“PindOS” JavaScript Dropper ถูกใช้เพื่อแพร่กระจายมัลแวร์ Bumblebee และ IcedID

บริษัทด้านความปลอดภัยทางไซเบอร์ Deep Instinct กำลังติดตามมัลแวร์ใหม่ที่ชื่อ PindOS ซึ่งชื่อนี้อยู่ในสตริงของ "User-Agent"

โดย Bumblebee และ IcedID ทำหน้าที่เป็น loaders เพื่อเป็น Attack Vector สำหรับมัลแวร์ตัวอื่น ๆ บนเครื่องโฮสต์ที่ถูกโจมตี รวมไปถึงการทำงานของ ransomware ด้วย โดยรายงานล่าสุดจาก Proofpoint ระบุว่า IcedID ยกเลิกคุณสมบัติการฉ้อโกงทางธนาคารเพื่อมุ่งเน้นไปที่เฉพาะการส่งมัลแวร์เพียงอย่างเดียว

(more…)

มัลแวร์ IcedID สายพันธ์ุใหม่เปลี่ยนจากขโมยข้อมูลธนาคารเป็นการติดตั้งมัลแวร์แทน

พบ IcedID สายพันธุ์ใหม่ ที่ไม่มีฟังก์ชันการหลอกลวงเอาข้อมูลธนาคารออนไลน์จากเหยื่อ แต่จะมุ่งเน้นไปที่การติดตั้งมัลแวร์เพิ่มเติมบนระบบที่ถูกโจมตี

ข้อมูลจาก Proofpoint พบว่า IcedID สายพันธุ์ใหม่เหล่านี้ถูกใช้โดยผู้โจมตีที่แตกต่างกัน 3 รายใน 7 แคมเปญตั้งแต่ปลายปีที่ผ่านมา โดยเน้นไปที่การติดตั้งเพย์โหลดสำหรับมัลแวร์อื่น ๆ เพิ่มเติม โดยเฉพาะอย่างยิ่งแรนซัมแวร์ (more…)

IcedID Malware กลับมาโจมตีอีกครั้ง โดยสามารถเข้าถึง Active Directory Domain ได้ภายใน 24 ชั่วโมง

นักวิจัยของ Cybereason เผยข้อมูลการโจมตีของ IcedID Malware ที่สามารถเข้าถึง Active Directory Domain ได้ภายใน 24 ชั่วโมง หลักจากได้รับสิทธิ์การเข้าถึงในครั้งแรก รวมไปถึงตลอดการโจมตี Hacker ยังพยายามทำการค้นหาช่องโหว่อื่น ๆ, ขโมยข้อมูลประจำตัว, แพร่กระจายตัวโดยการใช้ Windows protocol และการใช้เครื่องมืออย่าง Cobalt Strike บนเครื่่องเหยื่อที่ถูกโจมตี

IcedID หรือที่รู้จักในชื่อ BokBot เริ่มต้นด้วยการเป็น banking trojan ในปี 2017 ก่อนจะพัฒนาเป็น dropper malware แบบเดียวกันกับ Emotet, TrickBot, Qakbot, Bumblebee และ Raspberry Robin

วิธีการโจมตี

นักวิจัยได้อธิบายการโจมตีของ IcedID ไว้ว่า มันจะเริ่มจากการส่งไฟล์อิมเมจ ISO ที่อยู่ในไฟล์ ZIP ซึ่งได้ฝัง payload อันตรายเอาไว้ไปหาเหยื่อ

เมื่อสามารถโจมตีเข้าไปยังระบบของเหยื่อได้แล้ว ก็จะสร้าง Process เพื่อฝังตัวเองในเครื่อง (Persistence) และทำการติดต่อกับเซิร์ฟเวอร์ภายนอกของ Hacker เพื่อดาวน์โหลด payload เพิ่มเติม เช่น Cobalt Strike Beacon สำหรับหาช่องโหว่อื่น ๆ บนระบบสำหรับการ lateral movement รวมไปถึงเครื่องมือภาษา C# ที่ชื่อว่า Rubeus เพื่อขโมยข้อมูลประจำตัว เพื่อยกระดับสิทธิ์ตัวเอง และแพร่กระจายไปยัง Windows Server เครื่องอื่น ๆ รวมไปถึงเพื่อการโจมตีแบบ DCSync ซึ่งจะทำให้ Hacker สามารถจำลอง domain controller ( DC ) และดึงข้อมูลประจำตัวของผู้ใช้งานทั้งหมดบนระบบ domain controllers ออกมาได้

รวมไปถึงการใช้เครื่องมืออื่น ๆ เป็นส่วนหนึ่งของการโจมตี ได้แก่ netscan.

Quantum ransomware ถูกปรับใช้ในการโจมตีเครือข่ายอย่างรวดเร็ว

Ransomware Quantum เป็นสายพันธุ์ที่ค้นพบครั้งแรกในเดือนสิงหาคม พ.ศ. 2564 โดยพบว่าเป็นวิธีการโจมตีที่รวดเร็ว และทวีความรุนแรงขึ้นอย่างมาก เนื่องจากทำให้ทีม Security มีเวลาตอบสนองเพียงเล็กน้อยเท่านั้น

ผู้โจมตีกำลังใช้มัลแวร์ IcedID ในการทำเรื่อง Initial Access ซึ่งเป็นหนึ่งใน Attack Vectors ที่ใช้เพื่อติดตั้ง Cobalt Strike สำหรับการเข้าถึงจากระยะไกล และนำไปสู่การขโมยข้อมูล และการเข้ารหัสโดยใช้ Quantum Locke

รายละเอียดทางเทคนิคของการโจมตีของ Quantum ransomware ได้รับการวิเคราะห์โดยนักวิจัยด้านความปลอดภัยที่ The DFIR Report ซึ่งกล่าวว่าการโจมตีใช้เวลาเพียง 3 ชั่วโมง 44 นาทีตั้งแต่การโจมตีครั้งแรกไปจนถึงการเข้ารหัสที่เสร็จสมบูรณ์

(more…)

New IcedID Banking Trojan Discovered

ทีม X-Force ของไอบีเอ็มพบโทรจันที่มุ่งขโมยข้อมูลทางการเงินภายใต้ชื่อ IcedID ซึ่งแม้จะอยู่ในขั้นตอนการพัฒนาแต่มันก็มีประสิทธิภาพและความอันตรายเทียบเท่ากับโทรจันชื่อดังอย่าง Zeus
IcedID ประกอบด้วยโหมดการโจมตีสองแบบ ได้แก่ การโจมตี webinjection และการโจมตีการเปลี่ยนเส้นทาง โดย IcedID สามารถขโมยข้อมูลการเงินของผู้ใช้งานผ่านการโจมตีแบบ redirection คือทำการติดตั้ง local proxy เพื่อเปลี่ยนเส้นทางผู้ใช้งานไปยังหน้าเว็บอันตราย และการโจมตีผ่านเว็บ คือการโจมตีไปที่เบราเซอร์ของเหยื่อเพื่อแสดงเนื้อหาปลอมบนหน้าเว็บเดิม โดยในอดีตมีเพียงมัลแวร์ Dridex เป็นมัลแวร์ชนิดเดียวกันที่รุนแรงที่สุดที่ใช้การโจมตีทั้งสองรูปแบบ

กลุ่มแฮกเกอร์ที่อยู่เบื้องหลังโทรจันจะใช้ประโยชน์จากเครือข่าย botnetชื่อว่า Emotet เพื่อส่ง IcedID ไปยังคอมพิวเตอร์ ซึ่ง IcedID จะใช้ความสามารถในการกำหนดเป้าหมายของ Emotet เพื่อส่งโทรจันให้กับเหยื่อเฉพาะในประเทศที่ระบุเท่านั้น ซึ่งขณะนี้มัลแวร์กำหนดเป้าหมายไปที่กลุ่มธนาคารผู้ให้บริการบัตรเครดิต ผู้ให้บริการโทรศัพท์มือถือ payroll เว็บเมลและอีคอมเมิร์ซในสหรัฐฯ และธนาคารใหญ่ๆ สองแห่งในสหราชอาณาจักร
ความอ่อนแอของโทรจันในตอนนี้คือมันยังไม่มีมาตรการการตรวจจับ anti-VM และ anti-sandbox ขั้นสูงที่อาจช่วยให้มันหลบเลี่ยงการตรวจจับและการวิเคราะห์ได้ ขณะนี้ยังไม่ชัดเจนว่า IcedID เป็นเพียงมัลแวร์ในเวอร์ชันทดสอบที่ยังไม่สมบูรณ์หรือไม่ จะต้องดูว่าโทรจันจะมีวิวัฒนาการอย่างไรต่อไป

ที่มา : bleepingcomputer