นักวิจัยด้านความปลอดภัยพบ Malware-as-a-Service (MaaS) ตัวใหม่ชื่อ 'BunnyLoader' ซึ่งมีการโฆษณาขายบนฟอรัมของแฮ็กเกอร์หลายแห่ง โดยระบุว่าเป็น fileless loader ที่สามารถขโมย และแทนที่เนื้อหาของคลิปบอร์ดบนระบบได้

โดยมัลแวร์ตัวนี้กำลังอยู่ระหว่างการพัฒนาอย่างรวดเร็ว โดยมีการอัปเดตเพิ่มฟีเจอร์ใหม่ ๆ และแก้ไขข้อผิดพลาดอย่างต่อเนื่อง ซึ่งปัจจุบันสามารถดาวน์โหลด และเรียกใช้เพย์โหลด บันทึกคีย์ ขโมยข้อมูลสำคัญ และสกุลเงินดิจิทัล และรันคำสั่งจากระยะไกลได้

BunnyLoader เวอร์ชันแรกถูกพบเมื่อวันที่ 4 กันยายน หลังจากนั้นได้มีการเพิ่มฟังก์ชันใหม่ ๆ เช่น กลไกป้องกันการตรวจจับหลายแบบ และความสามารถในการขโมยข้อมูลเพิ่มเติม และมีการปล่อยเวอร์ชันที่สองในช่วงปลายเดือนนี้

นักวิจัยจากบริษัทรักษาความปลอดภัยบนคลาวด์ Zscaler ระบุว่า BunnyLoader กำลังได้รับความนิยมอย่างรวดเร็วในหมู่อาชญากรไซเบอร์ในฐานะมัลแวร์ที่มีฟีเจอร์ที่หลากหลาย และมีราคาถูก

ภาพรวมของ BunnyLoader

แผงควบคุมคำสั่งของ BunnyLoader ช่วยให้แม้แต่อาชญากรไซเบอร์ที่มีทักษะต่ำก็สามารถตั้งค่าเพย์โหลด second-stage เปิดใช้งานการบันทึกคีย์ ขโมยข้อมูล credential การจัดการข้อมูลบนคลิปบอร์ด (เพื่อขโมยสกุลเงินดิจิทัล) และรันคำสั่งระยะไกลบนอุปกรณ์ที่ถูกโจมตีได้

ในรายงานล่าสุด นักวิจัยระบุว่าหลังจากถูกเรียกใช้บนอุปกรณ์ที่ถูกโจมตี BunnyLoader จะสร้างค่าใหม่ใน Windows Registry เพื่อให้สามารถทำงานได้อย่างต่อเนื่อง ซ่อนหน้าต่างตัวเอง ตั้งค่า mutex เพื่อป้องกันการเข้าถึงข้อมูลพร้อมกัน และลงทะเบียนชื่อเหยื่อในแผงควบคุม

มัลแวร์ดำเนินการตรวจสอบหลายรายการเพื่อระบุว่ามันกำลังทำงานบน sandbox หรือ simulated environment อยู่หรือไม่ หากใช่ มัลแวร์จะแสดงข้อผิดพลาดเกี่ยวกับ incompatibility กับระบบ

นอกเหนือจากฟังก์ชันดังกล่าวแล้ว มัลแวร์ยังมีโมดูลสำหรับขโมยข้อมูลที่เก็บไว้ในเว็บเบราว์เซอร์ (รหัสผ่าน บัตรเครดิต ประวัติการเรียกดู) กระเป๋าสกุลเงินดิจิทัล VPNs แอปส่งข้อความ และอื่น ๆ ซึ่งทำหน้าที่เป็นโปรแกรมขโมยข้อมูลทั่วไป

ข้อมูลที่ขโมยมาทั้งหมดจะถูกบีบอัดเป็นไฟล์ ZIP ก่อนที่จะถูกส่งออกไปยังเซิร์ฟเวอร์สั่งการ และควบคุม (C2) ของผู้โจมตี

จากรายงานของนักวิจัย BunnyLoader รองรับการเขียนเพย์โหลดไปยังดิสก์ก่อนที่จะทำการเรียกใช้ และสามารถรันเพย์โหลดจากหน่วยความจำบนระบบ (fileless) โดยใช้เทคนิค process hollowing

การพัฒนาอย่างรวดเร็ว

Zscaler ได้ติดตามการพัฒนา และประกาศต่าง ๆ ของมัลแวร์บนฟอรัมแฮ็กเกอร์หลายแห่ง และพบว่ามัลแวร์นี้ได้รับการอัปเดตหลายครั้งตั้งแต่เปิดตัวครั้งแรก

ไทม์ไลน์ในการพัฒนาของ BunnyLoader

v1.0 (Sept 4): เปิดตัวครั้งแรก
v1.1 (Sept 5): แก้ไขข้อผิดพลาดของไคลเอนต์, เพิ่มการบีบอัดบันทึกข้อมูลก่อนอัปโหลด และเพิ่มคำสั่ง "pwd" สำหรับ reverse shell
v1.2 (Sept 6): ปรับปรุงความสามารถในการขโมยข้อมูลด้วยการกู้คืนประวัติเบราว์เซอร์, การกู้คืนโทเค็นการรับรองความถูกต้องของ NGRok และการรองรับเส้นทางเบราว์เซอร์ Chromium เพิ่มเติม
v1.3 (Sept 9): เพิ่มการกู้คืนข้อมูลบัตรเครดิตสำหรับ 16 ประเภทบัตร และแก้ไขข้อผิดพลาดบน C2
v1.4 (Sept 10): ดำเนินการหลบเลี่ยงโปรแกรมป้องกันไวรัส
v1.5 (Sept 11): เพิ่มความสามารถในการกู้คืน VPN ในการขโมยข้อมูล แก้ไขข้อผิดพลาดของตัวโหลด fileless และเพิ่มประสิทธิภาพในการโหลดบันทึกข้อมูล
v1.6 (Sept 12): เพิ่มเครื่องมือดูประวัติการดาวน์โหลด และเทคนิคป้องกันของ sandbox
v1.7 (Sept 15): ปรับปรุงการหลบเลี่ยงโปรแกรมป้องกันไวรัส
v1.8 (Sept 15): เพิ่มฟังก์ชันการทำงานของ keylogger และแก้ไขข้อผิดพลาดต่าง ๆ
v1.9 (Sept 17): ปรับปรุงโปรแกรมขโมยข้อมูลด้วยความสามารถในการกู้คืนข้อมูลเกม เส้นทางเบราว์เซอร์ Chromium เพิ่มเติม และการกู้คืนเดสก์ทอปวอลเล็ต
v2.0 (Sept 27): อัปเดต GUI ของ C2 แก้ไขช่องโหว่ที่สำคัญ รวมถึง SQL injection และ XSS เพิ่มการตรวจจับการพยายามโจมตีช่องโหว่ และเพิ่มประสิทธิภาพของโปรแกรมขโมยข้อมูล และตัวโหลด fileless ให้ดียิ่งขึ้น

ในปัจจุบัน BunnyLoader ขายในราคา $250 ในขณะที่รุ่น "private stub" ซึ่งมีฟีเจอร์ป้องกันการวิเคราะห์ที่แข็งแกร่งกว่า การฝังตัวในหน่วยความจำ การหลบเลี่ยงโปรแกรมป้องกันไวรัส และกลไกการคงอยู่เพิ่มเติม ขายในราคา $350

ในราคาที่ค่อนข้างต่ำนี้ เมื่อรวมกับการพัฒนาที่รวดเร็ว ทำให้ BunnyLoader เป็นตัวเลือกที่น่าสนใจสำหรับอาชญากรไซเบอร์ ที่กำลังมองหาข้อเสนอพิเศษในระยะแรกสำหรับมัลแวร์รุ่นใหม่ ๆ ก่อนที่จะเป็นที่รู้จัก และมีการเพิ่มราคา

ที่มา : bleepingcomputer.

ช่องโหว่ Zero-day ของ WinRAR (CVE-2023-38831) กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง โดยผู้โจมตีจะหลอกล่อให้เหยื่อคลิกเปิดไฟล์ archive เพื่อติดตั้งมัลแวร์ ซึ่งอาจทำให้ Hacker สามารถขโมยบัญชีซื้อขายสกุลเงินดิจิทัลออนไลน์ได้ โดยนักวิจัยพบว่าช่องโหว่ดังกล่าวได้ถูกนำมาใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2023 เพื่อแพร่กระจายมัลแวร์ต่าง ๆ เช่น DarkMe, GuLoader และ Remcos RAT

CVE-2023-38831 เป็นช่องโหว่ Zero-day ของ WinRAR ที่ทำให้สามารถสร้างไฟล์ .RAR และ .ZIP ที่เป็นอันตราย ซึ่งแสดงไฟล์ที่ดูเหมือนไม่มีอันตราย เช่น รูปภาพ JPG (.jpg), ไฟล์ข้อความ (.txt), หรือเอกสาร PDF (.pdf) แต่เมื่อเหยื่อทำการเปิดไฟล์ดังกล่าว ช่องโหว่ก็จะทำการเรียกสคริปต์เพื่อติดตั้งมัลแวร์บนอุปกรณ์ โดย Group-IB เป็นผู้ค้นพบช่องโหว่ CVE-2023-38831 ในเดือนกรกฎาคม 2023 และได้ทำการเผยแพร่รายละเอียดข้อมูลของช่องโหว่ดังกล่าวแล้ว

โดยทาง BleepingComputer ได้ทดสอบเปิดไฟล์ที่เป็นอันตรายซึ่งถูกแชร์โดย Group-IB ซึ่งเป็นผู้ค้นพบแคมเปญการโจมตี ซึ่งพบว่าเพียงดับเบิลคลิกบน PDF ก็ทำให้ CMD script ถูกเรียกใช้งานเพื่อติดตั้งมัลแวร์ทันที

ปัจจุบันช่องโหว่ CVE-2023-38831 ได้รับการแก้ไขแล้วในอัปเดตแพตซ์ของ WinRAR เวอร์ชัน 6.23 ที่ออกมาในวันที่ 2 สิงหาคม 2023 ที่ผ่านมา โดยได้แก้ไขช่องโหว่ต่าง ๆ รวมถึงช่องโหว่ CVE-2023-40477 ที่สามารถดำเนินการคำสั่งเมื่อเปิดไฟล์ RAR ที่ถูกสร้างขึ้นมาเป็นพิเศษ

การมุ่งเป้าหมายไปที่ crypto traders

นักวิจัยจาก Group-IB ได้เผยแพร่รายงานการค้นพบช่องโหว่ WinRAR Zero-day ได้ถูกใช้เพื่อมุ่งเป้าหมายการโจมตีไปยังฟอรัมที่เกี่ยวกับ cryptocurrency โดย Hacker ได้ปลอมตัวเป็นผู้ที่มาให้ความรู้ และข้อมูลกลยุทธ์การซื้อขาย ซึ่งโพสต์ในฟอรัมจะมีการแนบลิงก์ไปยังไฟล์ WinRAR ZIP หรือ RAR ที่ถูกสร้างขึ้นมาเป็นพิเศษ ซึ่งประกอบด้วย PDF ไฟล์ข้อความ และรูปภาพ

โดยเอกสารที่แนบมานั้นจะมีชื่อที่ถูกโพสต์ในฟอรัม เช่น "กลยุทธ์ส่วนตัวที่ดีที่สุดในการแลกเปลี่ยนกับ Bitcoin" เพื่อหลอกล่อให้เหยื่อทำการดาวน์โหลด ซึ่งไฟล์อันตรายดังกล่าวได้ถูกเผยแพร่ในฟอรัมการซื้อขายสาธารณะกว่า 8 แห่ง ซึ่งแพร่ระบาดไปยังอุปกรณ์ของผู้ใช้งานที่ได้รับการยืนยันแล้วกว่า 130 ราย โดยขณะนี้ยังไม่ทราบจำนวนเหยื่อ และมูลค่าความเสียหายทางการเงินที่เกิดจากแคมเปญดังกล่าว

ขั้นตอนในการโจมตีประกอบไปด้วย

เมื่อเหยื่อทำการเปิดไฟล์ จะเห็นสิ่งที่ดูเหมือนเป็นไฟล์ที่ไม่เป็นอันตราย เช่น PDF โดยมีโฟลเดอร์ที่ตรงกับชื่อไฟล์เดียวกัน

เมื่อเหยื่อดับเบิลคลิกที่ PDF ช่องโหว่ CVE-2023-38831 จะทำการเรียกสคริปต์ในโฟลเดอร์ เพื่อติดตั้งมัลแวร์บนอุปกรณ์ในเวลาเดียวกัน ซึ่งสคริปต์เหล่านี้จะโหลดเอกสารหลอกล่อเพื่อไม่ให้เหยื่อเกิดความสงสัย

ช่องโหว่ดังกล่าวจะสร้างไฟล์เป็นพิเศษด้วยโครงสร้างที่ได้รับการปรับเปลี่ยนเล็กน้อยเมื่อเปรียบเทียบกับไฟล์ที่ปลอดภัย ซึ่งทำให้ฟังก์ชัน ShellExecute ของ WinRAR ได้รับ parameter ที่ไม่ถูกต้องเมื่อพยายามเปิดไฟล์ล่อ ส่งผลให้โปรแกรมข้ามไฟล์ที่ไม่เป็นอันตราย และค้นหา และเรียกใช้ CMD script แทน ดังนั้นแม้ว่าเหยื่อจะคิดว่าได้ทำการเปิดไฟล์ที่ปลอดภัย แต่โปรแกรมจะเปิดไฟล์อื่นขึ้นมาแทน

ซึ่ง CMD script จะทำการเรียกใช้ไฟล์ self-extracting (SFX) CAB เพื่อติดตั้งมัลแวร์ต่าง ๆ เช่น DarkMe, GuLoader และ Remcos RAT ลงบนเครื่องเหยื่อ เพื่อให้สามารถเข้าถึงได้จากระยะไกล

DarkMe malware มีความเชื่อมโยงกับกลุ่ม EvilNum ที่มีเป้าหมายทางการเงิน แต่ปัจจุบันยังไม่พบความเชื่อมโยงของกลุ่ม EvilNum และช่องโหว่ CVE-2023-38831

Remcos RAT เป็น malware ที่ทำให้ Hacker สามารถควบคุมอุปกรณ์ที่ถูกโจมตีได้อย่างมีประสิทธิภาพมากขึ้น รวมถึงการสั่งการจากระยะไกล, keylogging, การจับภาพหน้าจอ การจัดการไฟล์ และการทำ reverse proxy ช่วยเพิ่มความสามารถในการโจมให้ดียิ่งขึ้น

ดังนั้นผู้ใช้ WinRAR จึงควรอัปเดตให้เป็นเวอร์ชันล่าสุด คือ WinRAR version 6.23 เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าวโดยด่วน

 

ที่มา : bleepingcomputer

มัลแวร์บน Apple macOS เวอร์ชันใหม่ที่เรียกว่า XLoader ได้ปรากฏตัวขึ้นโดยการปลอมแปลงฟีเจอร์ที่เป็นอันตรายภายใต้หน้ากากของแอปเพิ่มประสิทธิภาพการทำงานในสำนักงานที่เรียกว่า "OfficeNote"

นักวิจัยด้านความปลอดภัยจาก SentinelOne ชื่อ Dinesh Devadoss และ Phil Stokes ได้ระบุในรายงานการวิเคราะห์เมื่อวันจันทร์ที่ผ่านมา (21 ส.ค. 2023) ว่า "เวอร์ชันใหม่ของ XLoader ถูกรวมอยู่ในไฟล์ Apple disk image ด้วยชื่อ OfficeNote.

นักวิจัยพบแคมเปญขนาดใหญ่ที่ส่งแอปพลิเคชันพร็อกซีเซิร์ฟเวอร์ไปยังระบบปฏิบัติการ windows อย่างน้อย 400,000 ระบบ โดยอุปกรณ์เหล่านี้ทำหน้าที่เป็น exit nodes โดยไม่ได้รับความยินยอมจากผู้ใช้งาน และมีบริษัทหนึ่งกำลังถูกตรวจสอบจากทราฟฟิกของพร็อกซีที่ทำงานผ่านเครื่องของบริษัท

Residential proxies มีประโยชน์ต่อผู้โจมตี เพราะสามารถนำไปใช้ในการโจมตีแบบ credential stuffing เนื่องจากทำให้ IP ที่ใช้ในการโจมตีแตกต่างกัน นอกจากนี้ยังมีจุดประสงค์อื่น ๆ เช่น การกดโฆษณา, การรวบรวมข้อมูล, การทดสอบเว็บไซต์ หรือการกําหนด routing เพื่อเพิ่มความเป็นส่วนตัว

บริษัทตัวแทนบางแห่งขายสิทธิ์การเข้าถึง residential proxies และยังเสนอผลตอบแทนทางการเงินให้กับผู้ใช้งานที่ตกลงที่จะแชร์แบนด์วิดท์อีกด้วย (more…)

ทีมนักวิจัยภัยคุกคามทางไซเบอร์ Black Lotus Labs ของ Lumen รายงานการค้นพบ stealthy Linux malware ที่มีชื่อว่า AVrecon ได้แพร่กระจายไปยัง Linux-based small office/home office (SOHO) routers กว่า 70,000 เครื่อง เพื่อสร้าง botnet ที่ออกแบบมาเพื่อแอบใช้งานแบนด์วิดท์ และให้บริการ proxy ทำให้ Hacker สามารถนำไปใช้ในการฉ้อโกงโฆษณาดิจิทัล หรือโจมตีแบบ password spraying ได้ (more…)

นักวิจัยด้านความปลอดภัยพบแคมเปญการโจมตีใหม่จากกลุ่ม Charming Kitten APT ซึ่งเแฮ็กเกอร์ใช้มัลแวร์ตัวใหม่ที่ชื่อว่า NokNok ซึ่งมีเป้าหมายเป็นระบบปฏิบัติการ macOS

แคมเปญดังกล่าวเริ่มต้นในเดือนพฤษภาคม และใช้วิธีการโจมตีต่างจากที่เคยพบมาก่อน โดยใช้ไฟล์ LNK เพื่อปล่อย payloads ที่เป็นอันตรายแทนที่จะใช้เอกสาร Word ที่เป็นอันตรายเหมือนการโจมตีก่อนหน้านี้จากกลุ่มผู้โจมตี

ตามรายงานจาก Mandiant กลุ่ม Charming Kitten ที่เป็นที่รู้จักในชื่อ APT42 หรือ Phosphorus ได้ดำเนินการโจมตีองค์กรต่าง ๆ อย่างน้อย 30 แห่งใน 14 ประเทศตั้งแต่ปี 2015

Google ได้เชื่อมโยงผู้โจมตีกับรัฐบาลอิหร่าน โดยเฉพาะกองพิทักษ์ปฏิวัติอิสลาม (Islamic Revolutionary Guard Corps) โดยในเดือนกันยายน 2022 รัฐบาลสหรัฐฯ สามารถตรวจสอบ และตั้งข้อกล่าวหากับสมาชิกในกลุ่มผู้โจมตีนั้นได้

Proofpoint รายงานว่า กลุ่มผู้โจมตีในปัจจุบันได้เลิกใช้วิธีการโจมตีที่ใช้ macro-based ในเอกสาร Word และกลับมาใช้ไฟล์ LNK เพื่อส่ง payloads ทีี่เป็นอันตรายไปยังเป้าหมายที่ต้องการโจมตี

ส่วนการใช้ phishing และ social engineering ในแคมเปญนี้ แฮ็กเกอร์ปลอมตัวเป็นผู้เชี่ยวชาญด้านนิวเคลียร์จากสหรัฐฯ และชวนเป้าหมายโดยมีข้อเสนอให้ตรวจสอบร่างจดหมายเรื่องนโยบายต่างประเทศ

ในหลายกรณี ผู้โจมตีมีการนำบุคคลอื่นเข้ามาเกี่ยวข้องในการสนทนาเพื่อเพิ่มความน่าเชื่อถือ และสร้างความสัมพันธ์กับเป้าหมาย

การโจมตีบน Windows

หลังจากที่ได้รับความไว้วางใจจากเป้าหมาย กลุ่ม Charming Kitten จะส่งลิงก์ที่เป็นอันตรายซึ่งประกอบด้วย Google Script macro ที่เปลี่ยนเส้นทางการเชื่อมต่อของเหยื่อไปยัง URL ของ Dropbox ซึ่งจะเป็นที่มาของไฟล์ RAR ที่มีการใส่รหัสผ่านไว้ โดยภายในมีโปรแกรมอันตรายซึ่งใช้ PowerShell code และไฟล์ LNK เพื่อทำการติดตั้งมัลแวร์

โดย Payload ขั้นสุดท้ายคือ GorjolEcho ซึ่งเป็น Simple backdoor และสามารถรับส่งคำสั่งจากผู้โจมตีจากภายนอกได้ และเพื่อหลีกเลี่ยงการตรวจจับ GorjolEcho จะเปิดไฟล์ PDF เกี่ยวกับหัวข้อที่เกี่ยวข้องกับการสนทนา ที่ผู้โจมตีมีกับเป้าหมายก่อนหน้านี้

การโจมตีบน macOS

หากเป็นเหยื่อที่ใช้ระบบปฏิบัติการ macOS ซึ่งโดยทั่วไปแฮ็กเกอร์จะรู้ตัวหลังจากที่พวกเขาล้มเหลวในการโจมตีด้วย Windows payload จากนั้นผู้โจมตีจะส่งลิงก์ใหม่ไปยัง "library-store[.]camdvr[.]org" ซึ่งเป็นที่เก็บไฟล์ ZIP ซึ่งปลอมตัวเป็นแอป VPN ของ RUSI (Royal United Services Institute)

 

เมื่อทำการเรียกใช้ไฟล์ Apple script คำสั่ง curl จะดึงข้อมูลที่เรียกว่า NokNok payload และสร้างช่องโหว่เพื่อเข้าสู่ระบบของเหยื่อ

โดย NokNok จะสร้างการเก็บรวบรวมข้อมูลบนระบบ แล้วใช้โมดูลสคริปต์ bash ทั้งหมด 4 โมดูลเพื่อเตรียมการแฝงตัวบนระบบ ทำการเชื่อมต่อกับเซิร์ฟเวอร์ command and control (C2) และเริ่มการส่งออกข้อมูลไปยังเซิร์ฟเวอร์ดังกล่าว

NokNok เป็นมัลแวร์ที่สามารถเก็บข้อมูลบนระบบ ที่ประกอบด้วยเวอร์ชันของระบบปฏิบัติการ Process ที่กำลังทำงาน และแอปพลิเคชันที่ติดตั้งไว้ ซึ่งมัลแวร์จะเข้ารหัสข้อมูลที่เก็บรวบรวมทั้งหมดในรูปแบบ base64 แล้วส่งข้อมูลออกจากระบบ

Proofpoint ยังระบุว่า NokNok อาจมีฟังก์ชันที่เกี่ยวข้องกับการสอดแนม ในเชิงสืบสวนที่เฉพาะเจาะจงมากขึ้นผ่านโมดูลอื่นที่ยังไม่เคยเห็นมาก่อน โดยข้อสงสัยนี้มาจากความคล้ายคลึงของโค้ดกับ GhostEcho ที่ได้รับการวิเคราะห์มาก่อนจาก Check Point

โดยใน Backdoor นั้น มีโมดูลที่ช่วยในการจับภาพหน้าจอ การสั่งรันคำสั่ง และการลบร่องรอยการโจมตีไว้ ทำให้มีความเป็นไปได้ที่ NokNok ก็อาจมีฟังก์ชันเหล่านี้ด้วย

โดยรวมแล้ว แคมเปญนี้เป็นการแสดงให้เห็นว่ากลุ่ม Charming Kitten มีความสามารถในระดับสูง สามารถกำหนดเป้าหมายไปยังระบบ macOS ได้เมื่อจำเป็น และแสดงให้เห็นถึงอันตรายจากแคมเปญมัลแวร์สำหรับผู้ใช้ macOS

ที่มา : BLEEPINGCOMPUTER

นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบพฤติกรรมของ TrueBot เพิ่มขึ้นในเดือนพฤษภาคม 2023

Fae Carlisle นักวิจัยจาก VMware ระบุว่า "TrueBot เป็นโทรจันบอตเน็ต ที่ใช้ C2 Server เก็บรวบรวมข้อมูลที่เกี่ยวกับระบบที่ถูกโจมตี และใช้ระบบที่ถูกโจมตีนั้นเป็นจุดเริ่มต้นในการโจมตีครั้งถัดไป"

TrueBot ถูกพบครั้งแรกตั้งแต่ปี 2017 และมีความเกี่ยวข้องกับกลุ่ม Silence ซึ่งเชื่อว่ามีความเกี่ยวข้องกับกลุ่มอาชญากรทางไซเบอร์ชาวรัสเซียที่ชื่อ Evil Corp

การโจมตีของ TrueBot เมื่อเร็ว ๆ นี้ ได้ใช้ช่องโหว่ระดับ Critical ใน Netwrix Auditor (CVE-2022-31199, CVSS: 9.8) และ Raspberry Robin เป็นช่องทางในการแพร่กระจายมัลแวร์

การโจมตีที่ถูกพบโดย VMware เริ่มต้นด้วยการดาวน์โหลดไฟล์ปฏิบัติการชื่อ "update.

พบมัลแวร์บน Android ตัวใหม่ในชื่อ DogeRAT ที่มุ่งเป้าหมายไปที่องค์กรในหลายภาคอุตสาหกรรม รวมถึงสถาบันการเงิน, เกม และธุรกิจความบันเทิง นอกจากความสามารถในการเข้าถึงจากระยะไกลแล้ว มัลแวร์ยังสามารถทำหน้าที่เป็นคีย์ล็อกเกอร์ และสามารถคัดลอกเนื้อหาจากคลิปบอร์ดได้

ข้อมูลเกี่ยวกับแคมเปญการโจมตี

นักวิจัยจาก CloudSEK เปิดเผยว่าพบการแพร่ระบาดของแคมเปญ DogeRAT ที่มุ่งเป้าไปที่ผู้ใช้งาน Android ในประเทศอินเดีย และคาดว่ามัลแวร์อาจขยายการโจมตีออกไปทั่วโลกได้

ผู้โจมตีได้สร้างแอปพลิเคชันปลอมหลายพันรายการ โดยปลอมเป็นแอปพลิเคชัน และบริการยอดนิยม เช่น Netflix Premium, YouTube Premium, Instagram Pro, Opera Mini browser และ ChatGPT
แอปพลิเคชันที่เป็นอันตรายเหล่านี้ได้กระจายไปทั่วแพลตฟอร์มโซเชียลเน็ตเวิร์คต่าง ๆ
เมื่อติดตั้งแอปพลิเคชันปลอมเหล่านี้ แอปพลิเคชันจะขอสิทธิ์ที่ใช้ในการเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต รวมถึงข้อมูลสำคัญอื่น ๆ เช่น ข้อมูลการเข้าสู่ระบบธนาคาร, รายชื่อผู้ติดต่อ และข้อความ
นอกจากนี้ ยังช่วยให้ผู้โจมตีสามารถดำเนินการเพิ่มเติมต่าง ๆ ได้ เช่น ดำเนินการทำธุรกรรมธนาคารโดยไม่ได้รับอนุญาต, ส่งอีเมลสแปม และถ่ายรูปโดยใช้กล้องของอุปกรณ์

Boeing ถูกโปรโมตให้เป็น MaaS (Malware as a Service)

นักพัฒนาของ DogeRAT ถูกสงสัยว่ามาจากประเทศอินเดีย เนื่องจากมีการใช้งาน DogeRAT ที่เป็น RAT (Remote Access Trojan) โดยใช้ภาษา Java ซึ่งให้เป็นบริการ MaaS (Malware as a Service) ผ่านสองช่องทางใน Telegram

เวอร์ชันโอเพ่นซอร์สของมัลแวร์ถูกจัดเก็บไว้บนโฮสต์ GitHub ซึ่งมาพร้อมกับรายการความสามารถทั้งหมด และวิดีโอสอนการใช้งานคุณสมบัติต่าง ๆ
ผู้พัฒนากำลังโปรโมต DogeRAT เวอร์ชันพรีเมียมเพิ่มเติม ซึ่งเวอร์ชันนี้มีความต่อเนื่องมากขึ้น มีการเชื่อมต่อที่เสถียรมากกับเซิร์ฟเวอร์ C2 และมาพร้อมกับความสามารถเพิ่มเติม เช่น คีย์ล็อกเกอร์, การขโมยภาพจากแกลเลอรี่ และสามารถขโมยข้อมูลจากคลิปบอร์ดได้

ความสามารถที่หลากหลายของ DogeRAT เป็นตัวอย่างการพัฒนาการอย่างรวดเร็วของธุรกิจ MaaS ที่นักพัฒนามัลแวร์กำลังเน้นไปที่มัลแวร์ที่มีคุณสมบัติที่หลากหลาย

แนะนำให้องค์กรควรเตรียมกลยุทธ์ทางไซเบอร์ที่ครอบคลุม และปฏิบัติตามมาตรฐานการรักษาความปลอดภัยทางไซเบอร์

อ้างอิง : https://cyware.

พบตัวอย่างใหม่ของ RapperBot Botnet มีการเพิ่มฟังก์ชัน cryptojacking ที่มีความสามารถในการขุด Cryptocurrency บนคอมพิวเตอร์ที่ใช้ CPU Intel x64

ด้วยการพัฒนาอย่างต่อเนื่อง ในช่วงแรกผู้พัฒนามัลแวร์ได้เพิ่มความสามารถในการขุด Cryptocurrency ซึ่งแยกออกจากการทำงานของ Botnet จนกระทั่งในช่วงปลายเดือนมกราคมที่ผ่านมาฟังก์ชันการขุด Cryptocurrency ก็ถูกรวมเข้ากับ Botnet ในที่สุด

แคมเปญการขุด Cryptocurrency ของ RapperBot

นักวิจัยของ Fortinet's FortiGuard Labs ติดตามปฏิบัติการของ RapperBot ตั้งแต่เดือนมิถุนายน 2565 และรายงานว่า RapperBot นั้นเน้นการโจมตีเซิร์ฟเวอร์ Linux SSH ด้วยวิธีการ brute-force และรวบรวมเซิร์ฟเวอร์เหล่านั้นเพื่อใช้ในการโจมตีแบบ DDoS

จากนั้นในเดือนพฤศจิกายน นักวิจัยพบการอัปเดตเวอร์ชันของ RapperBot ทีใช้การแพร่กระจายตัวเองผ่าน Telnet และรวบรวมคำสั่งที่เหมาะสมกับการโจมตีเซิฟเวอร์ของบริษัทเกม

โดยในสัปดาห์นี้ FortiGuard Labs มีการรายงานเกี่ยวกับเวอร์ชันของ RapperBot ที่มีการใช้ XMRig Monero เพื่อขุด Cryptocurrency บนเครื่องคอมพิวเตอร์ที่ใช้ CPU Intel x64

นักวิจัยระบุว่าแคมเปญนี้เริ่มถูกนำมาใช้งานตั้งแต่เดือนมกราคม และกำหนดเป้าหมายไปที่อุปกรณ์ IoT เป็นหลัก

ปัจจุบันโค้ดสำหรับการขุด Cryptocurrency ได้ถูกรวมเข้ากับ RapperBot และได้รับการเข้ารหัสแบบ double-layer XOR ซึ่งสามาถซ่อน mining pools และ Monero mining addresses จากนักวิเคราะห์ได้อย่างมีประสิทธิภาพ

FortiGuard Labs พบว่า Botnet ดังกล่าวได้มีการตั้งค่าการขุดจาก C2 เซิฟเวอร์ แทนการใช้งาน hardcoded static pool addresses และ multiple pool นอกจากนี้ยังมีการใช้กระเป่าเงินดิจิทัลหลายอันในการสำรองข้อมูล

IP ของ C2 มีการโฮสต์ mining proxy ไว้ 2 ตัว เพื่อให้การตรวจสอบ และติดตามยากยิ่งขึ้น นอกจากนี้หาก C2 เซิฟเวอร์ออฟไลน์ RapperBot เองก็มีการตั้งค่าให้ไปใช้ mining pool สาธารณะแทน

เพื่อเพิ่มประสิทธิภาพการขุดให้สูงสุด มัลแวร์ตัวนี้จะมีการตรวจสอบ และระบุ Process บนเครื่องของเหยื่อ หากพบ Process ของมัลแวร์ตัวอื่น ก็จะหยุดการทำงานของ Process ดังกล่าวอีกด้วย

ในการวิเคระห์ RapperBot เวอร์ชันล่าสุด binary network protocol ที่ใช้สำหรับการติดต่อกับ C2 เซิฟเวอร์ได้รับการปรับปรุงใหม่โดยใช้วิธีการเข้ารหัสแบบ two-layer เพื่อหลบหลีกการตรวจจับ นอกจากนี้ขนาด และช่วงเวลาของการส่ง request ไปยังเซิร์ฟเวอร์ C2 นั้นถูกสุ่มให้มีความแต่กต่างกันเพื่อให้การเชื่อมต่อนั้นตรวจพบได้ยากขึ้น

ในขณะที่นักวิจัยยังไม่สังเกตเห็นคำสั่ง DDoS ที่ส่งมาจากเซิร์ฟเวอร์ C2 ไปยังตัวอย่างที่วิเคราะห์ได้ แต่พวกเขาพบว่าเวอร์ชันล่าสุดของ Bot รองรับคำสั่งดังต่อไปนี้:

Perform DDoS attacks (UDP, TCP, and HTTP GET)
Stop DDoS attacks
Terminate itself (and any child processes)

RapperBot ดูเหมือนจะพัฒนาอย่างรวดเร็ว และเพิ่มความสามารถต่าง ๆ เพื่อเพิ่มรายได้ให้กับกลุ่มผู้โจมตี

เพื่อป้องกันอุปกรณ์จากการโจมตีของ RapperBot และมัลแวร์ที่คล้ายกัน

ผู้ใช้งานควรอัปเดตซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ และปิด Service ที่ไม่จำเป็นต้องใช้งาน
เปลี่ยนรหัสผ่านเริ่มต้นเป็นรหัสผ่านที่รัดกุม
ใช้ Firewall เพื่อ Block request ที่ไม่ได้รับอนุญาต

ที่มา : bleepingcomputer