นักวิจัยด้านความปลอดภัยจาก ClearSky ได้เผยถึงการพบเบาะแสที่เชื่อมโยงระหว่าง Thanos ransomware กับกลุ่ม MuddyWater ซึ่งเป็นแฮกเกอร์ที่รัฐสนับสนุนโดยอิหร่าน
นักวิจัยด้านความปลอดภัยกล่าวว่าเบาะแสที่มีเชื่อมโยงนั้นพบว่ากลุ่ม MuddyWater มักจะใช้วิธีการโจมตีอยู่สองวิธีคือ หนึ่งใช้อีเมลฟิชชิ่งที่มีเอกสาร Excel หรือ PDF ที่เป็นอันตราย ซึ่งเมื่อเหยื่อเปิดแล้วจะดาวน์โหลดและติดตั้งมัลแวร์จากเซิร์ฟเวอร์ของแฮกเกอร์ ส่วนวิธีที่สองคือการสแกนอินเทอร์เน็ตเพื่อหาเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ไม่ได้รับการเเพตซ์และใช้ประโยชน์จากช่องโหว่ CVE-2020-0688 ติดตั้งเว็บเชลล์บนเซิร์ฟเวอร์จากนั้นดาวน์โหลดและติดตั้งมัลแวร์ตัวเดียวกันเดียวกับที่เคยเห็นมาก่อน ซึ่งมีชื่อว่า PowGoop โดยจะเป็นมัลเเวร์ที่ถูกใช้เพื่อทำการติดตั้ง Thanos ransomware ซึ่งเป็นข้อมูลจากการติดตามและรายงานโดย Palo Alto Networks
จุดน่าสนใจของ TTP ล่าสุดอยู่ในประเด็นที่ว่า Thanos ransomware ที่ตรวจพบและเกี่ยวข้องกับ MuddyWater ถูกเขียนขึ้นมาให้เข้ารหัสแบบไม่สามารถกู้คืนได้ ซึ่งเป็นความพยายามในการปกปิดเป้าหมายที่แท้จริงผ่านการอำพรางด้วยการใช้มัลแวร์เรียกค่าไถ่ด้วย
ที่มา: zdnet.com