“TargetCompany” ransomware เวอร์ชัน Linux มุ่งเป้าหมายการโจมตีไปยัง VMware ESXi

นักวิจัยพบ TargetCompany ransomware เวอร์ชัน Linux ตัวใหม่ ที่กำลังกำหนดเป้าหมายการโจมตีไปที่ VMware ESXi environments โดยใช้ custom shell script เพื่อส่ง และเรียกใช้เพย์โหลดที่เป็นอันตราย

TargetCompany หรือในชื่อ Mallox, FARGO และ Tohnichi ซึ่งเริ่มพบการโจมตีมาตั้งแต่เดือนมิถุนายน 2021 โดยมีเป้าหมายการโจมตีไปยัง database (MySQL, Oracle, SQL Server) ขององค์กรส่วนใหญ่ในไต้หวัน เกาหลีใต้ ไทย และอินเดีย

ในเดือนกุมภาพันธ์ 2022 ทาง Avast บริษัทแอนตี้ไวรัส ได้เผยแพร่เครื่องมือถอดรหัส ransomware ฟรี ที่สามารถถอดรหัสเวอร์ชันต่าง ๆ ของ TargetCompany ได้ ซึ่งต่อมาในเดือนกันยายน 2022 กลุ่ม TargetCompany ransomware ได้กลับมาปฏิบัติการอีกครั้ง โดยมุ่งเป้าหมายการโจมตีไปที่ Microsoft SQL ที่มีช่องโหว่ และข่มขู่เหยื่อด้วยการเผยแพร่ข้อมูลที่ถูกขโมยออกมาผ่านทาง Telegram

TargetCompany ransomware เวอร์ชัน Linux ตัวใหม่

Trend Micro บริษัทรักษาความปลอดภัยทางไซเบอร์รายงานว่า TargetCompany ransomware เวอร์ชัน Linux ตัวใหม่ สามารถตรวจสอบได้ว่ามีสิทธิ์ระดับผู้ดูแลระบบก่อนที่จะดำเนินการโจมตีหรือไม่

ในการดาวน์โหลด และการเรียกใช้งานเพย์โหลดของแรนซัมแวร์ Hacker จะใช้ custom shell script ที่สามารถขโมยข้อมูลไปเก็บไว้ยังเซิร์ฟเวอร์ที่อยู่คนละที่กันสองเซิร์ฟเวอร์ได้ เผื่อในกรณีที่เกิดปัญหาทางเทคนิคกับเครื่องเหยื่อ โดยเพย์โหลดจะตรวจสอบว่ากำลังทำงานในสภาพแวดล้อม VMware ESXi หรือไม่ โดยการรันคำสั่ง 'uname' และค้นหา 'vmkernel'

จากนั้น ไฟล์ “TargetInfo.

Microsoft SQL Server ตกเป็นเป้าการโจมตีจาก TargetCompany ransomware

นักวิจัยด้านความปลอดภัยแจ้งเตือน Microsoft SQL Server ที่มีช่องโหว่ กำลังตกเป็นเป้าหมายในการโจมตีจากกลุ่ม FARGO แรนซัมแวร์

MS-SQL เซิร์ฟเวอร์ เป็นระบบจัดการฐานข้อมูลที่เก็บข้อมูลสำหรับบริการบนอินเทอร์เน็ต และแอพ การถูกโจมตีจากผู้ไม่หวังดีอาจทำให้เกิดผลกระทบทางธุรกิจที่รุนแรงได้
โดยการโจมตีนี้มีวัตถุประสงค์เพื่อการแบล็คเมล์ของเจ้าของฐานข้อมูลเป็นหลัก

FARGO ransomware หรือที่รู้จักในชื่อ TargetCompany

นักวิจัยด้านความปลอดภัยที่ AhnLab Security Emergency Response Center (ASEC) กล่าวว่า FARGO เป็นหนึ่งในแรนซัมแวร์ที่โดดเด่นที่สุดที่มุ่งเน้นการโจมตีไปที่เซิร์ฟเวอร์ MS-SQL เช่นเดียวกันกับ GlobeImposte

มัลแวร์ประเภทนี้เคยถูกเรียกว่า “Mallox” ในอดีต เพราะมันจะต่อท้ายนามสกุลของไฟล์ที่เข้ารหัสด้วย “.mallox”

นอกจากนี้มัลแวร์ประเภทนี้ยังคือตัวเดียวกับที่นักวิจัยจาก Avast ตั้งชื่อว่า “TargetCompany” ในรายงานเมื่อเดือนกุมภาพันธ์ โดยพบว่าไฟล์ที่เข้ารหัสอาจกู้คืนได้เป็นบางกรณี

ข้อมูลทางสถิติเกี่ยวกับการโจมตีของ ransomware บนแพลตฟอร์ม ID Ransomware บ่งชี้ว่า FARGO มีการถูกพบค่อนข้างมาก

นักวิจัยระบุว่าการโจมตีของแรนซัมแวร์จะเริ่มจากการที่ MS-SQL process บนเครื่องที่ถูกโจมตี ทำการดาวน์โหลดไฟล์ .NET โดยใช้ cmd.

พบ PHISHING แคมเปญรอบใหม่ของ REMCOS RAT

Morphisec Labs ตรวจพบการโจมตีรอบใหม่ของ Remcos trojan โดยใช้อีเมลฟิชชิ่งซึ่งมีเป้าหมายเป็นธุรกรรมทางการเงิน ซึ่งในครั้งนี้ผู้โจมตีจะปลอมตัวเป็นสถาบันทางการเงิน และหลอกล่อให้ผู้ใช้เปิดไฟล์ Excel ที่เป็นอันตรายซึ่งบอกว่ามีข้อมูล "Confidential" บางอย่าง

จากการวิเคราะห์ของ Morphisec พบว่าผู้โจมตีจะปลอมตัวว่ามาจากบริการต่างๆ เช่น Wells Fargo, FIS Global และ ACH Payment

การโจมตีจะดำเนินไปหลายขั้นตอน ส่วนใหญ่จะขึ้นอยู่กับการสั่งการจาก C2 Server ซึ่งเก็บไฟล์ที่ใช้สั่งการสำหรับแต่ละขั้นตอนไว้

โดยผู้โจมตียังใช้ไฟล์ .xls ที่ใส่รหัสผ่านเพื่อหลีกเลี่ยงการตรวจจับ และรหัสผ่านจะอยู่ในเนื้อหาของอีเมล

(more…)