นักวิจัยจาก Prodaft บริษัทด้านความปลอดภัย เปิดเผยแพร่รายงานการพบ RIG Exploit Kit ที่มุ่งเป้าหมายการโจมตีไปยังองค์กรที่ยังมีการใช้ Internet Explorer เวอร์ชันที่มีช่องโหว่ โดยได้ทำการแพร่กระจายมัลแวร์ต่าง ๆ เช่น Dridex, SmokeLoader และ RaccoonStealer โดยมีอัตราการโจมตีสูงถึง 2,000 ครั้งต่อวัน และประสบความสำเร็จประมาณ 30% ของกรณีทั้งหมด ซึ่งเป็นอัตราส่วนที่สูงที่สุดในประวัติการของ RIG Exploit Kit

ประวัติของ RIG Exploit Kit

RIG Exploit Kit เปิดตัวครั้งแรกเมื่อ 8 ปีที่แล้วในปี 2014 โดยโปรโมตว่าเป็น Exploit-as-a-service ที่ให้เหล่า Hacker มาเช่าใช้บริการเพื่อนำไปโจมตี และแพร่กระจายมัลแวร์บนอุปกรณ์ที่มีช่องโหว่

โดย RIG Exploit Kit เป็น JavaScript ซึ่งฝังอยู่ในเว็บไซต์ที่ถูกโจมตี หรือเว็บไซต์ที่ถูกสร้างขึ้นจาก Hacker เมื่อมีเหยื่อกดเยี่ยมชมเว็บไซต์เหล่านี้ สคริปต์ที่เป็นอันตรายจะถูกดำเนินการ และพยายามโจมตีด้วยช่องโหว่ประเภทต่าง ๆ บนเบราว์เซอร์เพื่อติดตั้งมัลแวร์บนอุปกรณ์ของเหยื่อโดยอัตโนมัติ

ปี 2015 ได้มีการปล่อย RIG Exploit Kit เวอร์ชันที่สองที่ได้รับการพัฒนา ทำให้สามารถโจมตีได้เป็นวงกว้าง และประสบความสำเร็จมากขึ้น
ปี 2017 RIG Exploit Kit ได้หยุดชะงักลงเนื่องจากการถูก takedown ครั้งใหญ่ และทำให้ระบบโครงสร้างพื้นฐานส่วนใหญ่ของผู้โจมตีถูกหยุดไป
ปี 2019 RIG Exploit Kit ได้กลับมาอีกครั้ง โดยมุ่งเน้นที่การแพร่กระจายแรนซัมแวร์ Sodinokibi (REvil), Nemty และ ERIS ransomware ซึ่งมีเพย์โหลดที่ใช้ในการเข้ารหัสข้อมูลในเครือข่ายของเหยื่อ
ปี 2021 ทาง RIG Exploit Kit ได้ประกาศว่าจะทำการปิดตัวลง แต่ต่อมาในปี 2022 ก็ได้กลับมาอีกครั้ง พร้อมกับการโจมตีโดยใช้ช่องโหว่ใหม่สองรายการ (CVE-2020-0674 และ CVE-2021-26411 ใน Internet Explorer) ซึ่งมีอัตราส่วนความสำเร็จในการโจมตีสูงเป็นประวัติการณ์

แม้ว่า RIG Exploit Kit จะหันมาโจมตีช่องโหว่บน Microsoft Edge แทน Internet Explorer แล้ว แต่ Internet Explorer ก็ยังคงถูกใช้งานในองค์กรต่าง ๆ หลายล้านเครื่อง ซึ่งต่อมาได้กลายเป็นเป้าหมายหลักในการโจมตีช่องโหว่ของ RIG Exploit Kit

การโจมตีในปัจจุบัน

Prodaft พบว่าปัจจุบัน RIG Exploit Kit ได้กำหนดเป้าหมายการโจมตีไปยัง 207 ประเทศ ทำการโจมตีโดยเฉลี่ย 2,000 ครั้งต่อวัน และมีอัตราความสำเร็จในปัจจุบันที่ 30% โดยในอดีตอัตราความสำเร็จอยู่ที่ 22% ก่อนที่ RIG Exploit Kit จะมุ่งเป้าหมายการโจมตีไปยัง Internet Explorer ที่มีช่องโหว่

จากแผนที่ที่เผยแพร่ในรายงาน พบว่าประเทศที่ได้รับผลกระทบมากที่สุด ได้แก่ เยอรมนี อิตาลี ฝรั่งเศส รัสเซีย ตุรกี ซาอุดีอาระเบีย อียิปต์ แอลจีเรีย เม็กซิโก และบราซิล

อัตราความสำเร็จในการโจมตีสูงสุดคือช่องโหว่ CVE-2021-26411 โดยมีอัตราส่วนโจมตีสำเร็จ 45% ตามมาด้วย CVE-2016-0189 ที่ 29% และ CVE-2019-0752 ที่ 10%

CVE-2021-26411 เป็นช่องโหว่ memory corruption ที่มีความรุนแรงสูงใน Internet Explorer โดย Microsoft ได้ออกแพตซ์อัปเดตแก้ไขช่องโหว่ในเดือนมีนาคม 2021 โดยเกิดขึ้นจากการเข้าเว็บไซต์ที่ไม่ปลอดภัย

CVE-2016-0189 และ CVE-2019-0752 เป็นช่องโหว่ใน Internet Explorer เช่นกัน ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ในเบราว์เซอร์ได้ อีกทั้ง CISA ยังได้แจ้งเตือนไปยังผู้ดูแลระบบในสหรัฐ จากการค้นพบการโจมตีด้วยช่องโหว่ดังกล่าว

การโจมตีด้วย payloads ที่หลากหลาย

ปัจจุบัน RIG Exploit Kit ได้มุ่งเป้าหมายการโจมตีไปยังการขโมยข้อมูล และการเผยแพร่มัลแวร์เป็นหลัก โดย Dridex เป็นมัลแวร์ที่พบบ่อยที่สุด (34%) ตามด้วย SmokeLoader (26%), RaccoonStealer (20%), Zloader (2.5%), Truebot (1.8%) และ IcedID (1.4%) นอกจากนี้ทาง Prodaft ยังพบการเผยแพร่มัลแวร์ Redline, RecordBreaker, PureCrypter, Gozi, Royal Ransomware และ UrSnif อีกด้วย ซึ่งมีการเปลี่ยนแปลงไปตลอดเวลา โดยขึ้นอยู่กับ Hacker กลุ่มไหนที่นำไปใช้

โดย Prodaft พบว่าการโจมตีส่วนใหญ่เกิดจากการใช้ Internet Explorer ที่มีช่องโหว่ และไม่ได้รับการอัปเดตด้านความปลอดภัย จึงได้กลายเป็นเป้าหมายในการโจมตีช่องโหว่ ปัจจุบัน Microsoft ได้ประกาศเลิกใช้ Internet Explorer ในเดือนกุมภาพันธ์ 2023 และได้เปลี่ยนไปใช้ Microsoft Edge แทน

 

ที่มา : bleepingcomputer

นักวิจัยของ Trend Micro ได้เปิดเผยการค้นพบมัลแวร์ Dridex Banking ที่ได้มุ่งเป้าไปที่ระบบปฏิบัติการ macOS ของ Apple โดยการใช้เทคนิคการโจมตีแบบใหม่ที่ไม่เคยถูกพบมาก่อน ด้วยวิธีการส่งไฟล์ที่ฝัง macro ที่เป็นอันตราย โดยที่ Hacker อาจไม่จำเป็นต้องปลอมแปลงไฟล์อันตรายให้เป็นใบแจ้งหนี้ หรือไฟล์เอกสารที่เกี่ยวข้องกับธุรกิจ

Dridex หรือเรียกอีกอย่างว่า Bugat และ Cridex เป็นมัลแวร์ประเภท Information Stealer ที่สามารถรวบรวมข้อมูลสำคัญจากเครื่องที่โดนโจมตี และเรียกใช้โมดูลที่เป็นอันตราย อีกทั้งยังมีความเกี่ยวข้องกับกลุ่ม Hacker ที่ชื่อ Evil Corp (หรือที่รู้จักกันในชื่อ Indrik Spider) ซึ่งได้มาทดแทน Gameover Zeus หรือ Zeus ซึ่งเป็น banking trojan ที่มุ่งเป้าไปที่ระบบปฏิบัติการ Windows โดยการใช้ไฟล์เอกสาร Microsoft Excel ที่ฝัง macro และใช้การส่ง Phishing Email ไปยังเหยื่อเพื่อเรียกใช้งาน payload ที่เป็นอันตราย

จากการวิเคราะห์ตัวอย่าง Dridex ของ Trend Micro พบว่ามีความเกี่ยวข้องกับ Mach-O (Mach object) ซึ่งเป็นไฟล์สั่งการที่ถูกอัปโหลดไปยัง VirusTotal ในเดือนเมษายน 2019 ตั้งแต่นั้นมา มีการตรวจพบ Artifacts ที่เกี่ยวข้องอีก 67 ตัวอย่าง โดยพบครั้งล่าสุดในเดือนธันวาคม 2022

เทคนิคการโจมตี
โดยใน Artifacts จะประกอบไปด้วย ไฟล์เอกสารที่ฝัง macro ที่เป็นอันตราย และสามารถรันคำสั่งอัตโนมัติเมื่อเปิดไฟล์เอกสาร รวมถึงการใช้ Mach-O (Mach object) executable ซึ่งได้รับการออกแบบมาเพื่อค้นหา และเขียนทับไฟล์ ".doc" ทั้งหมดในไดเร็กทอรีของเครื่องที่ถูกโจมตี (~/User/{user name}) ด้วยมาโครที่เป็นอันตรายซึ่งจะคัดลอกจากไฟล์เอกสารที่ฝังไว้ในรูปแบบ hexadecimal dump ถึงแม้ว่าเครื่องที่ถูกโจมตีจะมีการปิดฟีเจอร์การรัน macro ใน Microsoft Word ไปแล้วก็ตาม

อีกทั้งไฟล์ macro ดังกล่าวยังสามารถติดต่อกับเซิร์ฟเวอร์ภายนอกเพื่อดาวน์โหลด Dridex loader ซึ่งรวมถึงไฟล์สั่งการที่จะทำงานบนระบบปฏิบัติการ Windows แต่จะไม่ทำงานใน macOS ทำให้ถึงแม้ Dridex จะมีข้อจำกัดในการส่งผลกระทบต่อผู้ใช้ macOS เนื่องจาก payload เป็นไฟล์ .EXE (ไม่สามารถสั่งการบน macOS ได้) แต่ผู้ใช้งาน macOS ก็ยังได้รับผลกระทบจากการถูกเขียนทับไฟล์ ".doc" อยู่ดี

นักวิจัยระบุว่า หลังจากที่ Microsoft ได้ปิดฟีเจอร์การรัน macro ใน Microsoft Word เป็นค่าเริ่มต้น จึงส่งผลให้เหล่า Hackers ได้ปรับปรุงกลยุทธ์ และวิธีการในการโจมตีให้มีประสิทธิภาพมากขึ้นในการโจมตีเป้าหมาย

ที่มา : thehackernews

New Evil Corp ransomware สวมบทเป็น PayloadBin เพื่อหลบเลี่ยงมาตรการคว่ำบาตรของสหรัฐฯ

พบ Ransomware ที่เกิดขึ้นมาใหม่ชื่อว่า PayloadBIN ที่เกิดจากกลุ่ม Evil Corp รีแบรนด์ตัวเองเพื่อเลี่ยงการคว่ำบาตรที่กำหนดโดยสำนักงานควบคุมทรัพย์สินต่างประเทศของกระทรวงการคลังสหรัฐ (OFAC : Office of Foreign Asset Control) โดยกลุ่มดังกล่าวจะรู้จักกันในชื่อ Indrik Spider หรือ Dridex ที่เริ่มต้นกลุ่มจากการเป็นพันธมิตรกับ ZeuS botnet และได้จัดตั้งกลุ่มที่เน้นในการแจกจ่าย banking trojan และ downloader ที่เรียกว่า Dridex ผ่าน อีเมลฟิชชิ่ง (more…)

Bleeping Computer รายงานถึงแหล่งข้อมูลซึ่งระบุว่ามัลแวร์เรียกค่าไถ่มีการสั่งพิมพ์ Ransom note หรือโน้ตข้อความที่ทิ้งไว้เพื่อเรียกค่าไถ่เหยื่อออกมาในลักษณะใบเสร็จ โดยยืนยันว่าพฤติกรรมดังกล่าวอาจมาจากการใช้สคริปต์ในการสั่งพิมพ์ออกมา ไม่ใช่ฟีเจอร์ของมัลแวร์เรียกค่าไถ่ Egregor เอง

Ransom note หรือโน้ตข้อความเรียกค่าไถ่เป็นลักษณะข้อความที่ผู้โจมตีใช้ในการชี้แจ้งเหยื่อถึงเหตุการณ์ที่เกิดขึ้น ขั้นตอนที่เหยื่อจะต้องปฏิบัติตามเพื่อเข้าสู่กระบวนการจ่ายค่าไถ่ ในบางครั้งแฮกเกอร์จะมีการแนบคำขู่เพิ่มหรือการจับเวลาเพื่อกดดันให้เหยื่อรีบจ่ายค่าไถ่ด้วย ทั้งนี้ยังไม่มีการพบตัวอย่างของสคริปต์ที่สั่งพิมพ์ Ransom note ออกมาทางใบเสร็จในขณะนี้

Bleeping Computer มีการรายงานเพิ่มเติมถึงพฤติกรรมการแพร่กระจายมัลแวร์เรียกค่าไถ่ Egregor ผ่านทางมัลแวร์กลุ่มโทรจันและบ็อตเน็ต QBot ซึ่งใช้ลักษณะเดียวกับ Trickbot/Ryuk, และ DoppelPaymer/BitPaymer ซึ่งแพร่กระจายผ่านทาง Dridex ด้วย

ที่มา: bleepingcomputer | bleepingcomputer

บทนำ
ในวันที่ 25 กรกฏาคม 2018 US-CERT ออกคำเตือนถึงความเป็นไปได้ที่จะเกิดการโจมตีระบบ ERP เพิ่มมากขึ้น โดยอ้างอิงจากรายงานร่วมระหว่าง Digital Shadows และ Onapsis ชื่อ ERP Applications Under Fire: How Cyber Attackers Target the Crown Jewels ซึ่งเป็นรายงานวิเคราะห์เกี่ยวกับการโจมตีระบบ ERP ของสองค่ายใหญ่ SAP และ Oracle

ทั้งนี้รายงานฉบับนี้เป็นการรายงานต่อมาจากรายงาน Wild Exploitation & Cyber-attacks On SAP Business Applications ของ Onapsis ในเดือนพฤษภาคม 2016 ซึ่ง US-CERT ได้ใช้อ้างอิงในการออกเตือนประกาศ US-CERT TA16-132A เกี่ยวกับการโจมตีระบบ SAP ที่กระทบกว่า 36 องค์กรระดับโลก โดยประเด็นที่องค์กรบกพร่องในการอัปเดตแพตช์ที่เหมาะสมและมีการตั้งค่าแอปพลิเคชันที่กระทบต่อความปลอดภัย

รายงาน ERP Applications Under Fire สรุปว่าระบบ ERP กำลังเป็นเป้าหมายของผู้โจมตีทางไซเบอร์ นอกจากนั้นยังพบว่ามีระบบ ERP ที่เชื่อมต่อกับอินเตอร์เน็ตหรือใช้งานบนระบบคลาวด์ที่ทุกคนสามารถเข้าถึงได้อยู่เป็นจำนวนมากซึ่งเป็นการเพิ่มโอกาสที่จะถูกโจมตีที่มากขึ้น ทั้งนี้ภายในรายงานยังมีการแนะนำวิธีในการจัดการความเสี่ยงที่เกิดขึ้นอีกด้วย
Key Finding
รายงาน ERP Applications Under Fire ทำการสรุปประเด็นสำคัญของรายงานไว้ 4 ข้อ ดังนี้

อาชญากรไซเบอร์ทำการพัฒนามัลแวร์เพื่อโจมตี ERP เช่น มัลแวร์ชื่อดังอย่าง Dridex ถูกอัปเดตในปี 2017 และเดือนกุมภาพันธ์ 2018 เพื่อโจมตี SAP โดยขโมยบัญชีผู้ใช้งานและรหัสผ่านของระบบ SAP ทำให้อาชญากรไซเบอร์เข้าถึงระบบ ERP ได้
ERP ตกเป็นเป้าหมายของกลุ่มบุคคลที่มีองค์กรหรือรัฐบาลของประเทศใดประเทศหนึ่งคอยให้การสนับสนุนอยู่เบื้องหลัง เช่น กลุ่มเพื่อโจรกรรมข้อมูลและก่อวินาศกรรม
มีการโจมตีใช้ประโยชน์จากช่องโหว่ที่เผยแพร่แล้วของ ERP มากขึ้นเมื่อเทียบกับการโจมตีผ่านช่องโหว่ zero-day เพื่อโจมตีระบบที่บกพร่องในการแพตช์และมีการตั้งค่าที่กระทบต่อความปลอดภัย
การใช้งานผ่านระบบคลาวด์, อุปกรณ์เคลื่อนที่และแนวโน้มของการย้ายระบบงานให้มีความทันสมัยมากขึ้นทำให้โอกาสและความเสี่ยงที่ระบบ ERP จะถูกโจมตีนั้นมีมากขึ้นตาม ทั้งนี้ผู้วิจัยพบว่ามี SAP และ Oracle ERP มากกว่า 17,000 แอปพลิเคชันที่เชื่อมต่อและสามารถเข้าถึงได้ผ่านอินเตอร์เน็ต โดยสามประเทศที่มีความเสี่ยงดังกล่าวสูงสุดได้แก่ สหรัฐอเมริกา เยอรมนี และสหราชอาณาจักรอังกฤษ

วิเคราะห์การโจมตี ERP ผ่าน i-secure Cyber Kill Chain
เพื่อช่วยในการทำความเข้าใจการโจมตีระบบ ERP มากขึ้น ทีมตอบสนองการโจมตีและภัยคุกคามจะทำการอธิบายการโจมตีตามหลักการของ i-secure Cyber Kill Chain ซึ่งจะประกอบด้วยขั้นตอนการโจมตีดังต่อไปนี้

Reconnaissance (ขั้นตอนการสำรวจและเก็บข้อมูล)
Delivery (ขั้นตอนการจัดส่งและพยายามโจมตี)
Exploitation (ขั้นตอนการโจมตีช่องโหว่)
Privilege Escalation (ขั้นตอนการยกระดับสิทธิ์)
Credential Access (ขั้นตอนการเข้าถึงข้อมูลบัญชีผู้ใช้งานและรหัสผ่าน)
Lateral Movement (ขั้นตอนการโจมตีไปยังระบบอื่นในเครือข่ายเดียวกัน)
Exfiltration (ขั้นตอนการนำข้อมูลออกจากระบบ)
Command and control (ขั้นตอนการติดต่อเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม)

Reconnaissance
การโจมตีทุกการโจมตีนั้นจำเป็นต้องเริ่มต้นด้วยการสำรวจและเก็บข้อมูลของเป้าหมายเสมอ จากการวิเคราะห์การโจมตีระบบ ERP หลายเหตุการณ์ ทีมตอบสนองการโจมตีและภัยคุกคามพบพฤติกรรมในการสำรวจและเก็บข้อมูลของเป้าหมายในลักษณะต่างๆ กันดังนี้

ผู้โจมตีมักมีการนำข้อมูลที่ได้จากเว็บบอร์ดใต้ดินของกลุ่มแฮกเกอร์มาทำการค้นหาเป้าหมาย โดยตัวอย่างด้านล่างคือคำค้นหาตามรูปแบบของ Google ที่ช่วยค้นหาระบบที่มีช่องโหว่อยู่ได้

ค้นหาระบบ ERP ที่สามารถเข้าถึงได้ผ่านอินเตอร์เน็ต โดยใช้เครื่องมือในรูปแบบของบริการเก็บและค้นหาข้อมูลบนอินเตอร์เน็ต อาทิ Shodan และ Censys
ค้นหาการใช้งานแอปพลิเคชัน Trello, Github หรือเว็บที่เปิดให้เข้าถึงได้ผ่านอินเตอร์เน็ตซึ่งมีการบันทึกบัญชีผู้ใช้งานและรหัสผ่านสำหรับเข้าถึงระบบ ERP เอาไว้

ค้นหาระบบแชร์ไฟล์ที่มีการตั้งค่าอย่างไม่เหมาะสม อาทิ ระบบที่ใช้งาน rsync, SMB FTP, และ Amzaon S3 เพื่อหาไฟล์การตั้งค่าของระบบ ERP ซึ่งอาจมีข้อมูลที่ใช้ในการเข้าถึงระบบ ERP ภายใน

Delivery
โดยส่วนมากนั้นผู้โจมตีมักจะพยายามโจมตีโดยการค้นหาไฟล์การตั้งค่าของระบบ ERP ก่อนจะพยายามเข้าถึงระบบ หรือในบางกรณีคือใช้ช่องโหว่ที่เป็นที่รู้จักอยู่แล้วในการโจมตี ซึ่งสามารถถูกตรวจจับได้หากมีการป้องกันอย่างดีพอ
Exploitation
การโจมตีระบบ ERP ที่สำเร็จนั้นมักขึ้นอยู่กับว่าในขั้นตอนของการสำรวจและเก็บข้อมูล ผู้โจมตีตรวจพบช่องโหว่อะไรที่สามารถใช้ประโยชน์ได้บ้าง อาทิ

หากเจอบัญชีผู้ใช้งานและรหัสในขั้นตอนของการสำรวจและเก็บข้อมูล ผู้โจมตีจะดำเนินการใช้ข้อมูลดังกล่าวในการเข้าถึงระบบโดยทันที
ทดลองเข้าถึงระบบ ERP ด้วยข้อมูลสำหรับยืนยันตัวตนที่เป็นค่าเริ่มต้นของระบบ เช่น ระบบ SAP HANA จะมีการรหัสผ่านเริ่มต้นคือ sap123 เสมอ
โจมตีระบบ ERP ด้วยช่องโหว่ที่มีอยู่แล้ว เช่น ช่องโหว่ CVE-2010-5326

Privilege Escalation + Credential Access + Lateral Movement
แม้ว่าจะยังไม่มีการรูปแบบพฤติกรรมที่ชัดเจน แต่การโจมตีโดยส่วนมากนั้นจะทำให้ผู้โจมตีได้สิทธิ์ของผู้ดูแลระบบโดยทันที ซึ่งทำให้ผู้โจมตีสามารถใช้สิทธิ์สูงสุดที่มีอยู่ในการเข้าถึงและโจมตีระบบอื่นๆ ได้
Exfiltration
หนึ่งในการโจมตีด้วยช่องโหว่ CVE-2010-5326 ผู้โจมตีมีการใช้คำสั่งตามรูปภายด้านล่างในการพยายามส่งข้อมูลออกจากระบบที่ยึดครองได้แล้ว

Command and control
ผู้โจมตีมักมีการเปลี่ยนเซิร์ฟเวอร์ที่ใช้ในการออกคำสั่งและควบคุมซึ่งถูกใช้ทั้งในการโจมตีและการรับไฟล์ที่ขโมยออกมาได้ไปเรื่อยๆ ตามรูปแบบการโจมตีและแตกต่างกันตามกลุ่มของผู้โจมตี ไม่สามารถระบุเฉพาะเจาะจงได้แน่นอน
คำแนะนำเบื้องต้นในการป้องกันและลดผลกระทบจากการโจมตีระบบ ERP

ดำเนินการตั้งค่าของระบบ ERP ให้เป็นไปตามคำแนะนำของผู้ผลิตหรือ Best Practices เสมอ
หมั่นประเมินช่องโหว่ของ ERP อย่างสม่ำเสมอ โดยอ้างอิงจากการอัปเดตแพตช์ของผู้ผลิต อาทิ SAP จะออกอัปเดตทุกเดือน และ Oracle จะออกรายไตรมาส นอกเหนือไปจากการประเมิณช่องโหว่ OS และอื่นๆ
ดำเนินการควบคุมสิทธิ์ของผู้ใช้งานให้เหมาะสม และคอยตรวจสอบพร้อมทั้งควบคุมการตั้งค่ารหัสผ่านของผู้ใช้าน
ค้นหาและกำจัดการเชื่อมต่อและการใช้งานที่ทำให้เกิดความเสี่ยงด้านความปลอดภัย โดยเฉพาะอย่างยิ่งการเชื่อมต่อเพื่อให้สามารถเข้าถึงได้จากระบบอินเตอร์เน็ต
หมั่นตรวจสอบและเฝ้าระวังพฤติกรรมการใช้งานของผู้ใช้งาน รวมไปถึงข้อมูลของระบบ ERP เมื่อมีการรั่วไหลออกสู่ภายนอก

นักวิจัยจาก IBM X-Force รายงานว่า พบกลุ่ม Evil Corp สร้างโทรจันที่มีชื่อว่า “Dridex” โดยมีเป้าหมายเป็นธนาคารในประเทศอังกฤษ สำหรับเวอร์ชั่นล่าสุดของโทรจันคือ v.3.161 ถูกค้นพบเมื่อวันที่ 6 มกราที่ผ่านมา ซึ่งเมื่อปี 2015 ที่ผ่านมาโทรจันดังกล่าวสามารถขโมยเงินได้ถึง 20 ล้านเหรียญจากธนาคารในอังกฤษอีกด้วย

สำหรับการแพร่ของโทรจัน Dridex จะแพร่กระจายผ่านอีเมลในลักษณะของการ phishing ทำงานด้วย Macro รวมไปถึงมีความสามารถในการซ่อนตัวในเครื่องคอมพิวเตอร์ของเหยื่อที่ติดโทรจัน Dridex และมีการขโมยข้อมูลที่สำคัญของเจ้าของบัญชีธนาคาร เมื่อเหยื่อเข้าเว็บไซต์ของธนาคารจะถูก redirect ไปยังโดเมนเว็บไซต์ที่ถูกควบคุมโดยแฮกเกอร์ โดยจะมีการสร้าง local proxy หรือการใช้เทคนิค DNS Poisoning เป็นต้น จากนั้นข้อมูลที่ใส่เข้าไปจะถูกส่งไปยังเซิฟเวอร์ของแฮกเกอร์แทน และนอกจากนั้นยังมีความสามารถในการหลีกเลี่ยง 2factor authentication ของธนาคารอีกด้วย อย่างไรก็ตามทีมงาน IBM X-Force ได้รายงานว่ามีธนาคารประมาณ 13 ธนาคารในอังกฤษที่ตกเป็นเหยื่อของ Dridex เรียบร้อยแล้ว

ที่มา : ZDNet