Team Cymru บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการค้นพบว่ากลุ่ม Hacker ที่อยู่เบื้องหลัง Vidar Malware ได้ทำการเปลี่ยนแปลงโครงสร้างเบื้องหลังการทำงานของกลุ่ม ซึ่งแสดงให้เห็นถึงการพยายามที่จะปรับแต่งเครื่องมือในการโจมตีใหม่ ๆ และปกปิดเส้นทางออนไลน์ เพื่อตอบสนองต่อการถูกเปิดเผยต่อสาธารณะเกี่ยวกับวิธีการทำงาน และการโจมตีของกลุ่ม Hacker ที่อยู่เบื้องหลัง Vidar Malware โดย Hacker เปลี่ยนแปลง IP โครงสร้างเบื้องหลัง ซึ่งนิยมใช้ผู้ให้บริการที่อยู่ในมอลโดวา และรัสเซีย
Vidar Malware เป็นมัลแวร์ขโมยข้อมูลที่ถูกใช้ในเชิงพาณิชย์ โดยพบการโจมตีตั้งแต่ปลายปี 2018 นอกจากนี้ยังเป็นส่วนประกอบของมัลแวร์ขโมยข้อมูลตัวอื่น ในชื่อ Arkei ซึ่งได้ถูกเสนอขายด้วยราคาระหว่าง $130 ถึง $750 ขึ้นอยู่กับระดับการสมัครสมาชิกของผู้ใช้บริการ
การโจมตีของ Vidar Malware จะเริ่มต้นด้วยการส่ง phishing mail และเว็บไซต์ปลอมที่โน้มน้าวให้เป้าหมายทำการดาวน์โหลดซอฟต์แวร์อันตรายที่ฝังมัลแวร์ ที่มีความสามารถในการโจมตีที่หลากหลาย เพื่อขโมยข้อมูลที่มีความสำคัญจากเครื่องที่ถูกโจมตี รวมไปถึงยังพบว่า Vidar ได้เผยแพร่มัลแวร์ผ่าน Google Ads โดยใช้มัลแวร์ที่มีชื่อว่า Bumblebee
Team Cymru พบว่ากลุ่ม Hacker ที่อยู่เบื้องหลัง Vidar Malware ได้ทำการแบ่งโครงสร้างพื้นฐานออกเป็นสองส่วน โดยส่วนแรกสำหรับลูกค้าประจำ และส่วนที่สองมีไว้สำหรับทีมผู้บริหาร และผู้ใช้ระดับพรีเมียม/คนสำคัญ ซึ่งโดเมนหลักที่กลุ่ม Vidar ใช้คือ my-odin[.]com ที่ใช้ในการจัดการ management panel ยืนยันความถูกต้องของผู้ใช้งาน และใช้สำหรับแชร์ไฟล์
ซึ่งก่อนหน้านี้สามารถดาวน์โหลดไฟล์จากเว็บไซต์ได้โดยไม่ต้องมีการ authentication ใด ๆ แต่ในปัจจุบันการดาวน์โหลดไฟล์จำเป็นจะต้องทำการเข้าสู่ระบบก่อน โดยการเปลี่ยนแปลงนี้เกี่ยวข้องกับการอัปเดตที่อยู่ IP ของโครงสร้างเบื้องหลัง โดยมีการเปลี่ยนจาก 186.2.166[.]15 เป็น 5.252.179[.]201 และได้เปลี่ยนมาเป็น 5.252.176[.]49 ในเดือนมีนาคม 2023 เพื่อเข้าถึงโครงสร้างเบื้องหลังของ Hacker ด้วยการ VPN เพื่อหลบหลีกการตรวจจับ และปกปิดการโจมตี
นอกจากนี้ยังตรวจพบการเชื่อมต่อขาออกจาก 5.252.176[.]49 ไปยังเว็บไซต์ blonk[.]co ที่ตั้งอยู่ในรัสเซีย (185.173.93[.]98:443) อีกด้วย
ปัจจุบันพบว่าโครงสร้างพื้นฐานของ Vidar ได้ถูกเปลี่ยนแปลงอีกครั้ง ในวันที่ 3 พฤษภาคม 2023 ด้วยการเปลี่ยนที่อยู่ IP ใหม่เป็น 185.229.64[.]137 ที่อยู่บนเว็บไซต์ my-odin[.]com พร้อมกับการใช้ TOR เพื่อให้สมาชิกใช้ในการเข้าถึงบัญชี และที่เก็บมัลแวร์ของพวกเขา
โดยการค้นพบเหล่านี้ แสดงเห็นถึงความพยายามในการพัฒนาของโครงสร้างเบื้องหลังของกลุ่ม Vidar และการหลบหลีกการตรวจจับ และการปกปิดการโจมตี
ที่มา : thehackernews