การโจมตีดังกล่าวเริ่มขึ้นในเดือนกรกฎาคม 2024 โดยอาศัยเทคนิคที่ไม่ค่อยพบเห็นนักที่เรียกว่า AppDomain Manager Injection ซึ่งสามารถใช้แอปพลิเคชัน Microsoft.
การโจมตีดังกล่าวเริ่มขึ้นในเดือนกรกฎาคม 2024 โดยอาศัยเทคนิคที่ไม่ค่อยพบเห็นนักที่เรียกว่า AppDomain Manager Injection ซึ่งสามารถใช้แอปพลิเคชัน Microsoft.
กลุ่มแฮ็กเกอร์ที่ปรากฏตัวขึ้นใหม่ภายใต้ชื่อ "GambleForce" กำลังโจมตีบริษัทต่างๆ ในภูมิภาคเอเชียแปซิฟิก (APAC) ด้วยวิธี SQL Injection ตั้งแต่เดือนกันยายน 2023
บริษัท Group-IB จากประเทศสิงคโปร์ ระบุไว้ในรายงานที่แชร์กับ The Hacker News ว่า "GambleForce ใช้ชุดเทคนิคพื้นฐาน แต่มีประสิทธิภาพสูง รวมถึงการโจมตีแบบ SQL injection และการใช้ประโยชน์จากช่องโหว่ใน website content management systems (CMS) เพื่อขโมยข้อมูลสำคัญ เช่น ข้อมูล credentials ของผู้ใช้"
(more…)
นักวิจัยพบว่าผู้โจมตีกำลังใช้ประโยชน์จาก Microsoft SQL (MS SQL) เซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อติดตั้ง Cobalt Strike และ ransomware ที่ชื่อว่า FreeWorld
นักวิจัยด้านความปลอดภัย Den Iuzvyk, Tim Peck และ Oleg Kolesnikov จากบริษัทรักษาความปลอดภัยทางไซเบอร์ Securonix พบแคมเปญการโจมตีที่ชื่อว่า DB#JAMMER ซึ่งแคมเปญการโจมตีดังกล่าวมีการใช้งานชุดเครื่องมือ และโครงสร้างพื้นฐาน เช่น enumeration software, RAT payloads, exploitation, credential stealing software และสุดท้ายคือ ransomware payloads ที่ดูเหมือนว่าเป็นเวอร์ชันใหม่ของ Mimic ransomware ที่ชื่อว่า FreeWorld
การเข้าถึงโฮสต์เบื้องต้นของเหยื่อทำได้โดยการ brute-forcing MS SQL server เพื่อใช้ในการเข้าถึงข้อมูล และใช้ xp_cmdshell เพื่อรันคำสั่ง shell และสแกนหาช่องโหว่บนระบบ
ขั้นตอนต่อไปคือ การดำเนินการเพื่อแฝงตัวบนระบบของเหยื่อ โดยการเชื่อมต่อกลับไปยัง SMB server ภายนอก เพื่อรับส่งไฟล์จากระบบของเหยื่อ รวมถึงติดตั้งเครื่องมือที่เป็นอันตราย เช่น Cobalt Strike
ซึ่งเป็นการปูทางสำหรับการแพร่กระจายซอฟต์แวร์ AnyDesk เพื่อทำการติดตั้ง FreeWorld ransomware ในที่สุด แต่ก่อนหน้านั้นพบว่าผู้โจมตีพยายามโจมตีผ่านทาง RDP ด้วยการใช้ Ngrok Service แต่ไม่สำเร็จ
เนื่องจากจุดเริ่มต้นของการโจมตีเริ่มจากการพยายาม brute force MS SQL server แสดงให้เห็นถึงความสำคัญในการตั้งรหัสผ่านให้ปลอดภัย โดยเฉพาะระบบที่จำเป็นต้องเปิดให้เข้าถึงจากภายนอก
รายงานดังกล่าวเกิดขึ้นภายหลังจากที่กลุ่ม Rhysida ransomware อ้างว่าได้โจมตีเหยื่อไปกว่า 41 ราย โดยมากกว่าครึ่งหนึ่งอยู่ในยุโรป
Rhysida เป็นหนึ่งในกลุ่มแรนซัมแวร์สายพันธุ์ใหม่ที่ถูกพบในเดือนพฤษภาคม 2023 โดยนำวิธีการที่ได้รับความนิยมในการเข้ารหัส และขโมยข้อมูลที่มีความสำคัญจากองค์กรต่าง ๆ และขู่ว่าจะปล่อยข้อมูลออกสู่สาธารณะหากเหยื่อปฏิเสธที่จะจ่ายเงิน
นอกจากนี้นักวิจัยจาก EclecticIQ ยังปล่อยเครื่องมือถอดรหัสฟรีสําหรับ ransomware ที่ชื่อว่า Key Group เนื่องจากข้อผิดพลาดในการเข้ารหัสหลายครั้งในโปรแกรม อย่างไรก็ตามเครื่องมือถอดรหัสดังกล่าว ใช้งานได้กับ ransomware ที่ compiled หลังจากวันที่ 3 สิงหาคม 2023 เท่านั้น
ปี 2023 พบการโจมตีจาก ransomware มากขึ้น ภายหลังจากหยุดนิ่งไปในปี 2022 ถึงแม้ว่าเปอร์เซ็นต์ของเหตุการณ์ที่ทําให้เหยื่อยอมจ่ายเงินจะลดลงถึง 34% ตามสถิติที่รายงานโดย Coveware ในเดือนกรกฎาคม 2023
ในทางกลับกันจํานวนเงินค่าไถ่ที่เหยื่อยอมจ่ายนั้นสูงถึง $740,144 เพิ่มขึ้น 126% จากไตรมาสที่ 1 ปี 2023
ที่มา : thehackernews
นักวิจัยจาก Trend Micro เปิดเผยรายงานการค้นพบแคมเปญการโจมตีใหม่ของกลุ่ม BlackCat ransomware (ALPHV) โดยการหลอกล่อเป้าหมายให้ทำการเข้าไปดาวน์โหลดแอปพลิเคชันถ่ายโอนไฟล์ WinSCP สำหรับ Windows ผ่านเว็บไซต์ปลอมที่ถูกสร้างขึ้น และทำการโฆษณาบนหน้าการค้นหาของ Google และ Bing โดยแอปพลิเคชันดังกล่าวได้ถูกฝังมัลแวร์ Cobalt Strike เอาไว้ (more…)
มัลแวร์ Emotet กำลังถูกนำมาใช้โดยกลุ่ม ransomware-as-a-service (RaaS) ซึ่งรวมไปถึงกลุ่ม Quantum และ BlackCat หลังจากที่ Conti ยกเลิกปฏิบัติการไปในปีนี้
Emotet เริ่มจากการเป็นโทรจันเพื่อใช้โจมตีธนาคารในปี 2557 แต่การอัปเดตครั้งล่าสุดทำให้มันกลายเป็นภัยคุกคามที่มีความรุนแรงสูงซึ่งสามารถใช้เพื่อดาวน์โหลดเพย์โหลดอื่น ๆ ลงในเครื่องของเหยื่อ ซึ่งจะทำให้ผู้โจมตีสามารถควบคุมเครื่องของเหยื่อจากระยะไกลได้
AdvIntel รายงานว่า ตั้งแต่เดือนพฤศจิกายน พ.ศ. 2564 จนถึงมิถุนายน พ.ศ. 2565 Emotet ถือเป็นเครื่องมือโดยเฉพาะของกลุ่ม Conti ransomware แต่หลังจากการยุติปฏิบัติการไป Emotet ก็ถูกใช้เป็นเครื่องมือจากกลุ่ม Quantum และ BlackCat ransomware ในการโจมตีแทน
การโจมตีที่เกี่ยวข้องกับการใช้ Emotet หรือที่เรียกว่า SpmTools ถูกใช้เป็นจุดเริ่มต้นเพื่อติดตั้ง Cobalt Strike ซึ่งจะถูกใช้เป็นเครื่องมือสำหรับการโจมตีของแรนซัมแวร์
Quantum เป็นกลุ่มย่อยของ Conti ซึ่งในช่วงหลายเดือนที่ผ่านมาได้ใช้ call-back phishing ที่เรียกว่า BazaCall หรือ BazarCall เพื่อโจมตีเครือข่ายเป้าหมาย
AdvIntel ระบุว่าตรวจพบการแพร่กระจายของ Emotet มากกว่า 1,267,000 รายทั่วโลกตั้งแต่ต้นปีซึ่งสอดคล้องกับการรุกรานยูเครนของรัสเซีย
การแพร่กระจายเพิ่มขึ้นเป็นครั้งที่สองระหว่างเดือนมิถุนายนถึงกรกฎาคม เนื่องจากมีการใช้งานโดยกลุ่มแรนซัมแวร์ Quantum และ BlackCat รายงานโดยบริษัทรักษาความปลอดภัยในโลกไซเบอร์แสดงให้เห็นว่าประเทศที่เป็นเป้าหมายของ Emotet มากที่สุดคือสหรัฐอเมริกา, รองลงมาคือฟินแลนด์, บราซิล, เนเธอร์แลนด์ และฝรั่งเศส
ก่อนหน้านี้ ESET รายงานการตรวจพบ Emotet เพิ่มขึ้น 100 เท่าในช่วงสี่เดือนแรกของปี 2565 เมื่อเทียบกับปีก่อน Check Point บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอลระบุว่า Emotet จัดอยู่ในลำดับที่ 5 ในรายการมัลแวร์ที่แพร่กระจายมากที่สุดในเดือนสิงหาคม 2565 โดยอันดับแรกจะเป็น FormBook, Agent Tesla, XMRig และ GuLoade ตามลำดับ
ที่มา: thehackernews.
กลุ่มแฮ็กเกอร์ในเครือของ Hive ransomware มุ่งเป้าการโจมตีไปที่เซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่ของ ProxyShell เพื่อติดตั้ง Backdoors ต่างๆ รวมถึง Cobalt Strike beacon
โดยผู้โจมตีได้ทำการสอดแนมเครือข่าย ขโมยข้อมูลประจำตัวของบัญชีผู้ดูแลระบบ ข้อมูลที่สำคัญ และสุดท้ายก็มีการติดตั้งเพย์โหลดการเข้ารหัสไฟล์ ซึ่งรายละเอียดของข้อมูลมาจากบริษัทรักษาความปลอดภัย Varonis ซึ่งได้เข้าไปตรวจสอบการโจมตีของ Ransomware กับลูกค้ารายหนึ่งของบริษัท
ProxyShell เป็นชุดของช่องโหว่สามช่องโหว่ใน Microsoft Exchange Server ที่อนุญาตให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ ซึ่งช่องโหว่ดังกล่าวถูกใช้โดยผู้โจมตีหลายราย รวมถึงกลุ่ม Ransomware เช่น Conti, BlackByte, Babuk, Cuba และ LockFile
ช่องโหว่ดังกล่าวมีหมายเลขช่องโหว่เป็น CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31297 และระดับความรุนแรงมีตั้งแต่ 7.2 (high) ถึง 9.8 (critical)
ช่องโหว่ดังกล่าวได้รับการแก้ไขเรียบร้อยแล้วตั้งแต่เดือนพฤษภาคม 2021 โดยรายละเอียดข้อมูลทางเทคนิคที่ครอบคลุมเกี่ยวกับช่องโหว่ดังกล่าวมีการเผยแพร่ออกมาในเดือนสิงหาคม 2021 และหลังจากนั้นไม่นาน ก็ได้เริ่มพบเห็นการโจมตีโดยการใช้ช่องโหว่ดังกล่าว
การที่กลุ่มแฮ็กเกอร์ในเครือของ Hive ประสบความสำเร็จในการใช้ประโยชน์จาก ProxyShell ในการโจมตีครั้งล่าสุด แสดงให้เห็นว่ายังมีเซิร์ฟเวอร์ที่มีช่องโหว่ให้ยังสามารถโจมตีได้อยู่
หลังจากการโจมตีด้วยช่องโหว่ ProxyShell แฮ็กเกอร์ได้มีการฝัง Web shell 4 ตัวในไดเร็กทอรีของ Exchange ที่ทำให้สามารถเข้าถึงได้ และรันโค้ด PowerShell ที่มีสิทธิ์สูงในการดาวน์โหลด Cobalt Strike stagers
Web shell ที่ใช้ในการโจมตีครั้งนี้มีที่มาจาก public Git repository และถูกเปลี่ยนชื่อเพื่อหลบเลี่ยงการตรวจจับ
(more…)
Microsoft Defender For Endpoint ติดแท็กการอัปเดต Google Chrome ที่ผ่าน Google Update ว่าเป็นพฤติกรรมที่ต้องสงสัย
ตามรายงานของผู้ดูแลระบบ Windows โซลูชันความปลอดภัย (เดิมเรียกว่า Microsoft Defender ATP) ได้เริ่มทำเครื่องหมายการอัปเดต Chrome ว่าน่าสงสัยตั้งแต่เย็นที่ผ่านมา ผู้ที่พบปัญหานี้รายงานว่ามีการแจ้งเตือนบน Defender for Endpoint ของ Windows ว่า "มีเหตุการณ์ที่เกี่ยวข้องกับการหลบเลี่ยงการป้องกัน"
ในคำแนะนำของ Microsoft 365 Defender ที่ออกหลังจากการพบการแจ้งเตือนเหล่านี้ Microsoft เปิดเผยว่าเป็น trigger ที่ผิดพลาด โดยถือเป็น false positive และไม่ได้เกิดจากพฤติกรรมที่เป็นอันตราย
"ผู้ดูแลระบบอาจได้รับการแจ้งเตือนที่เป็น false positive สำหรับ Google Update บน Microsoft Defender" Microsoft กล่าว
ประมาณหนึ่งชั่วโมงครึ่งต่อมาได้มีการอัพเดทคำแนะนำ โดย Microsoft กล่าวว่า จุดที่เป็น false Positive ได้รับการแก้ไขแล้ว
"เราพิจารณาแล้วว่าเป็น false positive และเราได้อัปเดตสำหรับการแจ้งเตือนนี้ เพื่อแก้ไขปัญหาที่พบเรียบร้อยแล้ว" โฆษกของ Microsoft กล่าวกับ BleepingComputer (more…)
มัลแวร์ BazarBackdoor กำลังแพร่กระจายผ่านแบบฟอร์มการติดต่อของเว็บไซต์ขององค์กร แทนที่จะเป็นการใช้อีเมลฟิชชิ่งทั่วไป เพื่อหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์ และอุปกรณ์ security
BazarBackdoor เป็นมัลแวร์ที่สร้างขึ้นโดยกลุ่ม TrickBot และอยู่ระหว่างการพัฒนาโดยกลุ่ม Conti ransomware มัลแวร์นี้ช่วยให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ยึดครองได้จากระยะไกล โดยมัลแวร์ BazarBackdoor มักจะแพร่กระจายผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตราย เพื่อหลอกให้ดาวน์โหลด และติดตั้งมัลแวร์
แบบฟอร์มการติดต่อถูกใช้แทนอีเมล
ในรายงานฉบับใหม่จาก Abnormal Security นักวิเคราะห์อธิบายว่าแคมเปญใหม่เริ่มต้นในเดือนธันวาคม 2564 โดยกำหนดเป้าหมายไปยังเหยื่อที่เป็นองค์กรด้วย BazarBackdoor โดยใช้ Cobalt Strike หรือ ransomware payloads
แทนที่จะส่งอีเมลฟิชชิ่งไปยังเป้าหมาย ผู้โจมตีจะใช้แบบฟอร์มการติดต่อขององค์กรก่อนเพื่อเริ่มการติดต่อ ตัวอย่างเช่น ในกรณีหนึ่ง นักวิเคราะห์ของ Abnormal พบผู้โจมตีปลอมตัวเป็นพนักงานในบริษัทก่อสร้างของแคนาดาเพื่อขอใบเสนอราคาจัดหาผลิตภัณฑ์ หลังจากที่พนักงานตอบกลับอีเมลข้างต้นแล้ว ผู้โจมตีจะทำการส่งไฟล์ ISO ที่เป็นอันตรายกลับไป
เนื่องจากการส่งไฟล์เหล่านี้โดยตรงจะถูกตรวจจับได้จากอุปกรณ์ security ซึ่งจะทําให้เกิดการแจ้งเตือนด้านความปลอดภัย ผู้โจมตีจึงใช้บริการแชร์ไฟล์เช่น TransferNow และ WeTransfer แทน ตามข้อมูลที่แสดงด้านล่าง
Hiding BazarLoader
ใน ISO ไฟล์ ประกอบไปด้วย .lnk file และ .log file ซึ่งเป็นความพยายามในการหลบเลี่ยงการตรวจจับของ Antivirus โดยการ packing ที่ payloads ไว้ในไฟล์ ISO และให้ผู้ใช้ดึงข้อมูลออกมาด้วยตนเอง
โดย .lnk file มีคำสั่งที่ใช้สำหรับการเปิด terminal window โดยใช้ Windows binaries บนเครื่อง และโหลด .log file ซึ่งที่จริงแล้วเป็น BazarBackdoor DLL
เมื่อ backdoor ถูกโหลดแล้วจะถูกซ่อนตัวอยู่ใน process svchost.
นักวิเคราะห์ภัยคุกคามได้สังเกตเห็นการโจมตีคลื่นลูกใหม่ที่ติดตั้ง Cobalt Strike beacons บน Microsoft SQL Servers ที่มีช่องโหว่ซึ่งนำไปสู่การโจมตี และติดมัลแวร์
Cobalt Strike เป็น Penetration testing framework ที่มีคุณสมบัติหลายอย่าง ซึ่งช่วยให้ผู้โจมตีสามารถปรับใช้ และติดตั้ง Beacon Payload บนเครื่อง ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึงระบบได้จากระยะไกล แม้ว่า Cobalt Strike จะเป็น Penetration testing framework ที่ถูกใช้ในการทำ Pentest อย่างถูกกฎหมาย แต่ก็ถูกผู้โจมตีนำไป Crack และนำไปใช้งานอย่างไม่ถูกต้อง และถูกใช้โดย Squirrelwaffle, Emotet, ผู้ให้บริการ Malware หรือกลุ่ม Ransomware เป็นต้น
ขั้นตอนการโจมตี
ผู้โจมตีจะสแกนหาเซิร์ฟเวอร์ที่มีพอร์ต TCP 1433 เปิดอยู่ ซึ่งหมายความว่าน่าจะเป็นเซิร์ฟเวอร์ MS-SQL ที่เชื่อมต่อกับ Public (ไม่ได้หมายความว่า Server ที่ไม่ได้เชื่อมต่อกับ Public ไม่มีความเสี่ยง)
ผู้โจมตีจะดำเนินการ Brute-forcing, Dictionary attacks เพื่อถอดรหัสรหัสผ่าน
เมื่อผู้โจมตีสามารถเข้าถึงบัญชีผู้ดูแลระบบ และเข้าสู่ระบบเซิร์ฟเวอร์สำเร็จ จะทำการติดตั้ง Cobalt Strike ผ่าน Command Shell (cmd.
แม้ว่าข่าวข้อมูลรั่วไหลของสายการบินอินเดียจะเป็นที่สนใจเป็นอย่างมากในเดือนที่ผ่านมา แต่สายการบินแห่งขาติอินเดียนี้ยังถูกพบว่ามีการถูกโจมตีทางไซเบอร์อีกเหตุการณ์หนึ่ง เป็นระยะเวลาประมาณถึง 2 เดือนกับอีก 26 วัน โดยผู้เชี่ยวชาญมีความเชื่อมั่นพอสมควรว่าจากข้อมูลหลักฐานที่พบคาดว่าผู้ไม่หวังดีที่อยู่เบื้องหลังการโจมตีนี้คือกลุ่มแฮ็กเกอร์ชาวจีน ซึ่งถูกเรียกว่า APT41
Group-IB(บริษัทซึ่งเชี่ยวชาญทางด้าน Threat Hunting และ Cyber Intelligence ซึ่งมีสำนักงานใหญ่อยู่ที่ประเทศสิงคโปร์) เรียกแคมเปญที่ใช้ในการโจมตี Air India ในครั้งนี้ว่า "Colunm TK" โดยตั้งชื่อจากโดเมนของ command-and-control (C2) server ที่ถูกใช้สำหรับควบคุมเครื่องที่ถูก compromised
โดย Group-IB กล่าวอีกว่าจากข้อมูลที่ทาง Group-IB ตรวจพบ เหตุการณ์นี้อาจส่งผลกระทบกับทุกบริษัทสายการบิน หากสายการบินยังไม่รีบทำการตรวจสอบแคมเปญ "Colunm TK" นี้ในระบบเครือข่ายของตน
Group-IB อ้างว่าการโจมตีที่เกิดขึ้นนี้คือการโจมตีในรูปแบบ Supply-chain attack (การโจมตีไปที่บริษัท หรือ Software ที่บริษัทที่เป็นเป้าหมายจริงๆใช้บริการ หรือใช้งานอยู่ เหตุการณ์ที่เกิดขึ้นก่อนหน้านี้ที่เป็นที่รู้จักกันคือเคสการโจมตี SolarWinds เพื่อหวังผลในการโจมตีไปยังบริษัทอื่นๆที่มีการใช้งาน SolarWinds) โดยเป้าหมายคือ SITA (บริษัทจากประเทศสวิตเซอร์แลนด์ผู้ให้บริการทางด้าน IT กับสายการบินต่างๆทั่วโลก) แต่ทาง SITA ยืนยันกับทาง The Hacker News เมื่อวันที่ 11 มิถุนายนว่าเหตุการณ์ที่บริษัทถูกโจมตีที่ระบบ SITA PSS ก่อนหน้านี้ และเหตุการณ์การโจมตี Air India ที่ Group-IB อ้างถึงไม่มีความเกี่ยวข้องกัน
กลุ่มแฮ็กเกอร์ชาวจีน APT41 นี้ ยังถูกเรียกด้วยชื่ออื่นๆเช่น Winnti Umbrella, Axiom และ Barium โดยมีส่วนเกี่ยวข้องกับการโจมตี และขโมยข้อมูลของบริษัทที่เกี่ยวข้องกับสุขภาพ, เทคโนโลยี, การสื่อสาร, เกมส์, ท่องเที่ยว และสำนักข่าวต่างๆอีกด้วย โดยมีเป้าหมายคือการหาผลประโยชน์ทางการเงิน
ย้อนหลังไปเมื่อวันที่ 21 พฤษภาคมที่ผ่านมา Air India ออกมาเปิดเผยว่ามีข้อมูลรั่วไหลออกไปประมาณ 4.5 ล้านรายการ จากการถูกโจมตีของระบบ Passenger Service System (PSS) ของ SITA ในช่วงเดือนกุมภาพันธ์ โดยเป็นข้อมูลของลูกค้าสายการบินในระยะเวลาประมาณ 10 ปีที่ผ่านมา
ข้อมูลที่รั่วไหลออกไปประกอบไปด้วยข้อมูลส่วนบุคคลที่ลงทะเบียนตั้งแต่ 26 สิงหาคม 2011 ถึง 3 กุมภาพันธ์ 2021 รวมไปถึงชื่อ, วันเดือนปีเกิด, ข้อมูลการติดต่อ, ข้อมูล Passport, ข้อมูลการเดินทาง, ข้อมูลโปรแกรมสะสมไมล์ของ Star Alliance และ Air India รวมถึงข้อมูลบัตรเครดิตอีกด้วย
Mandiant ซึ่งเป็นบริษัทในเครือของ FireEye ซึ่งให้ความช่วยเหลือ SITA ในความพยายามจัดการกับการโจมตีที่เกิดขึ้น ได้ให้ข้อมูลว่าการโจมตีที่เกิดขึ้นกับ SITA มีความซับซ้อน และมีการใช้เทคนิคการโจมตีขั้นสูง โดยเป้าหมายจริงๆของผู้โจมตียังไม่แน่ชัด
การโจมตีครั้งใหม่กับสายการบินอินเดีย
ผลการวิเคราะห์ล่าสุดของ Group-IB ซึ่งเปิดเผยออกมาพบว่าอย่างน้อยตั้งแต่วันที่ 23 กุมภาพันธ์ เครื่องที่ถูกยึดครองโดยผู้ไม่หวังดีภายในระบบเครือข่ายของ Air India (ชื่อเครื่อง SITASERVER4) มีการติดต่อออกไปยังเซิร์ฟเวอร์ปลายทางที่มีการติดตั้ง Cobalt Strike payloads ไว้ตั้งแต่ 11 ธันวาคม 2020
หลังจากเครื่องนี้ถูกยึดเป็นเครื่องแรก ก็พบว่ามีการพยายามคงสถานะการยึดเครื่องไว้(Persistence) และใช้เครื่องมือเพื่อค้นหา Password สำหรับโจมตีไปยังเครื่องอื่นๆภายในระบบเครือข่าย โดยมีเป้าหมายเพื่อหาข้อมูลที่อยู่บนเครื่องต่างๆ
ผู้เชี่ยวชาญของ Group-IB Nikita Rostovcev กล่าวว่า โดยผู้โจมตีมีการใช้ mimikatz ในการค้นหา NTLM hashes และ passwords จากเครื่อง จึงทำให้มีเครื่องต่างๆที่ถูกยึดครองอีกไม่ต่ำกว่า 20 เครื่อง รวมไปถึงผู้โจมตียังพยายามยกระดับสิทธิ์ของ User โดยใช้ BadPotato malware อีกด้วย
สรุปว่าผู้โจมตีสามารถนำข้อมูลออกไปได้ประมาณ 233 MB จากทั้งหมด 5 เครื่องคือ SITASERVER4, AILCCUALHSV001, AILDELCCPOSCE01, AILDELCCPDB01 และ WEBSERVER3 โดยใช้เวลา 24 ชั่วโมง 5 นาทีในการกระจาย Cobalt Strike beacons ไปยังเครื่องต่างๆภายในระบบเครือข่ายของสายการบิน แต่จุดเริ่มต้นในตอนนี้ยังไม่แน่ชัด
โดยการเชื่อมต่อไปยัง C2 servers ของการโจมตีครั้งนี้ มีบางส่วนที่ตรงกับ C2 server ของ Barium (อีกชื่อหนึ่งของ APT41) ซึ่งเคยถูกตรวจพบในการโจมตีอื่นๆก่อนหน้านี้ และเทคนิคในการหยุดใช้ domains หลังจากการโจมตีเสร็จสิ้น ก็เป็นไปในลักษณะเดียวกัน รวมถึง File "install.