SentinelLabs บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการพบกลุ่ม Hacker ชื่อ 'Winter Vivern' ได้ทำการโจมตีเป้าหมายด้วยวิธีการสร้างเว็บไซต์ที่แนบลิงค์อันตรายเพื่อหลอกล่อให้ผู้ใช้งานทำการดาวน์โหลด antivirus ปลอมที่ฝังมัลแวร์เอาไว้
Winter Vivern เป็นกลุ่มอาชญากรทางไซเบอร์ APT (Advanced Persistent Threat) ที่ได้รับการสนับสนุนจากรัสเซีย ซึ่งถูกตรวจพบจาก DomainTools ในปี 2021 โดยมีเป้าหมายการโจมตีไปยังองค์กรรัฐบาลในลิทัวเนีย สโลวาเกีย วาติกัน และอินเดีย ต่อมาได้มีการกำหนดเป้าหมายไปยังบริษัทโทรคมนาคม เช่น บริษัทที่สนับสนุนยูเครนตั้งแต่การรุกรานของรัสเซีย
โดยพบว่าตั้งแต่มกราคม 2023 กลุ่ม Winter Vivern ได้มีการสร้างหน้าเว็บไซต์เลียนแบบเว็บของสำนักงานกลางเพื่อต่อต้านอาชญากรรมทางไซเบอร์ของโปแลนด์ กระทรวงการต่างประเทศของยูเครน และบริการรักษาความปลอดภัยของยูเครน ที่แนบลิงค์ไฟล์สเปรดชีต (XLS) ที่มีมาโครที่เป็นอันตรายเพื่อสั่งรัน PowerShell ในการโจมตี
การโจมตีโดยใช้ antivirus ปลอม
SentinelLabs ได้เปิดเผยวิธีการโจมตีของ Winter Vivern โดยการใช้ Windows batch files เพื่อปลอมแปลงเป็นโปรแกรม antivirus ซึ่งในความเป็นจริงจะมีการดาวน์โหลดเพย์โหลดที่เป็นอันตรายจากเว็บไซต์ของ Hacker เช่นเดียวกับตอนที่ปลอมแปลงเป็นขั้นตอนการสแกนไวรัส โดยจะแสดงเปอร์เซ็นต์ของเวลาที่เหลือ ในระหว่างที่ทำการดาวน์โหลดเพย์โหลดที่เป็นอันตรายโดยการใช้ PowerShell
โดยมัลแวร์ที่อยู่ในเพย์โหลดดังกล่าวมีชื่อว่า "Aperetif" ถูกโฮสต์อยู่ในเว็บไซต์ WordPress ที่ถูกโจมตีเพื่อใช้แพร่กระจายมัลแวร์ โดยมีความสามารถในการเชื่อมต่อไปยัง C2 Server เพื่อเรียกใช้งาน PowerShell และรอคำสั่งสำหรับการรันเพย์โหลดอื่นเพิ่มเติม โดยมัลแวร์ถูกทีม CERT ของยูเครนบันทึกไว้ในรายงานเดือนกุมภาพันธ์ 2023 และทาง SentinelLab ก็เพิ่งค้นพบเพย์โหลดใหม่ที่มีความสามารถคล้ายกับ Aperefit แต่ยังไม่สมบูรณ์จึงคาดการณ์ว่ามัลแวร์ยังอยู่ในช่วงกำลังพัฒนา
ที่มา : bleepingcomputer
You must be logged in to post a comment.