ObliqueRAT เชื่อมโยงกับกลุ่มภัยคุกคามที่เริ่มโจมตีโดยมีรัฐบาลเป็นเป้าหมาย เน้นภูมิภาคเอเชียตะวันออกเฉียงใต้
นักวิจัยเปิดเผย Remote Access Trojan (RAT) ตัวใหม่ที่ดูเหมือนจะเป็นงานฝีมือของกลุ่มภัยคุกคามที่เชี่ยวชาญในการโจมตีรัฐบาล นักวิจัยของ Cisco Talos กล่าวว่ามัลแวร์ที่ถูกเรียกว่า ObliqueRAT กำลังถูกปล่อยในแคมเปญใหม่ที่มุ่งเน้นไปที่เป้าหมายในเอเชียตะวันออกเฉียงใต้ แคมเปญล่าสุดเริ่มขึ้นในเดือนมกราคม 2563 และกำลังดำเนินการอยู่อย่างต่อเนื่อง
อาชญากรไซเบอร์ที่อยู่เบื้องหลังโครงการนี้ใช้ฟิชชิ่งอีเมลเป็นจุดเริ่มต้นในการโจมตี อีเมลดังกล่าวแนบเอกสาร Microsoft Office ที่เป็นอันตราย ซึ่งจะทำการแพร่ RAT ตามมา
เอกสารแนบจะมีชื่อที่ไม่น่าสงสัย เช่น Company-Terms.doc หรือ DOT_JD_GM.doc เเละมีการป้องกันรหัสผ่าน เป็นเทคนิคได้รับการออกแบบมาเพื่อพยายามทำให้เอกสารดูน่าเชื่อถือและดูปลอดภัยสำหรับกฎเกณฑ์ต่างๆขององค์กร ซึ่งรหัสผ่านที่จำเป็นในการเปิดไฟล์นั้นจะอยู่ในเนื้อหาหลักของฟิชชิ่งเมล
หากเหยื่อป้อนรหัสผ่านและเปิดเอกสาร malicious VB script จะทำงานทันทีเพื่อแตกไฟล์อันตราย และปล่อย ObliqueRAT ลงบนเครื่องของเหยื่อ
ObliqueRAT ยึดติดบนเครื่องด้วยการสร้าง startup process ที่จะทำงานทุกครั้งที่เครื่องถูกรีบูต Talos ระบุว่ามัลแวร์ตัวนี้เรียบง่ายและมีฟังก์ชั่นหลักของโทรจันทั่วไป รวมถึงความสามารถในการขโมยไฟล์และข้อมูลระบบส่งไปยังเซิร์ฟเวอร์ command-and-control (C2) ฟังก์ชั่นสำหรับดาวน์โหลดไฟล์เพิ่มเติมและความสามารถในการหยุด process ที่ทำงานอยู่
ที่มา : zdnet
You must be logged in to post a comment.