การโจมตีของแรนซัมแวร์ Trigona ที่ตรวจพบเมื่อเร็ว ๆ นี้ มีการใช้เครื่องมือ Command-line ที่ถูกสร้างขึ้นมาโดยเฉพาะ เพื่อขโมยข้อมูลจากระบบที่ถูกโจมตีให้รวดเร็ว และมีประสิทธิภาพยิ่งขึ้น
เครื่องมือดังกล่าวถูกนำมาใช้ในการโจมตีเมื่อเดือนมีนาคมที่ผ่านมา ซึ่งเชื่อว่าเป็นฝีมือของเครือข่ายในกลุ่มแฮ็กเกอร์ โดยน่าจะเป็นความพยายามที่จะหลีกเลี่ยงการใช้เครื่องมือที่มีให้ดาวน์โหลดทั่วไปอย่าง Rclone และ MegaSync ซึ่งมักจะทำให้ระบบรักษาความปลอดภัยแจ้งเตือน
นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Symantec เชื่อว่า การเปลี่ยนมาใช้เครื่องมือแบบเฉพาะเจาะจงนี้ อาจแสดงให้เห็นว่าผู้โจมตีกำลัง "ทุ่มเทเวลา และความพยายามในการพัฒนามัลแวร์ที่เป็นเอกสิทธิ์เฉพาะ เพื่อพยายามหลบซ่อนตัวให้แนบเนียนที่สุดในช่วงเวลาที่สำคัญของการโจมตี"
ในรายงานวันที่ 23 เมษายน นักวิจัยระบุว่า เครื่องมือดังกล่าวมีชื่อว่า “uploader_client.exe” และทำการเชื่อมต่อไปยังที่อยู่เซิร์ฟเวอร์ที่ถูกกำหนดค่าแบบ hardcoded ไว้ โดยมีประสิทธิภาพ และความสามารถในการหลบเลี่ยงการตรวจจับ ได้แก่
- รองรับการเชื่อมต่อพร้อมกัน 5 ช่องทางต่อหนึ่งไฟล์ เพื่อให้ขโมยข้อมูลออกไปได้รวดเร็วยิ่งขึ้นผ่านการอัปโหลดแบบ Parallel
- สลับการเชื่อมต่อ TCP ใหม่หลังจากมีการรับส่งข้อมูลถึง 2GB เพื่อหลบหลีกการเฝ้าระวัง
- มีตัวเลือกให้กำหนดประเภทไฟล์ที่ต้องการขโมยได้ โดยยกเว้นไฟล์มีเดียขนาดใหญ่ที่ไม่มีความสำคัญ
- ใช้ Authentication key เพื่อป้องกันไม่ให้บุคคลภายนอกเข้าถึงข้อมูลที่ขโมยไปได้
ในเหตุการณ์หนึ่ง เครื่องมือขโมยข้อมูลดังกล่าวถูกนำมาใช้เพื่อขโมยไฟล์เอกสารที่มีความสำคัญสูง เช่น ใบแจ้งหนี้ และไฟล์ PDF ที่เก็บบน network drives
แรนซัมแวร์ Trigona เริ่มปฏิบัติการโจมตีในเดือนตุลาคมปี 2022 ในรูปแบบ Double-extortion โดยข่มขู่ให้เหยื่อจ่ายค่าไถ่เป็นสกุลเงินคริปโต Monero
แม้ว่านักเคลื่อนไหวทางไซเบอร์ชาวยูเครนจะเคยขัดขวางปฏิบัติการโจมตีของ Trigona ไปเมื่อเดือนตุลาคมปี 2023 โดยการแฮ็กเข้าเซิร์ฟเวอร์ และขโมยข้อมูลภายใน เช่น Source code และข้อมูลในฐานข้อมูล แต่รายงานของ Symantec แสดงให้เห็นว่ากลุ่มผู้ไม่หวังดีดังกล่าวได้กลับมาปฏิบัติการโจมตีอีกครั้งแล้ว
จากการสังเกตการณ์ของ Symantec ต่อการโจมตีของ Trigona เมื่อเร็ว ๆ นี้ พบว่า กลุ่มผู้ไม่หวังดีได้ทำการติดตั้งเครื่องมือ HRSword ซึ่งเป็นของชุดซอฟต์แวร์ Huorong Network Security Suite ให้ทำงานเป็น Kernel driver service
ขั้นตอนนี้จะตามด้วยการนำเครื่องมือเพิ่มเติมมาใช้ ซึ่งสามารถปิดการทำงานของโปรแกรมด้านความปลอดภัยต่าง ๆ ได้ (เช่น PCHunter, Gmer, YDark, WKTools, DumpGuard และ StpProcessMonitorByovd)
Symantec ระบุว่า "เครื่องมือหลายตัวในกลุ่มนี้อาศัยช่องโหว่ของ Kernel drivers เพื่อบังคับปิดการทำงานของระบบรักษาความปลอดภัยบนเครื่อง Endpoint"
Utility บางตัวถูกเรียกใช้งานผ่าน PowerRun ซึ่งเป็นโปรแกรมที่สามารถเปิดแอปพลิเคชัน ไฟล์คำสั่ง และสคริปต์ด้วยสิทธิ์ระดับสูง จึงทำให้สามารถหลบเลี่ยงระบบการป้องกันในระดับผู้ใช้ได้
มีการใช้ AnyDesk เพื่อเข้าควบคุมระบบที่ถูกโจมตีจากระยะไกลโดยตรง ในขณะที่ Utility อย่าง Mimikatz และ Nirsoft ถูกเรียกใช้เพื่อปฏิบัติการขโมยข้อมูล Credential และ Password recovery
Symantec ได้รวบรวมรายการ Indicators of Compromise (IoCs) ที่เกี่ยวข้องกับพฤติกรรมล่าสุดของ Trigona ไว้ที่ส่วนท้ายของรายงาน เพื่อช่วยให้สามารถตรวจจับ และสกัดกั้นการโจมตีเหล่านี้ได้อย่างทันท่วงที
ที่มา : Bleepingcomputer
You must be logged in to post a comment.