การโจมตีด้วยแรนซัมแวร์ RA World เมื่อไม่นานมานี้ เป็นการใช้ชุดเครื่องมือที่เคยเกี่ยวข้องกับกลุ่มสายลับที่มาจากจีนในอดีต
ตามรายงานของ Symantec การโจมตีเกิดขึ้นในช่วงปลายปี 2024 ชุดเครื่องมือดังกล่าวประกอบด้วยไฟล์ executable ของ Toshiba ที่ถูกต้องชื่อ 'toshdpdb.exe' ที่ถูกติดตั้งในอุปกรณ์ของเหยื่อ จากนั้นจะเชื่อมต่อกับไฟล์ DLL ที่เป็นอันตราย ซึ่งจะติดตั้งเพย์โหลดที่มี PlugX backdoor อยู่ภายใน
ผู้ไม่หวังดีในกรณีนี้ใช้ชุดเครื่องมือเพื่อติดตั้งแรนซัมแวร์ RA World ในบริษัทซอฟต์แวร์ และบริการแห่งหนึ่งในเอเชีย โดยเรียกค่าไถ่จำนวน 2 ล้านดอลลาร์ ซึ่งจากการตรวจสอบไม่พบช่องทางในการติดตั้งมัลแวร์ในขั้นต้น อย่างไรก็ตามจากข้อมูลของ Symantec ผู้ไม่หวังดีอ้างว่าได้เจาะระบบเครือข่ายของเหยื่อ โดยใช้ประโยชน์จากช่องโหว่ Palo Alto PAN-OS (CVE-2024-0012)
นักวิจัยระบุเพิ่มเติมว่า "ผู้ไม่หวังดีอ้างว่าได้รับข้อมูล credentials ของผู้ดูแลระบบจาก Intranet ของบริษัท ก่อนที่จะขโมยข้อมูลการเข้าใช้งาน Amazon S3 จากเซิร์ฟเวอร์ Veeam ของบริษัท โดยใช้ข้อมูลเหล่านั้นในการขโมยข้อมูลจาก S3 buckets ก่อนที่จะเข้ารหัสข้อมูลในคอมพิวเตอร์" นักวิจัยคาดการณ์ว่าจากเทคนิค และขั้นตอนที่ใช้ในการโจมตี ผู้ไม่หวังดีอาจเป็นกลุ่ม Emperor Dragonfly จากจีน หรือที่รู้จักในชื่อ Bronze Starlight ซึ่งเป็นกลุ่มที่เคยใช้แรนซัมแวร์เพื่อปกปิดการขโมยทรัพย์สินทางปัญญามาก่อน
นักวิจัยของ Symantec สังเกตว่า เหตุการณ์การเจาะระบบก่อนหน้านี้ที่ใช้ชุดเครื่องมือเดียวกันเกิดขึ้นกับกระทรวงการต่างประเทศของประเทศในยุโรปตะวันออกเฉียงใต้, รัฐบาลของอีกประเทศหนึ่ง, กระทรวงของรัฐบาลเอเชียตะวันออกเฉียงใต้สองกระทรวง และผู้ให้บริการโทรคมนาคมในเอเชียตะวันออกเฉียงใต้ การโจมตีเกิดขึ้นในช่วงระหว่างเดือนกรกฎาคม 2024 ถึงเดือนมกราคม 2025 โดยทั้งหมดเป็นการจารกรรมทางไซเบอร์ ไม่มีส่วนเกี่ยวข้องกับแรนซัมแวร์
นักวิจัยระบุในโพสต์ในสัปดาห์นี้ว่า "เครื่องมือที่เกี่ยวข้องกับกลุ่มสายลับจากจีน ส่วนใหญ่จะเป็นทรัพยากรที่ใช้ร่วมกัน แต่เครื่องมือหลายอย่างไม่ได้เปิดเผยต่อสาธารณะ และมักไม่เคยถูกใช้กับอาชญากรรมในโลกไซเบอร์ทั่วไป"
ที่มา : darkreading.com
You must be logged in to post a comment.