นักวิจัยจาก Trend Micro ได้เปิดเผยข้อมูลการพบกลุ่ม Agenda Ransomware เปลี่ยนมาใช้ภาษา Rust ในการโจมตีเป้าหมายในลักษณะ Cross-Platform Malware โดยก่อนหน้านี้ ได้พบการโจมตีด้วยวิธีเดียวกันนี้จากกลุ่ม BlackCat, Hive, Luna, และ RansomExx.
Agenda Ransomware คือกลุ่มที่แยกตัวมาจาก กลุ่ม Qilin เป็นผู้ให้บริการเช่าใช้แรนซัมแวร์ Ransomware-as-a-Service (RaaS) ซึ่งมีความเกี่ยวข้องกับเหตุการณ์โจมตีด้วยแรนซัมแวร์หลายครั้ง โดยมีเป้าหมายไปที่อุตสาหกรรมการผลิต และไอทีในประเทศต่างๆ โดยก่อนหน้านี้ทาง Agenda Ransomware ได้ใช้ภาษา GO ในการโจมตี และมีการปรับแต่งหน้าเว็ปไซต์ Phishing เพื่อให้เหยื่อหลงเชื่อ โดยมีเป้าหมายเป็นหน่วยงานพื้นฐานที่สำคัญของประเทศ Critical Infrastructure (CI) ในประเทศต่าง ๆ เช่น อินโดนีเซีย ซาอุดีอาระเบีย แอฟริกาใต้ รวมถึงประเทศไทย
วิธีการโจมตี
นักวิจัยจาก Trend Micro อธิบายว่าการใช้ภาษา Rust ในการโจมตี ช่วยในเรื่องการเข้ารหัสได้เร็วขึ้น และหลีกเลี่ยงการตรวจจับที่ต้องใช้การอ่าน/เขียนไฟล์ รวมไปถึงสามารถยุติกระบวนการ Windows AppInfo และปิดใช้งานการควบคุมบัญชีผู้ใช้ (UAC) ทำให้ Hackers สามารถยกระดับสิทธิ์เป็นสิทธิ์ของผู้ดูแลระบบ (Privilege Escalation) และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลได้ (RCE) ก่อนที่จะทำการเข้ารหัสข้อมูลด้วยนามสกุล "MmXReVIxLV" และทิ้งจดหมายเรียกค่าไถ่ไว้ในทุกไดเร็กทอรี่ของเหยื่อ
โดยปัจจุบันภาษา Rust เริ่มกลายเป็นที่นิยมของ Hackers ในการโจมตี เนื่องจากความสามารถในการเข้ารหัสได้เร็วขึ้น และความสามารถในการหลีกเลี่ยงการตรวจจับ รวมไปถึงการตรวจจับ และวิเคราะห์พฤติกรรมจาก Anti-Virus ทำได้ยากขึ้น
วิธีป้องกัน
- ไม่คลิก link ที่ไม่น่าเชื่อถือ รวมไปถึงตรวจสอบ URL ของเว็ปไซต์ที่ต้องการใช้งานทุกครั้ง
- พิจารณาจัดหา Endpoint ที่มีความสามารถในการตรวจจับ และวิเคราะห์พฤติกรรมการโจมตีได้มากกว่า Anti-Virus แบบเดิม
ที่มา : thehackernews
You must be logged in to post a comment.