RAT malware แคมเปญใหม่ ใช้ไฟล์หลากหลายภาษาในการหลีกเลี่ยงการตรวจจับ

Deep Instinct บริษัทด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่การพบโทรจันการเข้าถึงจากระยะไกล (remote access trojans RAT) ของ StrRAT และ Ratty ได้ใช้แคมเปญใหม่โดยการใช้ไฟล์ polyglot MSI/JAR และ CAB/JAR เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และ Anti-Virus ซึ่งเป็นที่น่าสนใจมากขึ้น เนื่องจาก StrRAT และ Ratty เป็น RAT malware ที่เคยถูกพบมานานแล้ว

polyglot files คือ ไฟล์หลากหลายภาษารวมกันในรูปแบบไฟล์ตั้งแต่สองรูปแบบขึ้นไป ซึ่ง Hackers ได้ใช้ไฟล์หลายภาษาที่ฝังคำสั่งที่เป็นอันตราย เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และเรียกใช้โดยแอปพลิเคชันที่แตกต่างกันหลายรายการได้โดยไม่มีข้อผิดพลาด โดยล่าสุดที่พบการใช้วิธีการนี้ในการโจมตีคือ มัลแวร์ StrelaStealer ที่กำหนดเป้าหมายไปยังบัญชีผู้ใช้งาน Outlook และ Thunderbird

วิธีการโจมตี

Deep Instinct ได้อธิบายวิธีการโจมตีไว้ว่า ด้วยการรวมรูปแบบ JAR และ MSI ไว้ในไฟล์เดียว โดยไฟล์ JAR เป็นไฟล์ archive ที่จะถูกระบุโดยบันทึกที่ส่วนท้าย ในขณะที่ใน MSI ตัวระบุประเภทไฟล์คือ "magic header" ที่จุดเริ่มต้นของไฟล์ รูปแบบทั้งคู่นี้ทำให้สามารถดำเนินการเป็น MSI ใน Windows และดำเนินการเป็นไฟล์ JAR โดย Java runtime (JAR ไม่ใช่ไฟล์เรียกทำงานจึงไม่ได้รับการตรวจสอบจาก Anti-Virus ทำให้สามารถซ่อนคำสั่งที่เป็นอันตรายได้) รวมไปถึงการใช้การรวมรูปแบบ CAB/JAR แทน MSI เนื่องจากพวกเขามี magic header สำหรับการตีความประเภทไฟล์เช่นกัน

โดยพบว่า แคมเปญนี้ถูกเผยแพร่โดย Sendgrid และ URL shortening เช่น Cutt.

แฮ็กเกอร์มุ่งเป้าโจมตีกลุ่มธุรกิจโรงแรม และท่องเที่ยวด้วยการจองที่พักปลอม

กลุ่มแฮ็กเกอร์ TA558 เพิ่มวิธีการโจมตีรูปแบบใหม่ในปีนี้ โดยการใช้แคมเปญฟิชชิ่งที่กำหนดเป้าหมายเป็นกลุ่มธุรกิจโรงแรม และบริษัทหลายแห่งในด้านการบริการ และการท่องเที่ยว

แฮ็กเกอร์ใช้ remote access trojans (RATs) ในการเข้าถึงระบบเป้าหมาย เพื่อขโมยข้อมูลสำคัญ และขโมยเงินจากเหยื่อ โดยกลุ่ม TA558 ถูกพบพฤติกรรมครั้งแรกตั้งแต่ปี 2018 แต่เมื่อเร็วๆ Proofpoint พบว่ากลุ่มดังกล่าวมีปริมาณการโจมตีที่สูงขึ้น ซึ่งอาจเชื่อมโยงกับการฟื้นตัวของการท่องเที่ยวหลังจาก COVID-19

แคมเปญของกลุ่ม TA558 ล่าสุด
ในปี 2022 กลุ่ม TA558 ได้เปลี่ยนจากการใช้มาโครในไฟล์เอกสารอีเมลฟิชชิ่ง มาเป็นใช้ไฟล์แนบในรูปแบบ RAR และ ISO หรือ URL ที่ฝังอยู่ในข้อความ

แฮ็กเกอร์รายอื่นๆ ก็มีการเปลี่ยนมาใช้รูปแบบดังกล่าวมากขึ้นเช่นเดียวกัน เนื่องจาก Microsoft มีการบล็อก block VBA และ XL4 macros ใน Office เป็นค่าเริ่มต้น

อีเมลฟิชชิ่งที่ถูกใช้ในการโจมตีจะมีข้อความเป็นภาษาอังกฤษ, สเปน และ โปรตุเกส โดยจะกำหนดเป้าหมายไปยังบริษัทในอเมริกาเหนือ, ยุโรปตะวันตก และละตินอเมริกา

หัวข้ออีเมลจะเกี่ยวกับการจองโรงแรม และบริการกับบริษัทท่องเที่ยว โดยอ้างว่ามาจากผู้จัดประชุม, ตัวแทนสำนักงานท่องเที่ยว และอื่นๆ ที่ผู้รับอาจให้ความสนใจ เมื่อเหยื่อคลิก URL ในเนื้อหาข้อความซึ่งระบุว่าเป็นลิงก์การจอง มันจะทำการดาวน์โหลดไฟล์ ISO มาจากเซิร์ฟเวอร์ภายนอก

ภายในไฟล์ ISO จะมีไฟล์แบตช์ที่จะเรียกใช้สคริปต์ PowerShell เพื่อโหลด RAT ลงมาติดตั้งบนคอมพิวเตอร์ของเหยื่อ และสร้าง scheduled task เพื่อให้มีนสามารถแฝงตัวอยู่บนระบบได้อย่างต่อเนื่อง

หลังจากติดตั้ง RAT แล้ว กลุ่ม TA558 จะเจาะเข้าไปในเครือข่ายของเหยื่อเพื่อขโมยข้อมูลลูกค้า, ข้อมูลบัตรเครดิต และเปลี่ยนแปลงเว็บไซต์ที่เกี่ยวข้องกับการชำระเงิน

ในเดือนกรกฎาคม พ.ศ. 2565 The Marino Boutique Hotel ในเมืองลิสบอน ประเทศโปรตุเกส ถูกแฮ็กบัญชี Booking.

PYSA ransomware ใช้ Backdoor เพื่อโจมตีองค์กรการศึกษาโดย Malware ที่ชื่อว่า ChaChi

กลุ่ม PYSA ransomware ได้ใช้ remote access trojan (RAT) ที่ชื่อว่า ChaChi ในการฝัง Backdoor บนระบบขององค์กรด้านสุขภาพ และด้านการศึกษาเพื่อขโมยข้อมูล และเข้ารหัสเครือข่ายของเหยื่อในลักษณะการโจมตีที่ถูกเรียกว่า double extortion (นอกจากเรียกค่าไถ่จากการเข้ารหัสไฟล์ด้วย ransomware แล้ว ยังมีการเรียกค่าไถ่จากข้อมูลที่ถูกขโมยออกไป โดยการข่มขู่ว่าจะปล่อยข้อมูลออกสู่สาธารณะ) (more…)

CISA ออกแจ้งเตือนภัยคุกคามยอดนิยมในรอบ 30 วันที่ผ่านมา

นักวิเคราะห์ของ Cybersecurity and Infrastructure Security Agency (CISA) ได้ทำการรบรวม Signature ที่ทำการตรวจพบและได้รับความนิยมสุงสุดในเดือนพฤษภาคมที่ผ่านมา โดยข้อมูลที่ทำการรวบรวมนั้นทำการรวบรวามผ่านระบบตรวจจับการบุกรุกแห่งชาติ หรือ National Intrusion Detection System (IDS) ซึ่งเป็นที่รู้จักกันในชื่อ “EINSTEIN” โดยรายละเอียดและ Signature ที่ถูกพบมากที่สุดมีดังนี้

NetSupport Manager Remote Access Tool (RAT) เป็นเครื่องมือการเข้าถึงจากระยะไกลที่ถูกกฏหมาย โดยซอฟต์แวร์ซึ่งเมื่อทำการติดตั้งบนเครื่องของเหยื่อแล้วจะอนุญาตให้ทำการควบคุมได้จากระยะไกลและสามารถทำการขโมยข้อมูลได้
Kovter เป็นโทรจันที่มีหลายสายพันธุ์ มีลักษณะคล้ายแรนซัมแวร์และมักถูกพบการใช้โดยผู้ประสงค์ร้ายที่ต้องการดำเนินการหลอกลวงผู้ใช้งานที่เป็นเป้าหมายให้ทำการติดเชื้อจากนั้นจะทำการขโมยข้อมูลจากเครื่องเป้าหมายไปยังเซิร์ฟเวอร์ C2 ของผู้ดำเนินการ
XMRig เป็นประเภทของ miner cryptocurrency ที่ใช้ทรัพยากรของเครื่องที่ติดเชื้อทำการขุด Monero ซึ่งอาจทำให้คอมพิวเตอร์ที่เป็นเหยื่อมีความร้อนสูงเกินไปและทำให้ไม่สามารถใช้ทรัพยากรระบบได้ดีหรือบางครั้งก็ไม่สามารถใช้งานได้
CISA ได้ออกคำเเนะนำและเเนวทางปฏิบัติสำหรับองค์กรเพื่อหลีกเลี่ยงจากภัยคุกความข้างต้น

ทำการปรับปรุงและอัพเดต signature ของซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ
ทำการตรวจสอบให้เเน่ใจว่าระบบมีการอัพเดตแพตซ์เป็นเวอร์ชั่นล่าสุด
จำกัดสิทธ์และบังคับใช้นโยบายการติดตั้งและการเรียกใช้งานซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
บังคับใช้นโยบายการใช้รหัสผ่านที่คาดเดาได้ยาก
ใช้ความระมัดระวังเมื่อเปิดสิ่งที่แนบมากับอีเมล แม้ว่าสิ่งที่แนบมาและดูเหมือนว่าจะผู้ส่งจะเป็นที่รู้จัก
เปิดใช้งานไฟร์วอลล์
ตรวจสอบพฤติกรรมการการใช้เข้าเว็บไซต์ของผู้ใช้ รวมถึงการเข้าถึงเว็บไซต์ที่มีเนื้อหาไม่เอื้ออำนวย
ใช้ความระมัดระวังเมื่อใช้ USB
สแกนซอฟต์แวร์ทั้งหมดที่ดาวน์โหลดจากอินเทอร์เน็ตก่อนดำเนินการเปิดหรือติดตั้ง
ทั้งนี้ผู้ที่สนใจ Snort Signature ที่กล่าวมาข้างต้นสามารถเข้าไปดูได้จากแหล่งที่มา

ที่มา: us-cert