นักวิเคราะห์ภัยคุกคามได้สังเกตเห็นการโจมตีคลื่นลูกใหม่ที่ติดตั้ง Cobalt Strike beacons บน Microsoft SQL Servers ที่มีช่องโหว่ซึ่งนำไปสู่การโจมตี และติดมัลแวร์

Cobalt Strike เป็น Penetration testing framework ที่มีคุณสมบัติหลายอย่าง ซึ่งช่วยให้ผู้โจมตีสามารถปรับใช้ และติดตั้ง Beacon Payload บนเครื่อง ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึงระบบได้จากระยะไกล แม้ว่า Cobalt Strike จะเป็น Penetration testing framework ที่ถูกใช้ในการทำ Pentest อย่างถูกกฎหมาย แต่ก็ถูกผู้โจมตีนำไป Crack และนำไปใช้งานอย่างไม่ถูกต้อง และถูกใช้โดย Squirrelwaffle, Emotet, ผู้ให้บริการ Malware หรือกลุ่ม Ransomware เป็นต้น

ขั้นตอนการโจมตี

ผู้โจมตีจะสแกนหาเซิร์ฟเวอร์ที่มีพอร์ต TCP 1433 เปิดอยู่ ซึ่งหมายความว่าน่าจะเป็นเซิร์ฟเวอร์ MS-SQL ที่เชื่อมต่อกับ Public (ไม่ได้หมายความว่า Server ที่ไม่ได้เชื่อมต่อกับ Public ไม่มีความเสี่ยง)
ผู้โจมตีจะดำเนินการ Brute-forcing, Dictionary attacks เพื่อถอดรหัสรหัสผ่าน
เมื่อผู้โจมตีสามารถเข้าถึงบัญชีผู้ดูแลระบบ และเข้าสู่ระบบเซิร์ฟเวอร์สำเร็จ จะทำการติดตั้ง Cobalt Strike ผ่าน Command Shell (cmd.

นักวิจัยด้านความปลอดภัยทางไซเบอร์ตรวจพบความเชื่อมโยงของเงินค่าไถ่จากมัลแวร์เรียกค่าไถ่ (Ransomware) ที่แพร่ระบาดในประเทศอิสราเอล เชื่อมโยงกับเว็บไซต์ร้านนวดเฉพาะจุด

การโจมตีในครั้งนี้เกิดขึ้นโดยมัลแวร์เรียกค่าไถ่ในปฏิบัติการชื่อ Ever101 ซึ่งโจมตีผู้ให้บริการคอมพิวเตอร์สัญชาติอิสราเอลด้วยการเข้ารหัสข้อมูลบนอุปกรณ์ทำให้ไม่สามารถใช้งานได้

จากรายงานที่เผยแพร่โดย Profero และ Security Joes ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอสัญชาติอิสราเอล และเป็นผู้ที่เข้ารับมือเหตุการณ์โจมตีครั้งนี้ แสดงให้เห็นว่า Ever101 เป็นมัลแวร์เรียกค่าไถ่สายพันธ์เดียวกันกับ Everbe และ Payment45

เมื่อเริ่มทำการเข้ารหัสไฟล์ นามสกุลไฟล์จะถูกต่อท้ายด้วยคำว่า ".ever101" และทำการสร้างไฟล์ชื่อ """=READMY="".txt" สำหรับข่มขู่เรียกค่าไถ่เอาไว้ในทุกๆ โฟลเดอร์บนเครื่องคอมพิวเตอร์

ในระหว่างการตรวจสอบเครื่องคอมพิวเตอร์ที่ถูกโจมตี นักวิจัยพบว่าโฟลเดอร์ชื่อ “Music” ถูกใช้เป็นที่เก็บไฟล์สำหรับใช้เป็นเครื่องมือในการโจมตีจำนวนมาก ซึ่งเผยให้เห็นถึง Tactics, Techniques, Procedures (TTPs) ของผู้โจมตี

ตามรายงานของ Profero และ Security Joe กล่าวไว้ว่า “ในระหว่างการตรวจสอบเครื่องคอมพิวเตอร์ที่ถูกโจมตี เราพบข้อมูลที่สำคัญเก็บไว้ภายในโฟลเดอร์ Music โดยภายในนั้นมีไฟล์ไบนารี่ของมัลแวร์เรียกค่าไถ่รวมถึงไฟล์อีกจำนวนหนึ่งที่เข้ารหัสไว้ และที่ยังไม่ได้เข้ารหัสซึ่งเราเชื่อว่าผู้โจมตีใช้เครื่องมือเหล่านี้ในการรวบรวมข้อมูล และโจมตีไปยังเครือข่ายต่อไป”

เครื่องมือที่ถูกใช้โดยกลุ่ม Ever101 เช่น

xDedicLogCleaner - ใช้เพื่อกลบร่องรอยใน Windows event logs, system logs, และโฟลเดอร์ Temp

PH64.exe - โปรแกรม Process Hacker (64-bit) ที่ถูกเปลี่ยนชื่อเพื่อหลีกเลี่ยงการตรวจจับ

Cobalt Strike - ใช้เพื่อให้สามารถเข้าถึงเครื่องได้จากระยะไกล โดยในการโจมตีครั้งนี้ Cobalt Strike Beacon ถูกฝังอยู่ในไฟล์ชื่อ WEXTRACT.exe

SystemBC - ใช้เพื่อซ่อนข้อมูลการเชื่อมต่อของ Cobalt Strike บน SOCKS5 Proxy เพื่อหลีกเลี่ยงการตรวจจับ

ไฟล์เครื่องมือที่เหลือถูกเข้ารหัสจากการทำงานของมัลแวร์เรียกค่าไถ่แต่ทว่าสามารถคาดเดาลักษณะการทำงานได้จากชื่อของไฟล์ได้ เช่น

SoftPerfect Network Scanner - ใช้เพื่อสแกน IPv4/IPv6 network

shadow.