กลุ่มแรนซัมแวร์ Crypto24 ได้ใช้เครื่องมือพิเศษที่พัฒนาขึ้นเองในการโจมตี เพื่อหลบเลี่ยงการตรวจจับจากอุปกรณ์ด้านความปลอดภัยในเครือข่าย และเข้ารหัสไฟล์ รวมถึงขโมยข้อมูลออกไป
ปฏิบัติการของกลุ่มนี้ถูกพบครั้งแรกในฟอรั่มของ BleepingComputer เมื่อเดือนกันยายน 2024 แม้ในช่วงแรกจะไม่ได้มีชื่อเสียงมากนัก
นักวิจัยจาก Trend Micro ที่ติดตามพฤติกรรมของกลุ่ม Crypto24 พบว่า ผู้โจมตีกลุ่มนี้ได้โจมตีองค์กรขนาดใหญ่หลายแห่งในสหรัฐอเมริกา, ยุโรป และเอเชีย โดยเน้นเป้าหมายที่มีมูลค่าสูง เช่น ภาคการเงิน, การผลิต, ด้านความบันเทิง และด้านเทคโนโลยี
นักวิจัยด้านความปลอดภัยระบุว่า กลุ่ม Crypto24 มีความรู้ และความชำนาญ ซึ่งแสดงให้เห็นว่ามีความเป็นไปได้มากที่กลุ่มนี้ก่อตั้งโดยอดีตสมาชิกหลักของกลุ่มแรนซัมแวร์ที่ยุติการปฏิบัติการไปแล้ว
พฤติกรรมหลังการโจมตีระบบ
หลังจากได้สิทธิ์เข้าถึงระบบในครั้งแรก ผู้โจมตีกลุ่ม Crypto24 จะเปิดใช้งานบัญชีผู้ดูแลระบบที่เป็นค่าเริ่มต้นบนระบบ Windows ภายในเครือข่ายองค์กร หรือสร้างบัญชีผู้ใช้ใหม่ เพื่อใช้สำหรับการเข้าถึงแบบเงียบ ๆ และแฝงตัวอยู่ในระบบได้อย่างต่อเนื่อง
จากนั้นจะเข้าสู่ขั้นตอนการ reconnaissance โดยใช้ batch file ที่พัฒนาขึ้นเอง พร้อมใช้คำสั่งในการดึงข้อมูลรายชื่อบัญชีผู้ใช้, รายละเอียดฮาร์ดแวร์ของระบบ และโครงสร้างของดิสก์ ซึ่งต่อมาผู้โจมตีจะสร้าง Windows services และ scheduled tasks ที่เป็นอันตรายเพื่อใช้ในการแฝงตัวอยู่ในระบบ
อันแรก WinMainSvc เป็น keylogger service สำหรับดักจับการพิมพ์ของผู้ใช้ และอันที่สอง MSRuntime เป็น ransomware loader
ต่อมากลุ่ม Crypto24 จะใช้เครื่องมือโอเพ่นซอร์ส RealBlindingEDR เวอร์ชันพิเศษ ซึ่งมีเป้าหมายโจมตี agent ของซอฟต์แวร์รักษาความปลอดภัยจากผู้ผลิตหลายราย โดยปิดการทำงานของ kernel driver เช่น
- Trend Micro
- Kaspersky
- Sophos
- SentinelOne
- Malwarebytes
- Cynet
McAfee - Bitdefender
- Broadcom (Symantec)
- Cisco
- Fortinet
- Acronis
RealBlindingEDR เวอร์ชันพิเศษของกลุ่ม Crypto24 จะดึงชื่อบริษัทจากข้อมูล metadata ของ driver มาเปรียบเทียบกับรายชื่อที่ฝังไว้ในโค้ด และถ้าพบว่าตรงกัน จะปิดการทำงานของ hooks/callbacks ในระดับ kernel เพื่อปิดการตรวจจับของเครื่องมือ
สำหรับผลิตภัณฑ์ของ Trend Micro รายงานระบุว่า ถ้าผู้โจมตีมีสิทธิ์ administrator จะรัน batch script ที่เรียกใช้โปรแกรม ‘XBCUninstaller.exe’ เพื่อถอนซอฟต์แวร์ออกจากระบบ
นักวิจัยจาก Trend Micro ระบุว่า “พบว่าผู้โจมตีมีการเรียกใช้โปรแกรมถอนการติดตั้ง Trend Vision One ที่ชื่อว่า XBCUninstaller.exe ผ่านทาง gpscript.exe”
ไฟล์ที่เป็นปัญหาเป็นเครื่องมือที่มีความน่าเชื่อถือที่ Trend Micro จัดทำขึ้นเพื่อแก้ปัญหาโดยเฉพาะ เช่น การซ่อมแซม agent ที่ทำงานไม่สอดคล้องกันภายในระบบ Trend Vision One
โดยวัตถุประสงค์ของเครื่องมือนี้คือใช้สำหรับถอนการติดตั้ง Endpoint BaseCamp เมื่อต้องการบำรุงรักษา หรือรับการสนับสนุน
เครื่องมือนี้ช่วยให้มัลแวร์อื่น ๆ เช่น keylogger (WinMainSvc.dll) และแรนซัมแวร์ (MSRuntime.dll) ซึ่งทั้งคู่เป็นเครื่องมือที่พัฒนาขึ้นเอง สามารถหลบเลี่ยงการตรวจจับได้
ตัว keylogger ซึ่งปลอมตัวเป็น “Microsoft Help Manager” จะบันทึกทั้งชื่อหน้าต่างที่กำลังใช้งานอยู่ และการกดแป้นพิมพ์ทั้งหมด รวมถึงปุ่มควบคุม (Ctrl, Alt, Shift และปุ่มฟังก์ชัน)
ผู้โจมตียังใช้ SMB shares เพื่อโจมตีต่อไปยังเครื่องอื่นในเครือข่าย และวางไฟล์เพื่อเตรียมขโมยข้อมูล
ข้อมูลทั้งหมดที่ถูกขโมยจะถูกส่งออกไปยัง Google Drive โดยใช้เครื่องมือที่พัฒนาขึ้นเอง ซึ่งใช้ WinINET API ในการเชื่อมต่อกับบริการของ Google
Ransomware payload จะทำงานหลังจากลบ volume shadow copies บนระบบ Windows เพื่อป้องกันการกู้คืนข้อมูล
Trend Micro ไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับวิธีการโจมตีของแรนซัมแวร์ เช่น รูปแบบการเข้ารหัส, การบันทึกเพื่อเรียกค่าไถ่, วิธีการสื่อสาร, file paths ที่ถูกโจมตี และภาษา รวมไปถึงเบาะแสต่าง ๆ
บริษัทได้เปิดเผย indicators of compromise – IoCs ไว้ท้ายรายงาน ซึ่งสามารถนำไปใช้ตรวจจับ และบล็อกการโจมตีของแรนซัมแวร์ Crypto24 ก่อนที่จะถึงขั้นตอนสุดท้ายของการโจมตีได้
Crypto24 Ransomware Group Blends Legitimate Tools with Custom Malware for Stealth Attacks
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.