มัลแวร์บน IoT ตัวใหม่ RapperBot มุ่งเป้าโจมตี Linux Servers ด้วยการ Brute-Force SSH

มัลแวร์บน IoT ตัวใหม่ RapperBot ถูกพบว่ามีการพัฒนาความสามารถขึ้นอย่างรวดเร็วตั้งแต่ที่ถูกพบครั้งแรกเมื่อช่วงกลางเดือนมิถุนายน 2022 “มัลแวร์ตัวนี้นำ Source code ส่วนใหญ่มาจาก Mirai botnet แต่สิ่งที่แตกต่างจากมัลแวร์ IoT ตัวอื่น ๆ คือความสามารถแบบ Built-in ในการ Brute-force Credentials และเข้าถึง SSH Server แทนการเข้าถึง Telnet เหมือนอย่าง Mirai botnet” Fortinet FortiGuard Labs ระบุในรายงาน
ชื่อของมัลแวร์ตัวนี้ได้มาจากการที่มี URL ที่ลิงก์ไปยังวิดีโอเพลงแร็ปบน Youtube ในเวอร์ชันแรก ๆ ปัจจุบันพบว่าจำนวน SSH Server ที่ถูกเข้าควบคุมมีเพิ่มมากขึ้น โดยมัลแวร์ตัวนี้ได้ใช้ Unique IP addresses มากกว่า 3,500 IP ในการ Scan และ Brute-force ไปยัง Server ต่าง ๆ

(more…)

Hackers are now hiding malware in Windows Event Logs

แฮ็กเกอร์ใช้วิธีการซ่อนมัลแวร์ใน Windows Event Logs

นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญการโจมตีซึ่งใช้ Windows event logs เพื่อจัดเก็บมัลแวร์ ซึ่งเป็นเทคนิคที่ไม่เคยถูกใช้ในการโจมตีมาก่อน โดยวิธีการนี้ทำให้ผู้โจมตีสามารถวาง fileless มัลแวร์ บน file system ได้ ซึ่งวิธีการนี้จะประกอบไปด้วยเทคนิค และโมดูลที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับเป็นจำนวนมาก

การเพิ่ม Payload ไปยัง Windows event logs

นักวิจัยจาก Kaspersky ได้รวบรวมตัวอย่างมัลแวร์ที่สามารถตรวจจับได้ และถูกระบุว่าเป็นภัยคุกคามบนคอมพิวเตอร์ของผู้ใช้งาน จากการตรวจสอบพบว่ามัลแวร์เป็นส่วนหนึ่งของแคมเปญ “very targeted” และมีการใช้ชุดเครื่องมือจำนวนมากที่เป็นทั้งแบบ Custom และที่มีจำหน่ายในเชิงพาณิชย์

โดยส่วนที่น่าสนใจของการโจมตีคือการ injecting shellcode payloads เข้าไปใน Windows event logs สำหรับ Key Management Services (KMS) ซึ่งเป็นการดำเนินการโดย custom malware dropper

Denis Legezo หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่าวิธีนี้ถูกใช้เป็นครั้งแรกในแคมเปญการโจมตีจากมัลแวร์

โดยตัว Dropper จะคัดลอกไฟล์จัดการ OS error ที่ชื่อไฟล์ว่า WerFault.

มัลแวร์ Emotet กลับมาแพร่ระบาดอีกครั้งหลังจากแก้ไขตัวติดตั้งเดิมที่ใช้งานไม่ได้

แคมเปญฟิชชิ่งมัลแวร์ Emotet กลับมาทำงานอีกครั้งหลังจากที่แฮ็กเกอร์ได้แก้ไขข้อผิดพลาดที่ทำให้ผู้ใช้ไม่ติดมัลแวร์แม้จะเปิดไฟล์แนบจากอีเมลที่เป็นอันตราย

Emotet เป็นมัลแวร์ที่แพร่กระจายผ่านแคมเปญสแปม ซึ่งมีไฟล์แนบที่เป็นอันตราย หากผู้ใช้เปิดไฟล์แนบ สคริปต์จะดาวน์โหลด Emotet DLL และโหลดลงในหน่วยความจำ เมื่อโหลดแล้ว มัลแวร์จะค้นหา และขโมยอีเมลเพื่อใช้ในแคมเปญสแปมในอนาคต และลงเพย์โหลดอื่นๆทิ้งไว้ เช่น Cobalt Strike หรือมัลแวร์อื่นๆ ที่มักนำไปสู่การโจมตีของแรนซัมแวร์

(more…)

กลุ่ม Haskers แจกมัลแวร์ ZingoStealer ฟรีให้กับอาชญากรไซเบอร์รายอื่นๆ

กลุ่มแฮ็กเกอร์ที่เรารู้จักในชื่อ Haskers Gang ได้ปล่อยมัลแวร์ขโมยข้อมูล ZingoStealer ออกมาฟรี เพื่อช่วยให้กลุ่มอาชญากรกลุ่มอื่นๆ ใช้เครื่องมือนี้เพื่อแสวงหาผลประโยชน์ได้

นักวิจัยของ Cisco Talos กล่าวว่า "มัลแวร์มีความสามารถในการขโมยข้อมูล และสามารถดาวน์โหลดมัลแวร์อื่นๆเพิ่มเติมไปยังระบบที่ถูกควบคุมได้

นับตั้งแต่ถูกพบเมื่อเดือนที่แล้ว ZingoStealer มีการพัฒนาอย่างต่อเนื่อง และเน้นเป้าหมายเฉพาะกับเหยื่อที่พูดภาษารัสเซีย โดยใส่ลงในเกม และซอฟต์แวร์ที่ละเมิดลิขสิทธิ์ โดย Haskers Gang เป็นที่รู้จักมาตั้งแต่อย่างน้อยมกราคมปี 2020

นอกเหนือจากการรวบรวมข้อมูลที่มีความสำคัญ เช่น ข้อมูลการเข้าสู่ระบบ การขโมยข้อมูลกระเป๋าเงิน cryptocurrency และการขุด cryptocurrency ในระบบของเหยื่อ มัลแวร์จะใช้เทเลแกรมเป็นทั้งช่องทางการเผยแพร่ข้อมูลที่ขโมยมา และการเผยแพร่การอัปเดต

โดยผู้ต้องการใช้งาน ZingoStealer สามารถเลือกที่จะจ่ายเงินประมาณ 3 ดอลลาร์เพื่อเข้ารหัสมัลแวร์ในโปรแกรมเข้ารหัสแบบกำหนดเองที่เรียกว่า ExoCrypt ซึ่งทำให้สามารถเลี่ยงการป้องกันไวรัสโดยไม่ต้องพึ่งพาโซลูชันการเข้ารหัสจากที่อื่น

การรวมซอฟต์แวร์การขุด cryptocurrency XMRig เข้ากับ Stealer

นักวิจัยอ้างว่าการรวมแพ็คเกจซอฟต์แวร์ขุดคริปโตเคอเรนซี XMRig เข้ากับตัว Stealer ** นั้นเป็นความพยายามของผู้เขียนมัลแวร์เพื่อสร้างรายได้ สำหรับการขุดเหรียญ Monero

ในส่วนของ ZingoStealer นั้น ถูกออกแบบเป็น .NET binary ที่สามารถรวบรวมข้อมูลที่บันทึกโดยเว็บเบราว์เซอร์เช่น Google Chrome, Mozilla Firefox, Opera และ Opera GX ยิ่งไปกว่านั้น มัลแวร์ได้รับการติดตั้งเพื่อปรับใช้ตามความวัตถุประสงค์ของผู้โจมตี เช่น RedLine Stealer ซึ่งเป็นตัว Stealer ที่มีฟังก์ชันมากมาย ซึ่งจะขโมย knowledge จากแอปพลิเคชัน เบราว์เซอร์ กระเป๋าสตางค์ และส่วนเสริมของสกุลเงินดิจิทัลมากมาย แสดงให้เห็นว่าเหตุใดผู้สร้างมัลแวร์จึงให้ ZingoStealer โดยไม่มีค่าใช้จ่าย

"ดังนั้นผู้ใช้ควรตระหนักถึงภัยคุกคามที่เกิดจากแอปพลิเคชันประเภทนี้ และตรวจสอบให้แน่ใจว่าใช้งานเฉพาะแอปพลิเคชันที่แจกจ่ายผ่านกลไกที่ถูกต้องเท่านั้น" นักวิจัยกล่าว

ที่มา: thecybersecurity.

มัลแวร์ SharkBot ปลอมตัวเป็นโปรแกรมป้องกันไวรัสบน Android ใน Google Play Store

มัลแวร์ SharkBot ได้แทรกซึมเข้าไปอยู่ใน Google Play Store โดยปลอมตัวเป็นโปรแกรมป้องกันไวรัส

แม้ว่าตัวแอปยังไม่เป็นที่นิยม หรือถูกดาวน์โหลดไปมากนัก แต่การที่ตัวแอปยังสามารถอยู่บน Play Store ได้ แสดงให้เห็นว่าผู้เผยแพร่มัลแวร์ยังคงสามารถหลบเลี่ยงการตรวจจับของ Google ได้เป็นอย่างดีจนถึงปัจจุบัน

แอพพลิเคชั่นบน Android ที่จริง ๆ แล้วคือ SharkBot

รายละเอียดผู้เผยแพร่บน Play Store

SharkBot สามารถทำอะไรได้บ้าง?

มัลแวร์ดังกล่าวถูกค้นพบครั้งแรกโดย Cleafy ในเดือนตุลาคม 2564 โดยฟีเจอร์ที่สำคัญที่สุด ที่ทำให้แตกต่างจาก Banking Trojan อื่น ๆ คือการโอนเงินผ่านระบบโอนอัตโนมัติ (ATS) บนอุปกรณ์ที่ถูกควบคุม

(more…)

มัลแวร์ Xenomorph บน Android มุ่งเป้าโจมตีลูกค้าจากกว่า 56 ธนาคาร

มัลแวร์ Xenomorph ที่ถูกเผยแพร่ผ่านทาง Google Play Store ได้ถูกติดตั้งบนอุปกรณ์ Android มากกว่า 50,000 เครื่องเพื่อขโมยข้อมูลธนาคาร โดย Xenomorph มีเป้าหมายที่จะขโมยข้อมูลที่มีความสำคัญทางด้านการเงิน เข้าครอบครองบัญชี แอบทำธุรกรรม จากนั้นก็ขายข้อมูลที่ถูกขโมยให้กับผู้ซื้อที่สนใจ

ความสามารถของมัลแวร์ Xenomorph
มัลแวร์ Xenomorph ถูกนำเข้าสู่ Google Play Store ผ่านแอพพลิเคชันประเภท Perfomance-boosting เช่น "Fast Cleaner" ซึ่งพบการติดตั้งไปแล้วกว่า 50,000 ครั้ง (โดยไฟล์การติดตั้งในครั้งแรกจะมีขนาดไฟล์ที่ไม่ใหญ่มาก และตัวมันจะทำการดาวน์โหลดเพิ่มเติมในภายหลังเพื่อลดความน่าสงสัย)

Xenomorph Android อยู่ระหว่างการพัฒนาดังนั้นความสามารถ และฟังก์ชันต่าง ๆ ยังไม่เยอะมาก อย่างไรก็ตามมันยังคงเป็นภัยคุกคามที่สำคัญ ตัวอย่างเช่น มัลแวร์สามารถดักการแจ้งเตือน และบันทึก SMS ที่ส่งเข้ามาได้ ทำให้ผู้โจมตีสามารถดักเอา OTP ที่ถูกส่งเข้ามาที่เครื่องในการทำธุรกรรมได้ เป็นต้น หลังจากการติดตั้งแอพพลิเคชันจะส่งรายการแพ็กเกจที่ติดตั้งบนอุปกรณ์ที่ติดไวรัสเพื่อติดตั้ง Payload ต่าง ๆ และแก้ไข หรือร้องขอสิทธิต่าง ๆ ในการเข้าถึงแอพพลิเคชันอื่นๆเพิ่มเติม

ควรหลีกเลี่ยงการติดตั้งแอพพลิเคชันที่มีความสามารถที่ดูเกินจริง การตรวจสอบรีวิวของผู้ใช้รายอื่นอาจช่วยหลีกเลี่ยงแอพพลิเคชันที่เป็นอันตรายได้

ที่มา : Bleepingcomputer

Microsoft วางแผนที่จะกำจัดมัลแวร์ที่ส่งผ่าน Macros ของ Office

Microsoft ประกาศว่า จะทำให้การเปิดใช้งาน VBA Macros ใน Microsoft Office ได้ยากขึ้น VBA Macros เป็นฟีเจอร์ที่มีประโยชน์สำหรับผู้ใช้งาน แต่ก็เป็นจุดอ่อนที่แฮกเกอร์ใช้เป็นช่องทางในการแพร่กระจาย Malware จึงจำเป็นที่ต้องกำจัดจุดอ่อนนี้เพื่อความปลอดภัยของผู้ใช้งานโดยจะเริ่มต้นในช่วงเดือนเมษายนนี้

การใช้ VBA Macros ที่มีอยู่ในเอกสาร Office เป็นวิธีที่นิยมอย่างมากในการแพร่กระจาย malware ที่เป็นอันตราย และการโจมตีแบบฟิชชิ่งจากมัลแวร์ต่างๆเช่น Emotet , TrickBot , Qbot และ Dridex อีกด้วย

“โดยการจัดการในครั้งนี้มีผลเฉพาะกับ Office บนอุปกรณ์ที่ใช้ Windows และแอปพลิเคชันต่อไปนี้เท่านั้น: Access, Excel, PowerPoint, Visio และ Word" Microsoft Office Product Group ได้กล่าวไว้

Microsoft จะเริ่มจัดการฟีเจอร์ Macros ในเวอร์ชัน 2023 ของ Microsoft 365 ซึ่งคาดว่าจะมีผลในต้นเดือนเมษายน 2022

หลังจากตัดสินใจบล็อคฟีเจอร์ Macros แล้ว ผู้ใช้ Office จะไม่สามารถเปิดใช้งาน Macors ได้อีก เพื่อเป็นการหยุดการแพร่กระจายของ Malware บนเครือข่ายโดยอัตโนมัติเมื่อเปิด Office docs ที่อันตราย รวมถึงโทรจันที่พยายามขโมยข้อมูลต่างๆ และเครื่องมือที่เป็นอันตรายที่ใช้โดยแก๊งแรนซัมแวร์

ณ ปัจจุบัน จนกว่าการบล็อกจะมีผลบังคับใช้ ถ้ามีการเปิดเอกสาร จะมีการตรวจสอบว่ามันถูกแท็กด้วย " Mark of the Web " (MoTW) หรือไม่ ซึ่งจะหมายความว่าไฟล์นั้นได้ถูกดาวน์โหลดมาจากอินเทอร์เน็ต

หากพบแท็ก " Mark of the Web " Microsoft จะเปิดเอกสารในโหมดอ่านอย่างเดียว บล็อกการใช้งานเว้นแต่ผู้ใช้จะคลิกที่ปุ่ม ' Enable Editing ' หรือ ' Enable Content ' ที่แสดงที่ด้านบนของเอกสาร

ดังนั้นการลบปุ่มเหล่านี้ออก บล็อกมาโครจากแหล่งที่ไม่น่าเชื่อถือโดยค่าเริ่มต้น เอกสารที่เป็นอันตรายส่วนใหญ่จะไม่สามารถทำงานได้ ซึ่งเป็นการหยุดการแพร่กระจายของมัลแวร์โดยแฮกเกอร์ที่ใช้ช่องโหว่นี้

จากข้อมูลของ Microsoft การปรับปรุงความปลอดภัยที่สำคัญนี้จะเผยแพร่ไปยังช่องทางการอัปเดต Office อื่นๆ เช่น Current Channel, Monthly Enterprise Channel, and Semi-Annual ในภายหลัง

และจะมีการอัปเดตการเปลี่ยนแปลงนี้ให้กับผู้ใช้ Office LTSC, Office 2021, Office 2019, Office 2016 และ Office 2013 ในอนาคต

“เราจะยังคงปรับปรุงการใช้งาน macro สำหรับผู้ใช้งานของเราอย่างต่อเนื่อง ทั้งนี้เพื่อทำให้ยากขึ้นที่จะหลอกให้ผู้ใช้เรียกใช้โค้ดที่เป็นอันตรายผ่าน social engineering ในขณะที่การใช้มาโครที่ถูกต้อง ยังสามารถเปิดใช้งานได้ตามความเหมาะสมผ่าน Publisher ที่เชื่อถือได้ และ/หรือ Location ที่เชื่อถือได้” Tristan Davis จาก Microsoft กล่าว

ถึงกระนั้นหลังจากที่ Office อัปเดตเปิดตัว และบล็อกฟีเจอร์ Macros ในเอกสารที่ดาวน์โหลดจากอินเทอร์เน็ต แต่เราจะยังคงสามารถเปิดใช้งานได้โดยไปที่ properties ของเอกสารและเลือกปุ่ม " Unlock " ที่ด้านล่างขวา

เมื่อเดือนที่แล้ว Microsoft ยังกล่าวด้วยว่า มาโคร Excel 4.0 (XLM) จะถูกปิดใช้งาน เพื่อป้องกันลูกค้าจากเอกสารอันตรายที่ออกแบบมาเพื่อติดตั้งมัลแวร์

การเปลี่ยนแปลงดังกล่าวได้รับการประกาศครั้งแรกในเดือนตุลาคมเมื่อ Microsoft เปิดเผยครั้งแรกว่า จะปิดการใช้งานมาโคร XLM ทั้งหมด หากผู้ใช้หรือผู้ดูแลระบบไม่ได้เปิดหรือปิดฟีเจอร์ด้วยตนเอง

ที่มา : bleepingcomputer

Fake Windows 11 upgrade installers infect you with RedLine malware

มัลแวร์ RedLine ปลอมเป็นตัวติดตั้งอัปเกรด Windows 11

ผู้โจมตีได้เริ่มเผยแพร่ตัวติดตั้งอัปเกรด Windows 11 ปลอม ให้กับผู้ใช้ Windows 10 ดาวน์โหลด แต่จะเป็นการถูกติดตั้งมัลแวร์ RedLine แทน ซึ่งมัลแวร์ได้ใช้ช่วงเวลาเดียวกันกับที่ทาง Microsoft ได้ประกาศเผยแพร่การอัปเกรด Windows 11 ในการแพร่กระจายตัวติดตั้งปลอมนี้

มัลแวร์ Redline stealer
Redline stealer ** เป็นมัลแวร์ที่ถูกใช้งานอย่างแพร่หลาย มีคุณสมบัติในการขโมยข้อมูล Credentials คุกกี้ของเบราว์เซอร์ บัตรเครดิต และขโมยข้อมูลกระเป๋าเงินดิจิทัล มีความสามารถในการโหลด Payload C2 server

ขั้นตอนของการโจมตี
นักวิจัยของ HP ได้วิเคราะห์แคมเปญนี้ว่า

ผู้โจมตีใช้โดเมน "windows-upgraded[.]com" ซึ่งถูกออกแบบเว็บไซต์ให้เหมือน Windows 11 ที่ถูกต้อง
เมื่อกด "DOWNLOAD NOW" ระบบจะทำการดาวน์โหลดไฟล์
Windows11InstallationAssistant.

FinSpy Malware แพร่ระบาดระบบ Windows ด้วย UEFI Bootkit

 

มัลแวร์ FinFisher ได้รับการอัปเกรดเพื่อแพร่กระจายไปบนอุปกรณ์ Windows โดยใช้ชุดบูต UEFI (Unified Extensible Firmware Interface) โดยใช้ประโยชน์จาก Windows Boot Manager ซึ่งทำให้ Attack Vector ที่นำไปสู่การติดมัลแวร์เปลี่ยนไป ทำให้สามารถหลบเลี่ยงการตรวจจับ และการวิเคราะห์ได้

FinFisher (หรือที่รู้จักในชื่อ FinSpy หรือ Wingbird) ถูกตรวจพบตั้งแต่ปี 2011 โดยเป็นสปายแวร์สำหรับ Windows, macOS และ Linux ที่พัฒนาโดยบริษัท Anglo-German firm Gamma International ซึ่งมักจะจัดหาซอฟแวร์สอดแนมให้กับหน่วยงานบังคับใช้กฎหมาย และหน่วยข่าวกรองโดยเฉพาะ เช่นเดียวกับ Pegasus ของ NSO Group

FinFisher จะรวบรวมข้อมูล Credential ของผู้ใช้ รายชื่อไฟล์ เอกสารสำคัญ บันทึกการกดแป้นพิมพ์ เนื้อหาในอีเมลจาก Thunderbird, Outlook, Apple Mail และ Icedove ดักจับข้อมูลผู้ใช้บน Skype ข้อความแชท การโทร และโอนไฟล์ต่างๆ รวมไปถึงการบันทึกเสียง และวิดีโอโดยการเข้าถึงไมโครโฟน และเว็บแคมของเครื่องเหยื่อ

ในขณะที่เครื่องมือนี้เคยใช้งานผ่านตัวติดตั้งที่ถูกดัดแปลงของแอปพลิเคชัน เช่น TeamViewer, VLC และ WinRAR การอัปเดตที่ตามมาในปี 2014 ทำให้เกิดการติดผ่าน Master Boot Record (MBR) โดยมีเป้าหมายเพื่อโหลดไฟล์ที่เป็นอันตราย ในลักษณะที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับ

ฟีเจอร์ล่าสุดที่เพิ่มเข้ามาคือความสามารถในการปรับใช้ UEFI bootkit เพื่อโหลด FinSpy โดยตัวอย่างใหม่แสดงคุณสมบัติแทนที่ Windows UEFI boot loader ด้วยตัวแปรที่เป็นอันตราย และวิธีการหลีกเลี่ยงการตรวจจับอื่นๆ ทีมวิจัย และวิเคราะห์ระดับโลก (GReAT) ของ Kaspersky กล่าวว่าวิธีการติดไวรัสนี้ทำให้ผู้โจมตีสามารถติดตั้ง bootkit ได้โดยไม่ต้องผ่านการตรวจสอบความปลอดภัยของเฟิร์มแวร์

ที่มา : thehackernews.

มัลแวร์ FontOnLake แพร่ระบาดบน Linux ผ่านยูทิลิตี้โทรจัน

มัลแวร์ชนิดใหม่ที่มีชื่อว่า FontOnLake พึ่งถูกค้นพบ ได้เริ่มแพร่ระบาดบน Linux โดยซ่อนอยู่ใน Legitimate binaries มัลแวร์ FontOnLake ยังพบว่ามีการแพร่กระจายอยู่ในวงแคบ และด้วยการออกแบบมาอย่างดีทำให้ตัวมันสามารถฝังตัวอยู่บนเครื่องที่ติดมัลแวร์ได้นานขึ้น

ซ่อนอยู่ภายใน Legit utilities

FontOnLake มีหลายโมดูลที่ใช้งานร่วมกัน และเปิดการเชื่อมต่อกลับไปยังผู้ควบคุมตัวมัน เพื่อดำเนินการขโมยข้อมูลที่มีความสำคัญ และพยายามซ่อนตัวอยู่บนเครื่องที่ติดมัลแวร์ให้ได้นานที่สุด

นักวิจัยที่ ESET พบตัวอย่างมัลแวร์จำนวนหนึ่งที่ถูกอัปโหลดไปยัง VirusTotal ตลอดทั้งปีที่ผ่านมา โดยตัวอย่างแรกพบในเดือนพฤษภาคม 2020

FontOnLake ถูกให้ความสนใจเนื่องจากวิธีที่ใช้ในการซ่อนตัว และการออกแบบการทำงานที่ซับซ้อน ซึ่งมีแนวโน้มว่าจะถูกใช้ในการโจมตีแบบกำหนดเป้าหมาย (Target Attack) โดยผู้โจมตีที่มีการใช้ Command and control (C2) เซิร์ฟเวอร์ที่ไม่เหมือนกันเลยจากการตรวจสอบจากตัวอย่างเกือบทั้งหมด รวมไปถึงพอร์ตที่ใช้ด้วย

นักวิจัยของ ESET พบว่าวิธีแพร่กระจายของ FontOnLake นั้นผ่านทางแอพพลิเคชั่นโทรจัน แต่ยังไม่ทราบวิธีการที่ใช้หลอกให้เหยื่อดาวน์โหลดตัวมัน

ในบรรดา Linux utilities ที่ FontOnLake ใช้ได้แก่:

cat - ใช้สำหรับโชว์เนื้อหาของไฟล์
kill - แสดงรายการโปรเซสที่ทำงานอยู่ทั้งหมด
sftp - Secure FTP utility
sshd - OpenSSH เซิร์ฟเวอร์โปรเซส

จากข้อมูลของนักวิจัย ยูทิลิตี้โทรจันมีแนวโน้มที่จะถูกแก้ไขตั้งแต่ระดับซอร์สโค้ด ซึ่งบ่งชี้ว่าผู้โจมตีได้ทำการดัดแปลง และเอาไปแทนที่ยูทิลิตี้เดิมที่ถูกต้องตั้งแต่แรก

นอกเหนือจากการใช้ส่งมัลแวร์เข้าไปที่เครื่องแล้ว ไบนารีที่ถูกดัดแปลงพวกนี้ยังใช้สำหรับการโหลดเพย์โหลดเพิ่มเติม รวบรวมข้อมูล หรือดำเนินการโจมตีอื่นๆ

นักวิจัยค้นพบแบ็คดอร์ที่ถูกพัฒนาขึ้นเองสามตัวที่เขียนด้วยภาษา C++ ซึ่งเชื่อมโยงกับตระกูลมัลแวร์ FontOnLake ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงเครื่องที่ถูกยึดไว้จากระยะไกลได้ ฟังก์ชันทั่วไปสำหรับทั้งสามตัวคือการขโมยข้อมูล sshd แอคเคาท์ และ bash command ที่เคยใช้ และส่งไปยังเซิร์ฟเวอร์ C2 โดยมีการใช้คำสั่ง heartbeat ที่สร้างขึ้นเองเพื่อรักษาการเชื่อมต่อกับเซิร์ฟเวอร์ C2 อีกด้วย

Based on open-source rootkit
ในรายงานทางเทคนิคที่เผยแพร่ในสัปดาห์นี้ ESET ตั้งข้อสังเกตว่าการมีอยู่ของ FontOnLake ในระบบที่ถูกบุกรุกนั้นถูกซ่อนด้วย rootkit ซึ่งมีหน้าที่ในการอัปเดตการเชื่อมต่อของ backdoors

 

 

 

 

 

 

 

ตัวอย่าง rootkit ทั้งหมดที่ ESET พบใน kernel เป้าหมายเวอร์ชัน 2.6.32-696.el6.x86_64 และ 3.10.0-229.el7.X86_64 ทั้งสองเวอร์ชันที่ค้นพบนั้นใช้ open-source rootkit project อายุแปดปีที่เรียกว่า Suterusu ที่สามารถซ่อนโปรเซส ไฟล์ และการเชื่อมต่อออกไปภายนอกได้

นักวิจัยเชื่อว่าผู้สร้าง FontOnLake มีความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อย่างมาก และมีการปิดการใช้งานเซิร์ฟเวอร์ C2 ที่ใช้ทันทีที่พบว่ามีตัวอย่างถูกอัพโหลดเข้าไปตรวจสอบที่ VirusTotal

ที่มา: bleepingcomputer