ตามรายงานของ Insikt Group จาก Recorded Future เมื่อวันศุกร์ที่ผ่านมาพบว่า กลุ่ม GrayAlpha กลุ่มผู้ไม่หวังดีที่มีความเชื่อมโยงกับกลุ่ม FIN7 ได้ดำเนินการเปิดเว็บไซต์ที่มีโปรแกรม 7-Zip ปลอม และซอฟต์แวร์อื่น ๆ เพื่อแพร่กระจายมัลแวร์ NetSupport ซึ่งเป็น Remote Access Trojan (RAT)
รายงานระบุว่า พบการติดมัลแวร์ที่แตกต่างกันถึง 3 แบบ และ Loaders แบบกำหนดเอง 2 รายการ รวมถึงการใช้บริการ Bulletproof Hosting โดยกลุ่ม GrayAlpha
ขั้นตอนแรกของการติดมัลแวร์ คือการอัปเดตซอฟต์แวร์ปลอม ซึ่งเกี่ยวข้องกับการแพร่กระจายซอฟต์แวร์อัปเดตปลอมของซอฟต์แวร์ยอดนิยม เช่น Google Meet, LexisNexis, Asana, AIMP, SAP Concur และ Advanced IP Scanner นอกจากนี้ GrayAlpha ยังใช้เว็บไซต์ที่ปลอมเป็น CNN และ The Wall Street Journal ในแคมเปญนี้ ซึ่งถูกตรวจพบครั้งแรกเมื่อเดือนเมษายน 2024
เว็บไซต์ปลอมเหล่านี้ใช้สคริปต์สำหรับตรวจสอบโฮสต์แบบเดียวกัน และส่วนใหญ่โฮสต์ผ่านบริการ Bulletproof Hosting ซึ่งรู้จักกันในชื่อ Stark Industries Solutions ที่เคยถูกใช้งานโดยกลุ่ม FIN7 มาก่อน นอกจากนี้กลุ่ม FIN7 ยังเคยใช้การดาวน์โหลด Advanced IP Scanner ปลอมเพื่อโจมตีแบบ Social Engineering ในอดีต ซึ่งแสดงให้เห็นถึงความเชื่อมโยงกับกลุ่ม GrayAlpha
โดเมนที่โฮสต์กับซอฟต์แวร์อัปเดตร์ปลอมถูกใช้โดย GrayAlpha เพื่อแพร่กระจาย FakeBat Loader เวอร์ชันใหม่ที่รู้จักในชื่อ MaskBat ซึ่งแตกต่างจาก FakeBat ด้วยการใช้เทคนิค Obfuscation โดย FakeBat ถูกใช้เพื่อส่ง payload ในขั้นตอนสุดท้ายคือ NetSupport RAT
ขั้นตอนที่สอง คือการดาวน์โหลด 7-Zip ปลอม ซึ่งใช้โดเมนที่มีสคริปต์ตรวจสอบโฮสต์แบบเดียวกับเว็บไซต์ซอฟต์แวร์ปลอมอื่น ๆ และแพร่กระจาย PowerNet Loader แบบกำหนดเอง โดย PowerNet จะตรวจสอบว่าโฮสต์เป็นส่วนหนึ่งของโดเมนองค์กร หรือไม่ก่อนดำเนินการ และจะหยุดการทำงานหากการตรวจสอบไม่สำเร็จ
Insikt Group พบว่ามี PowerNet ทั้งหมด 5 รูปแบบที่แตกต่างกันในแคมเปญเหล่านี้ โดยในบางรูปแบบไม่มีการตรวจสอบโดเมนองค์กร และบางรูปแบบจะเปลี่ยนเส้นทางไปยัง URL แทนที่จะดึง payload ในขั้นตอนสุดท้ายจากแพ็กเกจ MSIX โดยตรง นอกจากนี้ยังพบว่า Code Segment ที่ตรวจสอบโดเมนยังพบใน Usradm Loader ที่เชื่อมโยงกับ FIN7 อีกด้วย
แคมเปญ 7-Zip นี้เริ่มดำเนินการตั้งแต่เดือนเมษายน 2024 และเป็นช่องทางการโจมตีเดียวที่ยังคงใช้งานอยู่ในช่วงเวลาที่ Insikt Group เขียนรายงาน โดยโดเมนล่าสุดถูกจดทะเบียนในเดือนเมษายน 2025
ขั้นตอนที่สาม คือระบบกระจายการรับส่งข้อมูล TAG-124 (Traffic Distribution System) ซึ่งเป็นเครือข่ายเว็บไซต์ WordPress ที่ถูกโจมตี ซึ่งใช้แพร่กระจายมัลแวร์ผ่านการอัปเดตเว็บเบราว์เซอร์ปลอม และเทคนิค ClickFix แคมเปญนี้เริ่มต้นในเดือนสิงหาคม 2024 และ Insikt Group ระบุว่าเป็นการใช้ TAG-124 ครั้งแรกของกลุ่ม GrayAlpha โดยแคมเปญนี้ใช้สำหรับส่ง PowerNet Loader
ทั้งสามขั้นตอนถูกใช้เพื่อแพร่กระจายมัลแวร์ NetSupport RAT ซึ่งเคยถูกใช้โดยกลุ่ม FIN7 ด้วยเช่นกัน ตัวอย่าง NetSupport RAT ทั้งหมดที่ GrayAlpha ใช้ มีความเชื่อมโยงกับหนึ่งในสองของ License IDs ที่เชื่อมโยงกับตัวอย่าง NetSupport RAT ที่ FIN7 เคยใช้ในอดีต
Insikt Group แนะนำวิธีการป้องกันหลายอย่างสำหรับองค์กรเพื่อป้องกันการโจมตีของ GrayAlpha และ FIN7 ได้แก่ การติดตามสถานการณ์ของภัยคุกคาม, การควบคุมการเข้าถึงตามหลัก Least Privilege และการลดพื้นที่จัดเก็บข้อมูลที่สำคัญ เพื่อเตรียมพร้อมหากเกิดการเจาะระบบ
FIN7 เป็นกลุ่ม Advanced Persistent Threat (APT) ที่มีแรงจูงใจด้านการเงิน และมีการเคลื่อนไหวตั้งแต่ปี 2013 โดยเป็นที่รู้จักจากแคมเปญขโมยข้อมูลบัตรชำระเงิน รวมถึงการเจาะระบบเครือข่ายองค์กรที่เน้นกลุ่มธุรกิจค้าปลีก, โรงแรม และการเงิน กลุ่มนี้ใช้เครื่องมือ และมัลแวร์หลากหลายประเภท และยังมีส่วนเกี่ยวข้องในระบบ Ransomware-As-A-Service (RaaS)
เมื่อต้นปีที่ผ่านมากลุ่ม FIN7 ได้เปิดตัวแคมเปญ malspam ที่ส่ง Backdoor ที่พัฒนาโดย Python ชื่อ Anubis ผ่านไฟล์ ZIP ที่เป็นอันตรายซึ่งโฮสต์บนเว็บไซต์ SharePoint ที่ถูกโจมตี
ที่มา : scworld
You must be logged in to post a comment.