SideCopy กลุ่มแฮ็กเกอร์จากปากีสถาน ถูกพบว่ากำลังใช้ประโยชน์จากช่องโหว่ WinRAR โจมตีหน่วยงานรัฐบาลอินเดียเพื่อติดตั้งโทรจันที่สามารถควบคุมได้จากระยะไกล เช่น AllaKore RAT, Ares RAT และ DRat โดยนักวิจัยจากบริษัท SEQRITE ระบุว่า แคมเปญนี้เป็นการโจมตีแบบ multi-platform และถูกออกแบบมาเพื่อโจมตีระบบ Linux ด้วย Ares RAT

SideCopy ถูกพบมาตั้งแต่ปี 2019 เป็นอย่างน้อย และเป็นที่รู้จักจากการโจมตีหน่วยงานในอินเดีย และอัฟกานิสถาน ซึ่งถูกสงสัยว่าเป็นกลุ่มย่อยของ Transparent Tribe (หรือ APT36)

Satwik Ram Prakki นักวิจัยจาก SEQRITE ระบุในรายงานเมื่อวันที่ 6 พ.ย. 2023 ที่ผ่านมาว่าทั้ง SideCopy และ APT36 ใช้โครงสร้างพื้นฐาน และโค้ดการโจมตีร่วมกันเพื่อมุ่งเป้าไปที่หน่วยงานในอินเดียอย่างจริงจัง

เมื่อต้นเดือนพฤษภาคม SideCopy เชื่อมโยงกับแคมเปญฟิชชิ่งที่ใช้ประโยชน์จากเหยื่อซึ่งก็คือองค์กรการวิจัยและพัฒนาด้านการป้องกันประเทศ (DRDO) ของอินเดียเพื่อส่งมัลแวร์เข้าไปขโมยข้อมูล

ตั้งแต่นั้นมา SideCopy ก็มีส่วนเกี่ยวข้องกับการโจมตีแบบฟิชชิ่งที่มุ่งเป้าไปที่ภาคการป้องกันของอินเดียด้วยไฟล์แนบ ZIP เพื่อแพร่กระจาย Action RAT และโทรจันที่ใช้ .NET ตัวใหม่ ซึ่งรองรับคำสั่งที่แตกต่างกันได้ถึง 18 คำสั่ง

แคมเปญฟิชชิ่งใหม่ที่ตรวจพบโดย SEQRITE ประกอบไปด้วยกลุ่มการโจมตีที่แตกต่างกัน 2 กลุ่ม โดยแต่ละกลุ่มกำหนดเป้าหมายไปที่ระบบ Linux และ Windows

กลุ่มแรกใช้ ELF binary ภาษา Golang-based ซึ่งปูทางสำหรับ Ares RAT เวอร์ชัน Linux ที่สามารถค้นหาไฟล์, ถ่ายภาพหน้าจอ, ดาวน์โหลด-อัพโหลดไฟล์ และอื่น ๆ อีกมากมายได้

กลุ่มที่สองเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ซึ่งเป็นช่องโหว่ด้านความปลอดภัยใน WinRAR เพื่อเรียกใช้โค้ดที่เป็นอันตราย ซึ่งนำไปสู่การติดตั้ง AllaKore RAT, Ares RAT และโทรจันอีก 2 รายการที่ชื่อว่า DRat และ Key RAT

Ram Prakki ระบุว่า AllaKore RAT มีฟังก์ชันในการขโมยข้อมูลระบบ, keylogging, จับภาพหน้าจอ, อัปโหลด และดาวน์โหลดไฟล์ และการเข้าถึงจากระยะไกลเพื่อส่งคำสั่ง และอัปโหลดข้อมูลที่ถูกขโมยไปยัง C2 Server

DRat สามารถแยกวิเคราะห์คำสั่งได้มากถึง 13 คำสั่งจาก C2 Server เพื่อรวบรวมข้อมูลระบบ ดาวน์โหลด และดำเนินการเพย์โหลดเพิ่มเติม และดำเนินการกับไฟล์อื่น ๆ

การพุ่งเป้าไปที่ระบบ Linux ไม่ใช่เรื่องบังเอิญ และอาจได้รับแรงบันดาลใจจากการตัดสินใจของอินเดียที่จะแทนที่ Microsoft Windows ด้วย Linux ที่เรียกว่า Maya OS ทั่วทั้งภาคส่วนของการป้องกันประเทศ

Ram Prakki ยังระบุอีกว่าการขยายเครื่องมือสำหรับการโจมตีช่องโหว่ zero-day ของกลุ่ม SideCopy โดยมุ่งเป้าไปที่องค์กรด้านการป้องกันประเทศของอินเดียอย่างต่อเนื่องด้วยโทรจัน เพื่อติดตั้ง Python RAT แบบ open-source ที่เรียกว่า Ares

 

ที่มา : thehackernews

 

มัลแวร์ที่สามารถทำงานข้ามแพลตฟอร์มที่ชื่อว่า StripedFly ได้หลบเลี่ยงการตรวจจับของนักวิจัยด้านความปลอดภัยทางไซเบอร์มาเป็นเวลาห้าปี โดยโจมตีระบบ Windows และ Linux มากกว่าหนึ่งล้านเครื่องในช่วงเวลานั้น

Kaspersky ค้นพบลักษณะของโครงสร้างของมัลแวร์เมื่อปีที่แล้ว โดยพบหลักฐานว่ามัลแวร์ทำการโจมตีมาตั้งแต่ปี 2017 โดยมัลแวร์ถูกจัดประเภทผิดพลาดว่าเป็นเพียงโปรแกรมขุดเหรียญสกุลเงินดิจิทัล Monero

นักวิเคราะห์ระบุว่า StripedFly ว่าเป็นมัลแวร์ที่น่าประทับใจ โดยมีกลไกการซ่อนการรับส่งข้อมูลผ่าน TOR ที่ดูซับซ้อน, การอัปเดตอัตโนมัติจากแพลตฟอร์มที่เชื่อถือได้, ความสามารถในการแพร่กระจายแบบ worm, และการใช้ช่องโหว่ EternalBlue SMBv1 แบบกำหนดเองที่สร้างขึ้นก่อนการเปิดเผยช่องโหว่ต่อสาธารณะ

ถึงแม้ว่าจะยังไม่ชัดเจนว่า framework ของมัลแวร์นี้ถูกใช้เพื่อสร้างรายได้ หรือเพื่อการจารกรรมทางไซเบอร์ แต่ Kaspersky ระบุว่าความซับซ้อนของมันบ่งชี้ว่านี่คือมัลแวร์ในรูปแบบของ APT (advanced persistent threat)

จากเวลาที่บันทึก compiler ของมัลแวร์ รุ่นแรกสุดของ StripedFly ที่มีการใช้ช่องโหว่ EternalBlue เกิดขึ้นในเดือนเมษายน 2016 ในขณะที่การเปิดเผยข้อมูลสู่สาธารณะโดยกลุ่ม Shadow Brokers เกิดขึ้นในเดือนสิงหาคม 2016

StripedFly แพร่กระจายไปยังอุปกรณ์มากกว่าหนึ่งล้านเครื่อง

โครงสร้างของมัลแวร์ StripedFly ถูกพบครั้งแรกหลังจากที่ Kaspersky พบการฝัง shellcode ของแพลตฟอร์มใน process WININIT.EXE ซึ่งเป็น process ของ Windows OS ที่ถูกต้อง และใช้สำหรับจัดการการเริ่มต้นใช้งานของระบบย่อยต่าง ๆ

หลังจากตรวจสอบ injected code พบว่าโค้ดนี้จะดาวน์โหลด และเรียกใช้ไฟล์เพิ่มเติม เช่น สคริปต์ PowerShell จากบริการโฮสติ้งที่ถูกต้อง เช่น Bitbucket, GitHub และ GitLab รวมถึงสคริปต์ PowerShell

การสืบสวนเพิ่มเติมแสดงให้เห็นว่าอุปกรณ์ที่ติดมัลแวร์มีแนวโน้มว่าจะถูกโจมตีครั้งแรกด้วยช่องโหว่ SMBv1 ด้วยการใช้เครื่องมือ EternalBlue ที่มุ่งเป้าไปที่คอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ต

เซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของมัลแวร์ตั้งอยู่บนเครือข่าย TOR และการสื่อสารกับเซิร์ฟเวอร์นี้จะประกอบด้วย ID ที่สร้างมาเฉพาะตัวสำหรับเหยื่อแต่ละราย

เพื่อแฝงตัวอยู่บนระบบ Windows มัลแวร์ StripedFly ปรับปรุงพฤติกรรมของมัน ตามระดับสิทธิ์ที่ทำงาน และการมีอยู่ของ PowerShell

หากไม่มี PowerShell StripedFly จะสร้างไฟล์ที่ซ่อนอยู่ไดเร็กทอรี %APPDATA% หากมี PowerShell มัลแวร์ StripedFly จะเรียกใช้สคริปต์เพื่อสร้าง scheduled tasks ที่กำหนดเวลาไว้ หรือแก้ไขคีย์ Windows Registry

บน Linux มัลแวร์จะใช้ชื่อ 'sd-pam' มัลแวร์จะแฝงตัวอยู่โดยใช้ systemd services ไฟล์ .desktop ที่เริ่มต้นทำงานเองโดยอัตโนมัติ หรือโดยการปรับแต่งไฟล์โปรไฟล์ และ startup files ต่าง ๆ เช่นไฟล์ /etc/rc*, profile, bashrc, หรือ inittab files

จากข้อมูลของ Bitbucket repository เพย์โหลดขั้นสุดท้ายบนระบบ Windows ระบุว่าระหว่างเดือนเมษายนถึงกันยายน 2023 มีการติดมัลแวร์บนระบบเกือบ 60,000 ครั้ง

StripedFly ได้แพร่กระจายไปยังระบบ Windows มากกว่า 220,000 เครื่องทั่วโลกตั้งแต่เดือนกุมภาพันธ์ 2022 โดยประมาณ แต่สถิติจากก่อนหน้านั้นไม่สามารถระบุได้ เนื่องจากการเก็บข้อมูลถูกสร้างขึ้นในปี 2018

โดย Kaspersky ประมาณการณ์ว่าอุปกรณ์มากกว่า 1 ล้านเครื่องติดมัลแวร์ StripedFly framework

โมดูลมัลแวร์

มัลแวร์ทำงานเป็นไฟล์ปฏิบัติการแบบไบนารีขนาดใหญ่ที่มีโมดูลแบบ pluggable ทำให้มีความคล่องตัวในการปฏิบัติงานซึ่งเป็นลักษณะเดียวกับการทำงานของ APT

โมดูลของ StripedFly จากรายงานของ Kaspersky:

Configuration storage: จัดเก็บการกำหนดค่าของมัลแวร์ในรูปแบบที่เข้ารหัส
Upgrade/Uninstall: จัดการการอัปเดต หรือถอนการติดตั้งตามคำสั่งจากเซิร์ฟเวอร์ C2
Reverse proxy: อนุญาตให้มีการดำเนินการจากระยะไกลบนเครือข่ายของเหยื่อ
Miscellaneous command handler: รันคำสั่งต่าง ๆ เช่น การจับภาพหน้าจอ และการเรียกใช้ shellcode
Credential harvester: สแกน และรวบรวมข้อมูลผู้ใช้งานที่มีความสำคัญ เช่น รหัสผ่าน และชื่อผู้ใช้งาน
Repeatable tasks: ดำเนินการงานเฉพาะภายใต้เงื่อนไขบางประการ เช่น การบันทึกไมโครโฟน
Recon module: ส่งข้อมูลระบบโดยละเอียดไปยังเซิร์ฟเวอร์ C2
SSH infector: ใช้ข้อมูล credentials ของ SSH ที่ถูกเก็บรวบรวมเพื่อเข้าถึงระบบอื่น ๆ
SMBv1 infector: แพร่กระจายไปยังระบบ Windows อื่น ๆ โดยใช้ช่องโหว่ EternalBlue แบบกำหนดเอง
Monero mining module: ขุดเหรียญ Monero ในขณะที่ปลอมตัวเป็น process "chrome.

Microsoft กำลังวางแผนที่จะทำการยุติการใช้ VBScript ใน Windows รุ่นต่อไป หลังจากใช้งานมา 30 ปี โดยจะทำให้เป็น Features on Demand (FODs) จนกว่าจะถูกลบออก

VBScript (Visual Basic Script หรือ Microsoft Visual Basic Scripting Edition) เป็นภาษาการเขียนโปรแกรมที่คล้ายคลึงกับ Visual Basic หรือ Visual Basic for Applications (VBA) ซึ่งเปิดตัวมานานเกือบ 30 ปี โดยเปิดตัวในเดือนสิงหาคม 1996 และมาพร้อมกับ Internet Explorer (ซึ่งทาง Microsoft ได้ปิดการใช้งานไปแล้ว บน Windows 10 บางแพลตฟอร์มในเดือนกุมภาพันธ์ 2023) เพื่อรวมสคริปต์ที่ใช้งานอยู่เข้ากับ Windows environment และสื่อสารกับ host application ผ่าน Windows Script

(more…)

ช่องโหว่ใหม่ในระบบปฏิบัติการ Linux ที่ชื่อว่า 'Looney Tunables' และมีหมายเลข CVE-2023-4911 ทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ root ได้โดยการใช้ประโยชน์จากช่องโหว่ buffer overflow ใน dynamic loader ของ GNU C Library

GNU C Library (glibc) คือไลบรารี C ของระบบ GNU และอยู่ในระบบที่ใช้เคอร์เนล Linux โดยส่วนใหญ่ โดยมีฟังก์ชันการทำงานที่จำเป็น รวมถึง system calls ของระบบ เช่น open, malloc, printf, exit และอื่น ๆ ที่จำเป็นสำหรับการทำงานของโปรแกรมทั่วไป

Dynamic loader ใน glibc มีความสำคัญ เนื่องจากทำหน้าที่ในการเตรียมในการเตรียม และการทำงานของโปรแกรมบนระบบ Linux ที่ใช้ glibc

ช่องโหว่นี้ถูกพบโดยนักวิจัยภัยคุกคามทางไซเบอร์จาก Qualys และถูกเปิดเผยออกมาในเดือนเมษายน 2021 ผ่านการเปิดตัว glibc 2.34 ผ่านคำสั่งที่ถูกอธิบายว่าเป็นการแก้ไขพฤติกรรม SXID_ERASE ในโปรแกรม setuid

Saeed Abbasi - Product Manager จาก Qualys ระบุว่า การโจมตีโดยใช้ช่องโหว่นี้ได้สำเร็จจะทำให้ผู้โจมตีได้สิทธิ์ root อย่างเต็มรูปแบบบน distro ที่สำคัญ เช่น Fedora, Ubuntu และ Debian ซึ่งแสดงให้เห็นถึงระดับความรุนแรง และลักษณะที่แพร่หลายของช่องโหว่นี้

แม้ว่าขณะนี้จะยังไม่มีการเปิดเผยโค้ดการโจมตี แต่ความง่ายจากการเปลี่ยน buffer overflow ให้เป็นการโจมตีแบบ data-only ทำให้มีความเป็นไปได้ที่ทีมวิจัยอื่น ๆ อาจจะสามารถสร้าง และเผยแพร่โค้ดของการโจมตีได้ในเร็ว ๆ นี้ จึงทำให้ระบบจำนวนมากตกอยู่ในความเสี่ยง โดยเฉพาะอย่างยิ่งเมื่อมีการใช้งาน glibc อย่างกว้างขวางบน Linux distributions ต่าง ๆ

ผู้ดูแลระบบควรให้ความสำคัญกับการอัปเดตแพตซ์

ช่องโหว่นี้เกิดขึ้นเมื่อมีการประมวลผล GLIBC_TUNABLES environment variable ในการติดตั้งเริ่มต้นของ Debian 12 และ 13, Ubuntu 22.04 และ 23.04 และ Fedora 37 และ 38 (Alpine Linux ซึ่งใช้ musl libc จะไม่ได้รับผลกระทบ)

Red Hat ระบุว่า พบ Buffer Overflow ใน dynamic loader ld.

มีรายงานเกี่ยวกับช่องโหว่ของ OpenSSH ที่ปัจจุบันมีแพตซ์อัปเดตเรียบร้อยแล้ว อาจจะกำลังถูกนำมาใช้โจมตีโดยใช้คำสั่งตามที่ต้องการไปยังระบบที่มีช่องโหว่

Saeed Abbasi ผู้จัดการฝ่ายวิจัยช่องโหว่ที่ Qualys ระบุในรายงานการวิเคราะห์ในสัปดาห์ที่ผ่านมาว่า "ช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีจากภายนอกสามารถดำเนินการคำสั่งได้ตามที่ต้องการบน ssh-agent ของ OpenSSH ที่มีช่องโหว่"

(more…)

Ruihan Li นักวิจัยด้านความปลอดภัยรายงานช่องโหว่ StackRot (CVE-2023-3269) ซึ่งเป็นช่องโหว่ระดับความรุนแรงสูง ที่ส่งผลกระทบต่อ Linux kernel หลายเวอร์ชัน และสามารถเรียกใช้งานได้ง่าย เพื่อโจมตี kernel และยกระดับสิทธิ์ โดยในขณะนี้แพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวได้ถูกปล่อยออกมาแล้วตั้งแต่วันที่ 1 กรกฎาคม 2023 รวมถึงรายละเอียดที่เกี่ยวข้องกับช่องโหว่ และ exploit code จะถูกเปิดเผยภายในสิ้นเดือนนี้ (more…)

Akira ransomware เวอร์ชัน Linux ถูกพบครั้งแรกโดยนักวิเคราะห์มัลแวร์จาก rivitna ที่รายงานตัวอย่างของเครื่องมือการเข้ารหัสใหม่ใน VirusTotal เมื่อสัปดาห์ที่ผ่านมา

Akira ถูกพบครั้งแรกในเดือนมีนาคม 2023 โดยมีเป้าหมายเป็นระบบ Windows ในอุตสาหกรรมต่าง ๆ รวมถึงการศึกษา การเงิน อสังหาริมทรัพย์ การผลิต และการให้คำปรึกษา

เช่นเดียวกับกลุ่มแรนซัมแวร์ที่โจมตีองค์กรอื่น ๆ ผู้โจมตีจะขโมยข้อมูลจากเครือข่ายขององค์กรที่ถูกโจมตี และเข้ารหัสไฟล์เพื่อเรียกค่าไถ่ซ้ำกับเหยื่อ โดยเรียกร้องเงินที่สูงถึงหลายล้านดอลลาร์

นับตั้งแต่เปิดตัว มีการเปิดเผยว่ามีเหยื่อมากกว่า 30 รายในสหรัฐอเมริกาเพียงแห่งเดียว โดยมีกิจกรรมที่แตกต่างกันสองรายการที่เพิ่มขึ้นอย่างมากใน ID Ransomware ในช่วงปลายเดือนพฤษภาคม และปัจจุบัน

Akira ตั้งเป้าไปที่ VMware ESXi

Akira เวอร์ชัน Linux ถูกพบครั้งแรกโดยนักวิเคราะห์มัลแวร์ rivitna ซึ่งรายงานตัวอย่างของเครื่องมือการเข้ารหัสใหม่ใน VirusTotal เมื่อสัปดาห์ที่ผ่านมา

การวิเคราะห์ตัวเข้ารหัส Linux ของ BleepingComputer แสดงให้เห็นว่ามีชื่อโปรเจ็กต์เป็น 'Esxi_Build_Esxi6' ซึ่งบ่งบอกว่าผู้โจมตีออกแบบมาเพื่อกำหนดเป้าหมายไปยัง VMware ESXi เซิร์ฟเวอร์โดยเฉพาะ

ตัวอย่างเช่น ไฟล์ซอร์สโค้ดของโปรเจ็กต์ไฟล์หนึ่งคือ /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.

GobRAT เป็น RAT ที่ใช้ภาษา Golang-based ซึ่งกำลังมุ่งเป้าหมายไปที่เราเตอร์ที่ใช้ Linux ในประเทศญี่ปุ่น โดยอาจใช้ช่องโหว่ที่มีอยู่แล้วเพื่อโจมตี เครื่องมือนี้มีความสามารถหลากหลาย และมุ่งเป้าหมายไปที่สถาปัตยกรรมที่หลากหลาย เช่น x86, x86-64, ARM, และ MIPS

ปฏิบัติการ GobRAT

JPCERT Coordination Center ได้เผยแพร่รายงานที่ยืนยันว่า GobRAT ได้แพร่กระจายในเราเตอร์ของญี่ปุ่นตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา

การโจมตีเริ่มต้นด้วยการสแกนเปิดหาเราเตอร์ที่มี WEBUI ที่เข้าถึงได้จากอินเทอร์เน็ต
มันจะพยายามเชื่อมต่อโดยอาจใช้ช่องโหว่ที่มีอยู่ก่อนแล้ว จากนั้นจึงเริ่มการติดตั้งมัลแวร์โดยเรียกใช้สคริปต์หลายรายการ
สคริปต์แรกคือ Loader Script ที่ปิดการทำงานของไฟร์วอล เพื่อดาวน์โหลด GobRAT และรันสคริปต์เพิ่มเติม เช่น Start Script และ Daemon Script
สคริปต์ Start Script ทำหน้าที่เรียกใช้ GobRAT โดยปลอมเป็น process Apache daemon (apache) ส่วนสคริปต์ Daemon Script จะตรวจสอบสถานะของ Start Script ทุก ๆ 20 วินาที เพื่อตรวจสอบให้แน่ใจว่าสคริปต์กำลังทำงานอยู่

รายละเอียด GobRAT

GobRAT ประกอบไปด้วย UPX v4 series และใช้โปรโคตอล TLS เพื่อสื่อสารกับ C2 Server

หลังจากติดตั้งมัลแวร์แล้ว GobRAT จะสแกนเครื่องที่ถูกโจมตีเพื่อเก็บข้อมูล เช่น IP address, MAC address, เวลาที่เครื่องทำงาน และสถานะของการเชื่อมต่อในเครือข่าย
ในซอร์สโค้ด คำสั่งสำหรับการเชื่อมต่อกับ C2 และคำสั่ง Linux จะถูกเข้ารหัสไว้ โดยโปรแกรมจะใช้โหมด AES128 CTR เพื่อถอดรหัสคำสั่งเหล่านั้น
GobRAT รองรับรายการคำสั่งทั้งหมด 22 รายการ เพื่อการดำเนินการที่หลากหลาย รวมถึงการรับข้อมูลเครื่อง, อ่าน และเขียนไฟล์, เริ่มต้นการเชื่อมต่อ SOCKS5 socket, และการดำเนินการ reverse shell
มัลแวร์จะพยายาม log in เข้าใช้บริการ Telnet, SSHD, MySQL, Redis, และ PostgreSQL บนเครื่องอื่น ๆ ทั่วทั้งเครือข่าย

GobRAT เป็นซอฟต์แวร์ที่ใช้ภาษา Golang-based อีกหนึ่งตัวที่พยายามใช้ช่องโหว่ในเราท์เตอร์ที่เผยแพร่ในอินเทอร์เน็ต การปล่อยให้เราท์เตอร์ขององค์กรสามารถเข้าถึงได้จากอินเทอร์เน็ตโดยไม่มีการตรวจสอบความปลอดภัยที่เหมาะสม เป็นการเชื้อเชิญให้ GobRAT และภัยคุกคามอื่น ๆ สามารถนำมาใช้เป็นช่องทางในการโจมตีได้

อ้างอิง :https://cyware.

แรนซัมแวร์ตัวใหม่ชื่อ 'Buhti' ใช้โค้ดที่รั่วไหลออกมาของแรนซัมแวร์ LockBit และ Babuk ในการโจมตี ที่กำหนดเป้าหมายไปยังระบบปฏิบัติการ Windows และ Linux ผู้โจมตีที่อยู่เบื้องหลัง Buhti ในชื่อ 'Blacktail' ยังไม่ได้พัฒนาแรนซัมแวร์ด้วยตนเอง แต่สร้างเฉพาะยูทิลิตี้เพื่อใช้ในการขโมยข้อมูลสำหรับแบล็กเมล์เหยื่อ
Buhti ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2023 โดยทีม Unit 42 ของ Palo Alto Networks ซึ่งระบุว่าเป็นแรนซัมแวร์ที่กำหนดเป้าหมายไปยัง Linux ซึ่งพัฒนาโดยภาษา Go-based

รายงานที่เผยแพร่ในวันนี้โดยทีม Threat Hunter ของ Symantec แสดงให้เห็นว่า Buhti ยังมุ่งเป้าไปที่ Windows ด้วย โดยใช้ LockBit 3.0 ที่ถูกปรับเปลี่ยนในชื่อ "LockBit Black"

Blacktail ใช้เครื่องมือสำหรับสร้าง Windows LockBit 3.0 ที่รั่วไหลบน Twitter ในเดือนกันยายน 2022 ซึ่งเมื่อโจมตีสำเร็จจะเปลี่ยนวอลเปเปอร์ของคอมพิวเตอร์ที่ถูกโจมตีเพื่อให้เหยื่อเปิดบันทึกเรียกค่าไถ่ ในขณะที่ไฟล์ที่เข้ารหัสทั้งหมดจะได้ถูกต่อท้านนามสกุลด้วย ".buthi"

(more…)

พบมัลแวร์ที่ใช้โจมตี Linux ชื่อว่า 'BPFDoor' เวอร์ชันใหม่ ที่มีความสามารถในการซ่อนเร้นตัวเองดีกว่าเดิม ซึ่งมีการเข้ารหัสที่มีประสิทธิภาพมากขึ้น รวมถึงมีการใช้งาน reverse shell ที่มีประสิทธิภาพมากขึ้นเช่นเดียวกัน

BPFDoor เป็นมัลแวร์ที่มีความสามารถในการการแฝงตัวทำงานมาตั้งแต่ปี 2017 เป็นอย่างน้อย โดยพึ่งถูกค้นพบจากนักวิจัยด้านความปลอดภัยเมื่อประมาณ 12 เดือนที่ผ่านมาเท่านั้น

มัลแวร์ได้ชื่อมาจากการใช้ 'Berkley Packet Filter' (BPF) สำหรับรับคำสั่ง ในขณะเดียวกันกับที่ Bypass ไฟร์วอลล์ที่ใช้ป้องกันการเข้าถึงจากภายนอก

โดยนักวิจัยคาดว่า BPFDoor ได้รับการออกแบบมาเพื่อให้ผู้ไม่หวังดีสามารถแฝงตัวอยู่ในระบบ Linux ได้นานโดยไม่ถูกตรวจพบ

BPFDoor เวอร์ชันใหม่

จนถึงปี 2022 มัลแวร์ใช้การเข้ารหัส RC4, bind shell และ iptables สำหรับการสื่อสาร, ขณะที่คำสั่ง และชื่อไฟล์เป็นแบบ hardcoded แต่เวอร์ชันใหม่ที่ถูกวิเคราะห์โดย Deep Instinct มีคุณสมบัติการเข้ารหัสแบบ static library, การสื่อสารผ่าน reverse shell และคำสั่งทั้งหมดจะถูกส่งมาจาก C2 เซิร์ฟเวอร์

ด้วยการเข้ารหัสแบบ static library นักพัฒนามัลแวร์ได้ใส่ความสามารถในการซ่อนตัว และการหลีกเลี่ยงการตรวจจับ โดยการนำฟีเจอร์ไลบรารี่การเข้ารหัสแบบ RC4 ออกไป

ส่วนข้อได้เปรียบหลักของ Reverse Shell เมื่อเทียบกับ Bind Shell คือจะมีการสร้างการเชื่อมต่อจากโฮสต์ที่ติดมัลแวร์ไปยังเซิร์ฟเวอร์ C2 ของผู้ไม่หวังดี ทำให้สามารถสื่อสารกับเซิร์ฟเวอร์ของผู้ไม่หวงดีได้แม้ว่าจะมีการใช้งานไฟร์วอลล์ก็ตาม

สุดท้ายการลบคำสั่ง hardcoded ออกไป ทำให้ซอฟต์แวร์ป้องกันไวรัสมีโอกาสน้อยลงในการตรวจจับมัลแวร์โดยใช้การวิเคราะห์แบบ static เช่น การตรวจจับด้วย signature-based และในทางทฤษฎีวิธีนี้ยังมีความยืดหยุ่นมาก ทำให้สามารถรองรับชุดคำสั่งที่หลากหลายได้

Deep Instinct รายงานว่า BPFDoor เวอร์ชันล่าสุดไม่ได้มีการรายงานว่าเป็นอันตรายจากเครื่องมือ AV ใด ๆ ที่มีอยู่ใน VirusTotal แม้ว่าจะมีการอัปโหลดขึ้นไปตรวจสอบครั้งแรกบนแพลตฟอร์ม VirusTotal เมื่อเดือนกุมภาพันธ์ 2023

ชั้นตอนการทำงาน

เมื่อทำงานครั้งแรก BPFDoor จะสร้าง และล็อคไฟล์รันไทม์ที่ "/var/run/initd.