อีเมลล์ข้อเสนองานปลอมของ CrowdStrike มุ่งเป้าไปที่นักพัฒนาด้วยมัลแวร์ขุดคริปโตฯ

CrowdStrike แจ้งเตือนแคมเปญฟิชชิงอีเมลเสนองานปลอมแอบอ้างเป็นบริษัท เพื่อหลอกเป้าหมายให้ติดมัลแวร์ติดมัลแวร์ขุดเหรียญคริปโตฯ Monero (XMRig)

CrowdStrike พบแคมเปญฟิชชิงดังกล่าวเมื่อวันที่ 7 มกราคม 2025 โดยอ้างอิงจากเนื้อหาในอีเมลฟิชชิง คาดว่าแคมเปญนี้อาจเริ่มต้นได้ไม่นานก่อนหน้านี้

การโจมตีเริ่มต้นจากอีเมลฟิชชิงที่ส่งไปยังผู้หางาน โดยแอบอ้างว่าเป็นตัวแทนฝ่ายจัดหางานของ CrowdStrike พร้อมขอบคุณผู้สมัครงานในตำแหน่งนักพัฒนาซอฟต์แวร์ของบริษัท

อีเมลดังกล่าวจะหลอกให้กลุ่มเป้าหมายดาวน์โหลดสิ่งที่อ้างว่าเป็น "แอปพลิเคชัน CRM สำหรับพนักงาน" จากเว็บไซต์ที่ออกแบบให้ดูเหมือนเป็นพอร์ทัลของ CrowdStrike จริง ๆ

โดยอ้างว่าเป็นส่วนหนึ่งของความพยายามของบริษัทในการปรับปรุงกระบวนการรับพนักงานใหม่ให้มีประสิทธิภาพมากขึ้นผ่านการเปิดตัวแอปพลิเคชัน CRM สำหรับผู้สมัครใหม่

ผู้สมัครที่คลิกลิงก์ในอีเมลจะถูกนำไปยังเว็บไซต์ชื่อ ("cscrm-hiring[.]com") ซึ่งมีลิงก์สำหรับดาวน์โหลดแอปพลิเคชันดังกล่าวสำหรับ Windows หรือ macOS

เครื่องมือที่ถูกดาวน์โหลดมาจะทำการตรวจสอบการทำงานของ sandbox ก่อนที่จะดาวน์โหลด payload เพิ่มเติมมาใช้งาน เพื่อให้แน่ใจว่ามันไม่ได้ทำงานอยู่ในสภาพแวดล้อมที่ใช้สำหรับการวิเคราะห์ เช่น การตรวจสอบ process number, จำนวน CPU core และการทำงานของ debugger

เมื่อการตรวจสอบเสร็จสิ้นแล้ว และไม่พบการทำงานบ sandbox แอปพลิเคชันจะสร้างข้อความแสดงข้อผิดพลาดปลอมเพื่อแจ้งให้ทราบว่าไฟล์ติดตั้งอาจเสียหาย

ในเบื้องหลัง downloader จะดึงไฟล์ configuration ที่มีพารามิเตอร์ที่จำเป็นสำหรับการรัน XMRig

จากนั้นมันจะดาวน์โหลดไฟล์ ZIP ที่มีโปรแกรมขุดเหรียญคริปโตฯ จาก GitHub repository และทำการแตกไฟล์ไปยังโฟลเดอร์ '%TEMP%\System.

ช่องโหว่บน Atlassian Confluence ถูกใช้เพื่อติดตั้ง Ransomware และ Crypto Miners

ช่องโหว่ด้านความปลอดภัยที่เพิ่งได้รับแพตช์แก้ไขใน Atlassian Confluence Server และ Data Center ได้ถูกนำมาใช้เพื่อติดตั้ง cryptocurrency มัลแวร์ และเพย์โหลดของ Ransomware

มีการพบเหตุการณ์อย่างน้อย 2 เหตุการณ์ที่เกี่ยวข้องกับการโจมตีด้วยช่องโหว่ดังกล่าว โดยบริษัท Sophos พบว่าผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ในการติดตั้ง Cerber ransomware และ crypto miner ที่ชื่อว่า z0miner บนเครือข่ายของเหยื่อ

ช่องโหว่ CVE-2022-26134, คะแนน CVSS: 9.8 (ได้รับแก้ไขจาก Atlassian ไปแล้วเมื่อวันที่ 3 มิถุนายน พ.ศ. 2565) เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ โดยมีผลกระทบกับ Confluence Server และ Data Center ทุกเวอร์ชัน

(more…)