กลุ่ม Bluebottle ใช้ไดรเวอร์ที่ได้รับการรับรองจาก Windows ในการโจมตีธนาคาร
นักวิจัยจาก Symantec บริษัทด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่รายงานพฤติกรรมการโจมตีของกลุ่ม Bluebottle ที่ใช้ไดรเวอร์อันตรายที่ได้รับการรับรองจาก Windows เพื่อโจมตีธนาคารในฝรั่งเศส ซึ่งทำให้เกิดความเสียหายมูลค่ากว่า 11 ล้านดอลลาร์
โดยนักวิจัยพบว่ากลุ่ม Bluebottle มีเทคนิค และขั้นตอนในการโจมตีคล้ายคลึงกับกลุ่ม OPERA1ER โดยพบการใช้มัลแวร์ที่สร้างขึ้นมาเอง และชุดเครื่องมือสำเร็จรูปในการโจมตี (Open Source, Commodity, Frameworks) และได้ดำเนินการโจมตีเป้าหมายไปแล้วกว่า 35 ครั้งระหว่างปี 2018 ถึง 2020 รวมถึงคาดว่ากลุ่ม Bluebottle อาจเป็นชาวฝรั่งเศส แต่มีฐานปฏิบัติการอยู่ที่แอฟริกา โดยการโจมตีจะมุ่งเป้าไปยังประเทศในภูมิภาคต่างๆ เช่น แอฟริกา ฝรั่งเศส อาร์เจนตินา ปารากวัย และบังกลาเทศ
กลยุทธ์ เทคนิค และขั้นตอนในการโจมตีของ Bluebottle
นักวิจัยของ Symantec ได้ทำการวิเคราะห์การโจมตีของ Bluebottle ซึ่งโจมตีสถาบันการเงินสามแห่งในประเทศแอฟริกา พบว่ามีวิธีการที่คล้ายกับ OPERA1ER โดยอธิบายเครื่องมือการโจมตีไว้ดังนี้
- การใช้ Quser เพื่อค้นหาผู้ใช้งาน
- การใช้ Ping เพื่อตรวจสอบการเชื่อมต่ออินเทอร์เน็ต
- การใช้ Ngrok สำหรับช่องทางเชื่อมต่อเครือข่าย
- การใช้ Net localgroup /add สำหรับเพิ่มผู้ใช้งาน
- การใช้ Fortinet VPN client เป็นช่องทางสำรองในการเข้าถึงระบบ
- การใช้ Xcopy เพื่อคัดลอกไฟล์ wrapper RDP
- การใช้ Netsh เพื่อเปิดพอร์ต 3389 ใน Firewall
- การใช้ Autoupdatebat Tool เพื่อเปิดใช้งาน RDP หลายเซสชันพร้อมกันบนระบบ
- การใช้ SC privs เพื่อแก้ไข SSH agent permission
- การใช้ Mimikatz เพื่อดึงรหัสผ่านจากหน่วยความจำ
- การใช้ Reveal Keylogger เพื่อบันทึกการกดแป้นพิมพ์
- การใช้ NetwireRAT (remote access trojan) เพื่อเข้าถึงระบบจากระยะไกล
นอกจากที่จะใช้มัลแวร์ที่สร้างขึ้นมาใช้เอง และชุดเครื่องมือสำเร็จรูปในการโจมตี (Open Source, Commodity, Frameworks) แล้ว ยังพบว่ามีการใช้ GuLoader สำหรับการโหลดมัลแวร์ และไดรเวอร์ที่เป็นอันตรายที่ได้รับการรับรองจาก Windows Hardware Developer Program ของ Microsoft ที่ออกให้กับบริษัท Zhuhai Liancheng Technology Co., Ltd. ของจีน (ถูกเปิดเผยร่วมกันจาก Mandiant, SentinelOne และ Sophos ในเดือนธันวาคม 2022) เพื่อหลีกเลี่ยงการตรวจจับจากผลิตภัณฑ์รักษาความปลอดภัยในเครือข่ายของเหยื่อ รวมไปถึงการใช้ไฟล์ .ISO ที่เป็นอันตรายแนบมากับ Email Phishing
แม้ว่าการวิเคราะห์การโจมตี และเครื่องมือที่ใช้ของ Bluebottle และ OPERA1ER จะมีความคล้ายคลึงกันเป็นอย่างมาก แต่ Symantec ยังไม่สามารถยืนยันได้ว่าเป็นกลุ่มเดียวกัน
ที่มา : www.bleepingcomputer.com
You must be logged in to post a comment.