที่ได้รับการพิสูจน์แล้ว สำหรับปัญหาเกี่ยวกับวิดีโอ ปัญหาเกี่ยวกับกล้อง และอื่นๆ อีกมากมาย กลับมาโทรได้อย่างราบรื่นในไม่กี่นาที!
เบื่อไหมกับปัญหาข้อผิดพลาดของ Microsoft ที่ทำให้ Microsoft Teams ของคุณล่ม? พบกับขั้นตอนการแก้ไขปัญหาข้อผิดพลาดของ Microsoft Teams ทีละขั้นตอน ตั้งแต่การล้างแคชไปจนถึงวิธีแก้ไขขั้นสูง กลับมาทำงานร่วมกันได้อย่างราบรื่นอีกครั้งในวันนี้!
ติดปัญหาการเข้าสู่ระบบ Microsoft Teams บน Chromebook ใช่ไหม? คู่มือการแก้ไขปัญหาฉบับสมบูรณ์ของเราจะช่วยคุณแก้ไขปัญหาได้อย่างรวดเร็วและเชื่อถือได้ ไม่ว่าจะเป็นปัญหาเกี่ยวกับแคช การอัปเดต และอื่นๆ แก้ปัญหาได้ภายในไม่กี่นาทีและเชื่อมต่อได้อย่างต่อเนื่อง!
เบื่อกับข้อผิดพลาดในการดาวน์โหลด Microsoft Teams สำหรับพีซีที่ขัดขวางการทำงานของคุณใช่ไหม? ทำตามคำแนะนำทีละขั้นตอนที่ได้รับการพิสูจน์แล้วของเราเพื่อแก้ไขปัญหาอย่างรวดเร็วและทำให้ Teams ทำงานได้อย่างราบรื่นบนพีซีของคุณในวันนี้
กำลังประสบปัญหาภาพกระตุกขณะใช้งาน Microsoft Teams ผ่าน Wi-Fi อยู่ใช่ไหม? คู่มือแก้ไขปัญหาฉบับสมบูรณ์นี้จะนำเสนอวิธีแก้ไขปัญหาอย่างรวดเร็ว เคล็ดลับขั้นสูง และการปรับแต่ง Wi-Fi เพื่อให้การสนทนาทางวิดีโอของคุณกลับมาคมชัดอีกครั้งในทันที
รู้สึกหงุดหงิดกับการวนลูปของหน้าจอต้อนรับใน Microsoft Teams ใช่ไหม? ลองทำตามขั้นตอนการแก้ไขปัญหาการวนลูปของหน้าจอต้อนรับใน Microsoft Teams ที่เราแนะนำ: ล้างแคช รีเซ็ตแอป และติดตั้งใหม่ กลับมาใช้งานร่วมกันได้อย่างราบรื่นภายในไม่กี่นาที!
รู้สึกหงุดหงิดกับสถานะ "ไม่อยู่" ใน Microsoft Teams ที่ค้างอยู่ใช่ไหม? พบกับสาเหตุหลักๆ เช่น การหมดเวลาการใช้งาน และการตั้งค่าพลังงาน พร้อมวิธีแก้ไขทีละขั้นตอนเพื่อให้กลับมาเป็น "พร้อมใช้งาน" ได้อย่างรวดเร็ว อัปเดตด้วยฟีเจอร์ Teams ล่าสุดแล้ว
รู้สึกหงุดหงิดเพราะปลั๊กอิน Microsoft Teams หายไปจาก Outlook ใช่ไหม? มาดูสาเหตุหลักและวิธีแก้ไขง่ายๆ ทีละขั้นตอน เพื่อให้การใช้งาน Teams และ Outlook กลับมาราบรื่นอีกครั้งโดยไม่ต้องยุ่งยาก ใช้งานได้กับเวอร์ชันล่าสุด!
เบื่อกับปัญหาการเล่นสื่อใน Microsoft Teams ที่ทำให้การประชุมปี 2026 ของคุณเสียบรรยากาศใช่ไหม? ทำตามคำแนะนำทีละขั้นตอนจากผู้เชี่ยวชาญของเราเพื่อแก้ไขปัญหาเสียง วิดีโอ และการแชร์ได้อย่างรวดเร็ว โดยไม่ต้องมีความรู้ด้านเทคนิคใดๆ การทำงานร่วมกันอย่างราบรื่นรอคุณอยู่!
รู้สึกหงุดหงิดกับ Microsoft Teams ที่ทำงานช้าใช่ไหม? ค้นพบสาเหตุที่ Microsoft Teams ทำงานช้า และลองใช้ 10 เคล็ดลับที่ได้รับการพิสูจน์แล้วเหล่านี้เพื่อเพิ่มความเร็วอย่างเห็นได้ชัดในปี 2026 เพื่อการทำงานร่วมกันที่ราบรื่นยิ่งขึ้น
หงุดหงิดกับคำถาม "ปฏิทิน Teams ของฉันอยู่ที่ไหน?" มาแก้ไขปัญหาการซิงค์ใน Microsoft Teams ทีละขั้นตอนกัน กู้คืนมุมมองปฏิทินของคุณและซิงค์ได้อย่างง่ายดาย—เคล็ดลับจากผู้เชี่ยวชาญอยู่ด้านใน!
พบปัญหาข้อผิดพลาดของ Microsoft Teams ในวันนี้ใช่ไหม? คู่มือการแก้ไขปัญหา Microsoft Teams แบบทีละขั้นตอนฉบับนี้จะเปิดเผยวิธีตรวจสอบเบื้องต้นเพื่อแก้ไขปัญหาได้อย่างรวดเร็ว วิธีแก้ไขด่วนสำหรับปัญหาการเชื่อมต่อ แคช และการอัปเดต จะช่วยให้คุณกลับมาแชทได้อย่างราบรื่น
กำลังประสบปัญหาข้อผิดพลาดเกี่ยวกับพร็อกซีใน Microsoft Teams อยู่ใช่ไหม? ค้นพบขั้นตอนการแก้ไขปัญหาข้อผิดพลาดเกี่ยวกับพร็อกซีใน Microsoft Teams ที่ได้รับการพิสูจน์แล้ว ล้างแคช ปรับการตั้งค่าพร็อกซี และกลับมาใช้งานการโทรได้อย่างราบรื่นภายในไม่กี่นาทีด้วยคู่มือจากผู้เชี่ยวชาญของเรา
เรียนรู้วิธีตั้งสถานะ "ไม่อยู่ที่ทำงาน" ใน Microsoft Teams ด้วยขั้นตอนง่ายๆ สำหรับเดสก์ท็อป มือถือ และการซิงค์กับ Outlook รักษาความเป็นมืออาชีพแม้ในขณะอยู่นอกสถานที่ – ตั้งค่าได้อย่างรวดเร็วในไม่กี่นาที!
