นักวิจัยด้านความปลอดภัยพบแคมเปญการโจมตีใหม่จากกลุ่ม Charming Kitten APT ซึ่งเแฮ็กเกอร์ใช้มัลแวร์ตัวใหม่ที่ชื่อว่า NokNok ซึ่งมีเป้าหมายเป็นระบบปฏิบัติการ macOS

แคมเปญดังกล่าวเริ่มต้นในเดือนพฤษภาคม และใช้วิธีการโจมตีต่างจากที่เคยพบมาก่อน โดยใช้ไฟล์ LNK เพื่อปล่อย payloads ที่เป็นอันตรายแทนที่จะใช้เอกสาร Word ที่เป็นอันตรายเหมือนการโจมตีก่อนหน้านี้จากกลุ่มผู้โจมตี

ตามรายงานจาก Mandiant กลุ่ม Charming Kitten ที่เป็นที่รู้จักในชื่อ APT42 หรือ Phosphorus ได้ดำเนินการโจมตีองค์กรต่าง ๆ อย่างน้อย 30 แห่งใน 14 ประเทศตั้งแต่ปี 2015

Google ได้เชื่อมโยงผู้โจมตีกับรัฐบาลอิหร่าน โดยเฉพาะกองพิทักษ์ปฏิวัติอิสลาม (Islamic Revolutionary Guard Corps) โดยในเดือนกันยายน 2022 รัฐบาลสหรัฐฯ สามารถตรวจสอบ และตั้งข้อกล่าวหากับสมาชิกในกลุ่มผู้โจมตีนั้นได้

Proofpoint รายงานว่า กลุ่มผู้โจมตีในปัจจุบันได้เลิกใช้วิธีการโจมตีที่ใช้ macro-based ในเอกสาร Word และกลับมาใช้ไฟล์ LNK เพื่อส่ง payloads ทีี่เป็นอันตรายไปยังเป้าหมายที่ต้องการโจมตี

ส่วนการใช้ phishing และ social engineering ในแคมเปญนี้ แฮ็กเกอร์ปลอมตัวเป็นผู้เชี่ยวชาญด้านนิวเคลียร์จากสหรัฐฯ และชวนเป้าหมายโดยมีข้อเสนอให้ตรวจสอบร่างจดหมายเรื่องนโยบายต่างประเทศ

ในหลายกรณี ผู้โจมตีมีการนำบุคคลอื่นเข้ามาเกี่ยวข้องในการสนทนาเพื่อเพิ่มความน่าเชื่อถือ และสร้างความสัมพันธ์กับเป้าหมาย

การโจมตีบน Windows

หลังจากที่ได้รับความไว้วางใจจากเป้าหมาย กลุ่ม Charming Kitten จะส่งลิงก์ที่เป็นอันตรายซึ่งประกอบด้วย Google Script macro ที่เปลี่ยนเส้นทางการเชื่อมต่อของเหยื่อไปยัง URL ของ Dropbox ซึ่งจะเป็นที่มาของไฟล์ RAR ที่มีการใส่รหัสผ่านไว้ โดยภายในมีโปรแกรมอันตรายซึ่งใช้ PowerShell code และไฟล์ LNK เพื่อทำการติดตั้งมัลแวร์

โดย Payload ขั้นสุดท้ายคือ GorjolEcho ซึ่งเป็น Simple backdoor และสามารถรับส่งคำสั่งจากผู้โจมตีจากภายนอกได้ และเพื่อหลีกเลี่ยงการตรวจจับ GorjolEcho จะเปิดไฟล์ PDF เกี่ยวกับหัวข้อที่เกี่ยวข้องกับการสนทนา ที่ผู้โจมตีมีกับเป้าหมายก่อนหน้านี้

การโจมตีบน macOS

หากเป็นเหยื่อที่ใช้ระบบปฏิบัติการ macOS ซึ่งโดยทั่วไปแฮ็กเกอร์จะรู้ตัวหลังจากที่พวกเขาล้มเหลวในการโจมตีด้วย Windows payload จากนั้นผู้โจมตีจะส่งลิงก์ใหม่ไปยัง "library-store[.]camdvr[.]org" ซึ่งเป็นที่เก็บไฟล์ ZIP ซึ่งปลอมตัวเป็นแอป VPN ของ RUSI (Royal United Services Institute)

 

เมื่อทำการเรียกใช้ไฟล์ Apple script คำสั่ง curl จะดึงข้อมูลที่เรียกว่า NokNok payload และสร้างช่องโหว่เพื่อเข้าสู่ระบบของเหยื่อ

โดย NokNok จะสร้างการเก็บรวบรวมข้อมูลบนระบบ แล้วใช้โมดูลสคริปต์ bash ทั้งหมด 4 โมดูลเพื่อเตรียมการแฝงตัวบนระบบ ทำการเชื่อมต่อกับเซิร์ฟเวอร์ command and control (C2) และเริ่มการส่งออกข้อมูลไปยังเซิร์ฟเวอร์ดังกล่าว

NokNok เป็นมัลแวร์ที่สามารถเก็บข้อมูลบนระบบ ที่ประกอบด้วยเวอร์ชันของระบบปฏิบัติการ Process ที่กำลังทำงาน และแอปพลิเคชันที่ติดตั้งไว้ ซึ่งมัลแวร์จะเข้ารหัสข้อมูลที่เก็บรวบรวมทั้งหมดในรูปแบบ base64 แล้วส่งข้อมูลออกจากระบบ

Proofpoint ยังระบุว่า NokNok อาจมีฟังก์ชันที่เกี่ยวข้องกับการสอดแนม ในเชิงสืบสวนที่เฉพาะเจาะจงมากขึ้นผ่านโมดูลอื่นที่ยังไม่เคยเห็นมาก่อน โดยข้อสงสัยนี้มาจากความคล้ายคลึงของโค้ดกับ GhostEcho ที่ได้รับการวิเคราะห์มาก่อนจาก Check Point

โดยใน Backdoor นั้น มีโมดูลที่ช่วยในการจับภาพหน้าจอ การสั่งรันคำสั่ง และการลบร่องรอยการโจมตีไว้ ทำให้มีความเป็นไปได้ที่ NokNok ก็อาจมีฟังก์ชันเหล่านี้ด้วย

โดยรวมแล้ว แคมเปญนี้เป็นการแสดงให้เห็นว่ากลุ่ม Charming Kitten มีความสามารถในระดับสูง สามารถกำหนดเป้าหมายไปยังระบบ macOS ได้เมื่อจำเป็น และแสดงให้เห็นถึงอันตรายจากแคมเปญมัลแวร์สำหรับผู้ใช้ macOS

ที่มา : BLEEPINGCOMPUTER

นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบพฤติกรรมของ TrueBot เพิ่มขึ้นในเดือนพฤษภาคม 2023

Fae Carlisle นักวิจัยจาก VMware ระบุว่า "TrueBot เป็นโทรจันบอตเน็ต ที่ใช้ C2 Server เก็บรวบรวมข้อมูลที่เกี่ยวกับระบบที่ถูกโจมตี และใช้ระบบที่ถูกโจมตีนั้นเป็นจุดเริ่มต้นในการโจมตีครั้งถัดไป"

TrueBot ถูกพบครั้งแรกตั้งแต่ปี 2017 และมีความเกี่ยวข้องกับกลุ่ม Silence ซึ่งเชื่อว่ามีความเกี่ยวข้องกับกลุ่มอาชญากรทางไซเบอร์ชาวรัสเซียที่ชื่อ Evil Corp

การโจมตีของ TrueBot เมื่อเร็ว ๆ นี้ ได้ใช้ช่องโหว่ระดับ Critical ใน Netwrix Auditor (CVE-2022-31199, CVSS: 9.8) และ Raspberry Robin เป็นช่องทางในการแพร่กระจายมัลแวร์

การโจมตีที่ถูกพบโดย VMware เริ่มต้นด้วยการดาวน์โหลดไฟล์ปฏิบัติการชื่อ "update.

พบมัลแวร์บน Android ตัวใหม่ในชื่อ DogeRAT ที่มุ่งเป้าหมายไปที่องค์กรในหลายภาคอุตสาหกรรม รวมถึงสถาบันการเงิน, เกม และธุรกิจความบันเทิง นอกจากความสามารถในการเข้าถึงจากระยะไกลแล้ว มัลแวร์ยังสามารถทำหน้าที่เป็นคีย์ล็อกเกอร์ และสามารถคัดลอกเนื้อหาจากคลิปบอร์ดได้

ข้อมูลเกี่ยวกับแคมเปญการโจมตี

นักวิจัยจาก CloudSEK เปิดเผยว่าพบการแพร่ระบาดของแคมเปญ DogeRAT ที่มุ่งเป้าไปที่ผู้ใช้งาน Android ในประเทศอินเดีย และคาดว่ามัลแวร์อาจขยายการโจมตีออกไปทั่วโลกได้

ผู้โจมตีได้สร้างแอปพลิเคชันปลอมหลายพันรายการ โดยปลอมเป็นแอปพลิเคชัน และบริการยอดนิยม เช่น Netflix Premium, YouTube Premium, Instagram Pro, Opera Mini browser และ ChatGPT
แอปพลิเคชันที่เป็นอันตรายเหล่านี้ได้กระจายไปทั่วแพลตฟอร์มโซเชียลเน็ตเวิร์คต่าง ๆ
เมื่อติดตั้งแอปพลิเคชันปลอมเหล่านี้ แอปพลิเคชันจะขอสิทธิ์ที่ใช้ในการเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต รวมถึงข้อมูลสำคัญอื่น ๆ เช่น ข้อมูลการเข้าสู่ระบบธนาคาร, รายชื่อผู้ติดต่อ และข้อความ
นอกจากนี้ ยังช่วยให้ผู้โจมตีสามารถดำเนินการเพิ่มเติมต่าง ๆ ได้ เช่น ดำเนินการทำธุรกรรมธนาคารโดยไม่ได้รับอนุญาต, ส่งอีเมลสแปม และถ่ายรูปโดยใช้กล้องของอุปกรณ์

Boeing ถูกโปรโมตให้เป็น MaaS (Malware as a Service)

นักพัฒนาของ DogeRAT ถูกสงสัยว่ามาจากประเทศอินเดีย เนื่องจากมีการใช้งาน DogeRAT ที่เป็น RAT (Remote Access Trojan) โดยใช้ภาษา Java ซึ่งให้เป็นบริการ MaaS (Malware as a Service) ผ่านสองช่องทางใน Telegram

เวอร์ชันโอเพ่นซอร์สของมัลแวร์ถูกจัดเก็บไว้บนโฮสต์ GitHub ซึ่งมาพร้อมกับรายการความสามารถทั้งหมด และวิดีโอสอนการใช้งานคุณสมบัติต่าง ๆ
ผู้พัฒนากำลังโปรโมต DogeRAT เวอร์ชันพรีเมียมเพิ่มเติม ซึ่งเวอร์ชันนี้มีความต่อเนื่องมากขึ้น มีการเชื่อมต่อที่เสถียรมากกับเซิร์ฟเวอร์ C2 และมาพร้อมกับความสามารถเพิ่มเติม เช่น คีย์ล็อกเกอร์, การขโมยภาพจากแกลเลอรี่ และสามารถขโมยข้อมูลจากคลิปบอร์ดได้

ความสามารถที่หลากหลายของ DogeRAT เป็นตัวอย่างการพัฒนาการอย่างรวดเร็วของธุรกิจ MaaS ที่นักพัฒนามัลแวร์กำลังเน้นไปที่มัลแวร์ที่มีคุณสมบัติที่หลากหลาย

แนะนำให้องค์กรควรเตรียมกลยุทธ์ทางไซเบอร์ที่ครอบคลุม และปฏิบัติตามมาตรฐานการรักษาความปลอดภัยทางไซเบอร์

อ้างอิง : https://cyware.

พบตัวอย่างใหม่ของ RapperBot Botnet มีการเพิ่มฟังก์ชัน cryptojacking ที่มีความสามารถในการขุด Cryptocurrency บนคอมพิวเตอร์ที่ใช้ CPU Intel x64

ด้วยการพัฒนาอย่างต่อเนื่อง ในช่วงแรกผู้พัฒนามัลแวร์ได้เพิ่มความสามารถในการขุด Cryptocurrency ซึ่งแยกออกจากการทำงานของ Botnet จนกระทั่งในช่วงปลายเดือนมกราคมที่ผ่านมาฟังก์ชันการขุด Cryptocurrency ก็ถูกรวมเข้ากับ Botnet ในที่สุด

แคมเปญการขุด Cryptocurrency ของ RapperBot

นักวิจัยของ Fortinet's FortiGuard Labs ติดตามปฏิบัติการของ RapperBot ตั้งแต่เดือนมิถุนายน 2565 และรายงานว่า RapperBot นั้นเน้นการโจมตีเซิร์ฟเวอร์ Linux SSH ด้วยวิธีการ brute-force และรวบรวมเซิร์ฟเวอร์เหล่านั้นเพื่อใช้ในการโจมตีแบบ DDoS

จากนั้นในเดือนพฤศจิกายน นักวิจัยพบการอัปเดตเวอร์ชันของ RapperBot ทีใช้การแพร่กระจายตัวเองผ่าน Telnet และรวบรวมคำสั่งที่เหมาะสมกับการโจมตีเซิฟเวอร์ของบริษัทเกม

โดยในสัปดาห์นี้ FortiGuard Labs มีการรายงานเกี่ยวกับเวอร์ชันของ RapperBot ที่มีการใช้ XMRig Monero เพื่อขุด Cryptocurrency บนเครื่องคอมพิวเตอร์ที่ใช้ CPU Intel x64

นักวิจัยระบุว่าแคมเปญนี้เริ่มถูกนำมาใช้งานตั้งแต่เดือนมกราคม และกำหนดเป้าหมายไปที่อุปกรณ์ IoT เป็นหลัก

ปัจจุบันโค้ดสำหรับการขุด Cryptocurrency ได้ถูกรวมเข้ากับ RapperBot และได้รับการเข้ารหัสแบบ double-layer XOR ซึ่งสามาถซ่อน mining pools และ Monero mining addresses จากนักวิเคราะห์ได้อย่างมีประสิทธิภาพ

FortiGuard Labs พบว่า Botnet ดังกล่าวได้มีการตั้งค่าการขุดจาก C2 เซิฟเวอร์ แทนการใช้งาน hardcoded static pool addresses และ multiple pool นอกจากนี้ยังมีการใช้กระเป่าเงินดิจิทัลหลายอันในการสำรองข้อมูล

IP ของ C2 มีการโฮสต์ mining proxy ไว้ 2 ตัว เพื่อให้การตรวจสอบ และติดตามยากยิ่งขึ้น นอกจากนี้หาก C2 เซิฟเวอร์ออฟไลน์ RapperBot เองก็มีการตั้งค่าให้ไปใช้ mining pool สาธารณะแทน

เพื่อเพิ่มประสิทธิภาพการขุดให้สูงสุด มัลแวร์ตัวนี้จะมีการตรวจสอบ และระบุ Process บนเครื่องของเหยื่อ หากพบ Process ของมัลแวร์ตัวอื่น ก็จะหยุดการทำงานของ Process ดังกล่าวอีกด้วย

ในการวิเคระห์ RapperBot เวอร์ชันล่าสุด binary network protocol ที่ใช้สำหรับการติดต่อกับ C2 เซิฟเวอร์ได้รับการปรับปรุงใหม่โดยใช้วิธีการเข้ารหัสแบบ two-layer เพื่อหลบหลีกการตรวจจับ นอกจากนี้ขนาด และช่วงเวลาของการส่ง request ไปยังเซิร์ฟเวอร์ C2 นั้นถูกสุ่มให้มีความแต่กต่างกันเพื่อให้การเชื่อมต่อนั้นตรวจพบได้ยากขึ้น

ในขณะที่นักวิจัยยังไม่สังเกตเห็นคำสั่ง DDoS ที่ส่งมาจากเซิร์ฟเวอร์ C2 ไปยังตัวอย่างที่วิเคราะห์ได้ แต่พวกเขาพบว่าเวอร์ชันล่าสุดของ Bot รองรับคำสั่งดังต่อไปนี้:

Perform DDoS attacks (UDP, TCP, and HTTP GET)
Stop DDoS attacks
Terminate itself (and any child processes)

RapperBot ดูเหมือนจะพัฒนาอย่างรวดเร็ว และเพิ่มความสามารถต่าง ๆ เพื่อเพิ่มรายได้ให้กับกลุ่มผู้โจมตี

เพื่อป้องกันอุปกรณ์จากการโจมตีของ RapperBot และมัลแวร์ที่คล้ายกัน

ผู้ใช้งานควรอัปเดตซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ และปิด Service ที่ไม่จำเป็นต้องใช้งาน
เปลี่ยนรหัสผ่านเริ่มต้นเป็นรหัสผ่านที่รัดกุม
ใช้ Firewall เพื่อ Block request ที่ไม่ได้รับอนุญาต

ที่มา : bleepingcomputer

มัลแวร์ตัวใหม่ที่ชื่อว่า 'LOBSHOT' ซึ่งเผยแพร่ผ่านทางโฆษณาของ Google ทำให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ Windows ได้โดยการใช้ hVNC
เมื่อต้นปีที่ผ่านมา BleepingComputer และนักวิจัยด้านความปลอดภัยในโลกไซเบอร์จำนวนมากรายงานว่า มีผู้โจมตีกำลังใช้โฆษณาบน Google เพื่อแพร่กระจายมัลแวร์ในผลการค้นหา โดยแคมเปญโฆษณาเหล่านี้เลียนแบบเว็บไซต์สำหรับ 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus และแอปพลิเคชันอื่น ๆ อีกมากมาย
โดยมัลแวร์ที่ถูกนำมาใช้ผ่านแคมเปญดังกล่าวคือ Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT และ Royal Ransomware  โดยนักวิจัยจาก Elastic Security Labs เปิดเผยการพบโทรจันตัวใหม่ชื่อ LOBSHOT ซึ่งถูกเผยแพร่ผ่านทาง Google Ads ว่าเป็นซอฟแวร์สำหรับการเข้าถึงจากระยะไกล เช่น AnyDesk แต่แท้จริงแล้วเป็นการนำไปสู่ AnyDesk ปลอมที่เว็บไซต์ amydeecke[.]website

(more…)

Fortinet รายงานการพบ botnet หลายตัว กำลังมุ่งเป้าการโจมตีไปยังช่องโหว่ของ Cacti และ Realtek ตั้งแต่เดือนมกราคมถึงมีนาคม 2023 โดยพบการแพร่กระจายของมัลแวร์ ShellBot และ Moobot เป็นหลัก

โดยของโหว่ที่ตกเป็นเป้าหมายในการโจมตีคือ CVE-2021-35394 ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Realtek Jungle SDK และ CVE-2022-46169 ช่องโหว่ command injection ใน fault management monitoring tool ของ Cacti ซึ่งทั้งสองช่องโหว่ดังกล่าว เคยถูกใช้โจมตีโดย botnet ตัวอื่นมาแล้ว เช่น Fodcha, RedGoBot, Mirai, Gafgyt และ Mozi

แม้ว่าจากรายงานของ Fortinet จะไม่ระบุอย่างชัดเจนว่า botnet ทั้งสองตัวอย่าง ShellBot และ Moobot มาจาก Hacker กลุ่มเดียวกัน แต่พบหลักฐานว่า botnet ทั้งสองตัวนี้ทำการโจมตีโดยใช้ช่องโหว่ในลักษณะเดียวกัน (more…)

แคมเปญฟิชชิ่ง Emotet รูปแบบใหม่ ที่มุ่งเป้าไปยังผู้เสียภาษีในสหรัฐฯ โดยการปลอมแปลงเป็นแบบฟอร์ม W-9 ที่ถูกส่งโดยหน่วยงาน Internal Revenue Service และบริษัทของเหยื่อ

Emotet เป็นมัลแวร์ที่มักแพร่กระจายผ่านทางอีเมลฟิชชิ่ง โดยในอดีตมีการใช้งานเอกสาร Microsoft Word และ Excel ที่มีการฝังมาโครไว้เพื่อทำการติดตั้งมัลแวร์

อย่างไรก็ตาม หลังจากที่ Microsoft ได้ทำการแก้ไขโดยการบล็อกมาโครเป็นค่าเริ่มต้นบน office ทาง Emotet ก็เปลี่ยนไปใช้ไฟล์ Microsoft OneNote ที่มีการฝังสคริปต์แทน เพื่อทำการติดตั้งมัลแวร์

เมื่อ Emotet ถูกติดตั้งแล้ว มัลแวร์จะทำหน้าที่ขโมยอีเมลของเหยือเพื่อใช้ในการโจมตีแบบ reply-chain, ส่งอีเมลสแปมเพิ่มเติม รวมถึงติดตั้งมัลแวร์อื่น ๆ เพื่อเปิดช่องทางการเข้าถึงระบบของเหยื่อสำหรับกลุ่มผู้โจมตีอื่น ๆ หรือกลุ่ม Ransomware

Emotet เตรียมพร้อมสำหรับช่วงเก็บภาษีของสหรัฐฯ

การทำงานของ Emotet มักใช้แคมเปญฟิชชิ่งที่มีธีมให้สอดคล้องกับวันหยุดพิเศษ และกิจกรรมทางธุรกิจที่เกิดขึ้นทุกปี เช่น ช่วงเวลาการเก็บภาษีของสหรัฐฯ ในปัจจุบัน

ในแคมเปญฟิชชิ่งล่าสุด (more…)

EclecticIQ บริษัทความปลอดภัยทางไซเบอร์ของเนเธอร์แลนด์ ได้เผยแพร่รายงานการค้นพบการโจมตีโดยกลุ่ม APT ในชื่อ Dark Pink ที่ได้ใช้มัลแวร์ KamiKakaBot โจมตีเป้าหมาย โดยมุ่งเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และหน่วยงานทางทหารในประเทศแถบเอเชียตะวันออกเฉียงใต้

Dark Pink หรือ Saaiwc ถูกพบครั้งแรกโดย Group-IB เมื่อต้นปี 2023 โดยเป็นกลุ่ม Advanced Persistent Threat (APT) ที่มีการใช้ Malware ที่สร้างขึ้นมาเอง เช่น TelePowerBot และ KamiKakaBot เพื่อโจมตี และควบคุมเป้าหมายจากระยะไกล รวมไปถึงการขโมยข้อมูลสำคัญออกไป ซึ่งมีการคาดการณ์ว่ากลุ่มผู้โจมตีมีฐานปฏิบัติการอยู่ที่เอเชียแปซิฟิก โดยเริ่มพบการโจมตีครั้งแรกในปี 2021 และเริ่มพบการโจมตีจำนวนมากขึ้นในปี 2022

การโจมตีของ KamiKakaBot

EclecticIQ พบการโจมตีครั้งล่าสุดในเดือนกุมภาพันธ์ 2023 โดยพบว่ามัลแวร์ KamiKakaBot ได้มีการพัฒนา และถูกปรับปรุงให้มีความสามารถในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

โดยใช้วิธีการโจมตีด้วยการใช้ Phishing Email หลอกล่อให้เหยื่อทำการเปิดอีเมลที่แนบไฟล์อันตราย .ISO image ซึ่งในตัวไฟล์นั้นจะประกอบไปด้วย ไฟล์สั่งการ (Winword.

ผู้โจมตีได้มุ่งเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาลด้วยมัลแวร์ PureCrypter ซึ่งพบว่าถูกใช้เพื่อเป็นมัลแวร์สำหรับดาวน์โหลดมัลแวร์ขโมยข้อมูล และแรนซัมแวร์หลายสายพันธุ์

โดยนักวิจัยที่ Menlo Security พบว่าแฮ็กเกอร์ใช้ Discord เป็นโฮสต์สำหรับ payload เริ่มต้น และโจมตีองค์กรไม่แสวงหาผลกำไร เพื่อทำเป็นโฮสต์เพิ่มเติมที่ใช้ในแคมเปญ

แคมเปญนี้มีการโจมตีโดยการใช้มัลแวร์หลายประเภท ได้แก่ Redline Stealer, AgentTesla, Eternity, Blackmoon และ Philadelphia Ransomware และได้กำหนดเป้าหมายไปยังองค์กรรัฐบาลหลายแห่งในภูมิภาคเอเชียแปซิฟิก (APAC) และอเมริกาเหนือ

การโจมตี

การโจมตีเริ่มต้นด้วยอีเมลที่มี URL ของแอป Discord สำหรับดาวน์โหลด PureCrypter ซึ่งอยู่ในไฟล์ ZIP ที่มีการใส่รหัสผ่าน ซึ่งเมื่อเปิดใช้งาน มันจะทำการดาวน์โหลดเพย์โหลดต่อไปจากเซิร์ฟเวอร์ภายนอก ซึ่งในกรณีนี้เป็นเซิร์ฟเวอร์ที่ถูกโจมตีขององค์กรไม่แสวงหาผลกำไรแห่งหนึ่ง

โดยตัวอย่างที่นักวิจัยจาก Menlo Security วิเคราะห์คือ AgentTesla ซึ่งจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ FTP ที่ตั้งอยู่ในปากีสถาน เพื่อใช้ในการรับส่งข้อมูลที่ขโมยมา โดยแฮ็กเกอร์จะใช้ข้อมูล credentials ที่มีการรั่วไหลออกมาในการโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์ FTP แทนที่จะตั้งเซิร์ฟเวอร์ขึ้นมาเอง เพื่อลดความเสี่ยงจากการถูกระบุตัวตน

AgentTesla เป็นกลุ่มมัลแวร์ .NET ที่ถูกใช้ในกลุ่มผู้โจมตีในช่วง 8 ปีที่ผ่านมา โดยมีการใช้งานสูงสุดในช่วงปลายปี 2020 และต้นปี 2021 แต่ Agent Tesla ยังถือว่าเป็น backdoor ที่มีความสามารถสูง ซึ่งได้รับการพัฒนา และปรับปรุงอย่างต่อเนื่องตลอดหลายปีที่ผ่านมา

โดยพฤติกรรม keylogging ของ AgentTesla คิดเป็นประมาณหนึ่งในสามของรายงาน Keylogger ทั้งหมดที่ Cofense Intelligence บันทึกไว้ในปี 2022

ความสามารถของมัลแวร์ มีดังนี้ :

บันทึกการกดแป้นพิมพ์ของเหยื่อเพื่อเก็บข้อมูลที่มีความสำคัญ เช่น รหัสผ่าน
ขโมยรหัสผ่านที่บันทึกไว้ในเว็บเบราว์เซอร์, email clients หรือ FTP clients
จับภาพหน้าจอของเดสก์ท็อปที่อาจมีข้อมูลที่มีความสำคัญ
ดักจับข้อมูลที่คัดลอกไปยังคลิปบอร์ด รวมถึงข้อความ รหัสผ่าน และรายละเอียดบัตรเครดิ
ส่งข้อมูลที่ถูกขโมยไปยัง C2 ผ่าน FTP หรือ SMTP

ในการโจมตีที่ถูกตรวจสอบโดย Menlo Labs พบว่าแฮ็กเกอร์ใช้ process hollowing เพื่อแทรก Payload ของ AgentTesla เข้าสู่ proces (“cvtres.

นักวิจัยจาก Jamf Threat Labs บริษัทวิจัยด้านความปลอดภัย ค้นพบซอฟต์แวร์ Final Cut Pro ที่ถูกฝัง cryptomining malware โดยมุ่งเป้าหมายไปที่กลุ่มผู้ใช้งาน MacOS เพื่อเรียกใช้งาน XMRig utility ในการขุด Monero cryptocurrency โดยปัจจุบันส่วนใหญ่ยังไม่ถูกตรวจจับได้จากอุปกรณ์ป้องกันด้านความปลอดภัย

การค้นพบ macOS malware

หลังจากที่นักวิจัยได้ค้นพบมัลแวร์ดังกล่าวแล้ว จึงได้ทำการตรวจสอบ และพบว่า macOS malware ดังกล่าวนั้นมาจาก torrents ที่เป็นอันตรายที่ชื่อ The Pirate Bay โดยผู้ใช้ชื่อ “wtfisthat34698409672” รวมไปถึงยังพบว่าผู้ใช้ดังกล่าวได้ทำการแผยแพร่ซอฟต์แวร์ macOS อื่น ๆ เช่น Adobe Photoshop และ Logic Pro X ตั้งแต่ปี 2019 โดยซอฟต์แวร์ทั้งหมดได้ฝัง payload สำหรับการขุด cryptocurrency เอาไว้ทั้งสิ้น

จากการวิเคราะห์เชิงลึกทำให้นักวิจัยสรุปได้ว่า มัลแวร์ดังกล่าวได้มีการพัฒนา และปรับปรุงมาแล้ว 3 ครั้ง เพื่อให้มีความสามารถในการหลบเลี่ยงการตรวจจับที่ซับซ้อนมากยิ่งขึ้น โดยพบว่าปัจจุบันอุปกรณ์ด้านความปลอดภัยสามารถตรวจจับได้แค่เวอร์ชันแรกเท่านั้น

ลักษณะการทำงานหลัก ๆ ของ macOS malware ที่มีมาตั้งแต่เวอร์ชันแรกจนถึงปัจจุบันคือ การทำ network layer I2P (Invisible Internet Project) สำหรับปกปิดการสื่อสารกับ C2 server

ต่อมาในเวอร์ชันที่สองที่พบในเดือนเมษายน 2021 ถึงตุลาคม 2021 มีความสามารถในการเข้ารหัสแบบ base 64 เพื่อซ่อนตัวใน app bundle

เวอร์ชันที่สาม หรือเวอร์ชันปัจจุบันพบในเดือนตุลาคม 2021 ถึงพฤษภาคม 2022 ได้เพิ่มความสามารถในการปลอมแปลง process ที่เป็นอันตราย ให้กลายเป็น process ของระบบใน Spotlight เพื่อหลบเลี่ยงการตรวจจับ รวมไปถึงมีสคริปต์ที่ใช้ในการตรวจสอบเครื่องมือประเภท Activity Monitor อย่างต่อเนื่อง หากมีการเปิดใช้งาน มันจะยุติกระบวนการทั้งหมดทันทีเพื่อไม่ให้ถูกตรวจจับได้

ปัจจุบัน MacOS ในปัจจุบัน ซึ่งมีชื่อว่า “Ventura” ได้เพิ่มการตรวจจับ และการป้องกันด้านความปลอดภัยเพิ่มมากขึ้น ไม่ว่าจะเป็นการตรวจสอบใบรับรองซอฟต์แวร์ และตรวจสอบการดัดแปลงในเนื้อหาซอฟต์แวร์ แต่ทั้งนี้ผู้ใช้งานก็ไม่ควรที่จะดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์จากภายนอก App Store เนื่องจากมีความเป็นไปได้ที่จะถูกฝังมัลแวร์ หรือเพย์โหลดที่เป็นอันตราย

ที่มา : bleepingcomputer