นักวิจัยด้านความปลอดภัยของ Symantec เปิดเผยการพบ hacking tool ตัวใหม่ที่เขียนด้วย .NET ซึ่งถูกสร้างขึ้นโดยกลุ่ม Play ransomware ได้แก่ Grixba และ VSS Copying Tool ซึ่งถูกนำมาใช้เพื่อเพิ่มประสิทธิภาพในการโจมตีเป้าหมาย
hacking tool ตัวใหม่
Grixba เป็นเครื่องมือสำหรับสแกนเครือข่าย และขโมยข้อมูลที่ใช้ในการระบุผู้ใช้ และคอมพิวเตอร์ในโดเมน นอกจากนี้ยังสนับสนุนโหมด 'SCAN' ที่ใช้ WMI, WinRM, Remote Registry และ Remote Services เพื่อระบุว่าซอฟต์แวร์ใดบ้างที่ทำงานบนอุปกรณ์เครือข่าย รวมถึง Grixba ยังสามารถตรวจสอบโปรแกรมป้องกันไวรัส anti-virus และ EDR, เครื่องมือสำรองข้อมูล และเครื่องมือการควบคุมระบบจากระยะไกล (remote administration tools) รวมถึงการตรวจสอบแอปพลิเคชันสำนักงานทั่วไป และ DirectX ซึ่งอาจระบุประเภทของคอมพิวเตอร์ที่จะสแกนได้อีกด้วย
โดย Grixba จะบันทึกข้อมูลที่เก็บรวบรวมทั้งหมดไว้ในไฟล์ CSV บีบอัดข้อมูลเหล่านั้นลงในไฟล์ ZIP แล้วทำการส่งข้อมูลนั้นไปยัง C2 server ของ Hacker เพื่อนำข้อมูลที่สำคัญไปวางแผนขั้นตอนต่อไปของการโจมตีเป้าหมาย
VSS Copying Tool เป็นเครื่องมือที่ทำให้ Hacker สามารถเข้าถึง Volume Shadow Copy Service (VSS) ผ่านการเรียก API โดยใช้ไลบรารี AlphaVSS .NET เพื่อขโมยไฟล์จาก shadow volume copies ที่มีอยู่ ถึงแม้ว่าไฟล์เหล่านั้นจะถูกใช้งานโดยแอปพลิเคชันอยู่ก็ตาม
Volume Shadow Copy Service เป็นฟีเจอร์ของ Windows ที่ช่วยให้ผู้ใช้งานสร้าง snapshots ระบบ และสำเนาสำรองของข้อมูล ณ เวลาที่กำหนด เพื่อให้สามารถกู้คืนได้ในกรณีที่ข้อมูลสูญหาย หรือระบบเสียหาย
โดย hacking tool ทั้ง 2 ตัวนี้ ถูกสร้างขึ้นโดยใช้เครื่องมือพัฒนา Costura .NET ซึ่งสามารถสร้างโปรแกรมปฏิบัติการแบบสแตนด์อโลน ทำให้สามารถนำไปใช้ในการโจมตีได้ง่าย
ซึ่งตั้งแต่ต้นปี 2023 กลุ่ม Play ransomware ได้โจมตีไปยังหน่วยงานที่มีชื่อเสียงต่าง ๆ รวมถึงเมืองโอ๊คแลนด์ในแคลิฟอร์เนีย, A10 Networks, Arnold Clark และ Rackspace
ที่มา : bleepingcomputer
You must be logged in to post a comment.