ผู้โจมตีได้มุ่งเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาลด้วยมัลแวร์ PureCrypter ซึ่งพบว่าถูกใช้เพื่อเป็นมัลแวร์สำหรับดาวน์โหลดมัลแวร์ขโมยข้อมูล และแรนซัมแวร์หลายสายพันธุ์

โดยนักวิจัยที่ Menlo Security พบว่าแฮ็กเกอร์ใช้ Discord เป็นโฮสต์สำหรับ payload เริ่มต้น และโจมตีองค์กรไม่แสวงหาผลกำไร เพื่อทำเป็นโฮสต์เพิ่มเติมที่ใช้ในแคมเปญ

แคมเปญนี้มีการโจมตีโดยการใช้มัลแวร์หลายประเภท ได้แก่ Redline Stealer, AgentTesla, Eternity, Blackmoon และ Philadelphia Ransomware และได้กำหนดเป้าหมายไปยังองค์กรรัฐบาลหลายแห่งในภูมิภาคเอเชียแปซิฟิก (APAC) และอเมริกาเหนือ

การโจมตี

การโจมตีเริ่มต้นด้วยอีเมลที่มี URL ของแอป Discord สำหรับดาวน์โหลด PureCrypter ซึ่งอยู่ในไฟล์ ZIP ที่มีการใส่รหัสผ่าน ซึ่งเมื่อเปิดใช้งาน มันจะทำการดาวน์โหลดเพย์โหลดต่อไปจากเซิร์ฟเวอร์ภายนอก ซึ่งในกรณีนี้เป็นเซิร์ฟเวอร์ที่ถูกโจมตีขององค์กรไม่แสวงหาผลกำไรแห่งหนึ่ง

โดยตัวอย่างที่นักวิจัยจาก Menlo Security วิเคราะห์คือ AgentTesla ซึ่งจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ FTP ที่ตั้งอยู่ในปากีสถาน เพื่อใช้ในการรับส่งข้อมูลที่ขโมยมา โดยแฮ็กเกอร์จะใช้ข้อมูล credentials ที่มีการรั่วไหลออกมาในการโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์ FTP แทนที่จะตั้งเซิร์ฟเวอร์ขึ้นมาเอง เพื่อลดความเสี่ยงจากการถูกระบุตัวตน

AgentTesla เป็นกลุ่มมัลแวร์ .NET ที่ถูกใช้ในกลุ่มผู้โจมตีในช่วง 8 ปีที่ผ่านมา โดยมีการใช้งานสูงสุดในช่วงปลายปี 2020 และต้นปี 2021 แต่ Agent Tesla ยังถือว่าเป็น backdoor ที่มีความสามารถสูง ซึ่งได้รับการพัฒนา และปรับปรุงอย่างต่อเนื่องตลอดหลายปีที่ผ่านมา

โดยพฤติกรรม keylogging ของ AgentTesla คิดเป็นประมาณหนึ่งในสามของรายงาน Keylogger ทั้งหมดที่ Cofense Intelligence บันทึกไว้ในปี 2022

ความสามารถของมัลแวร์ มีดังนี้ :

บันทึกการกดแป้นพิมพ์ของเหยื่อเพื่อเก็บข้อมูลที่มีความสำคัญ เช่น รหัสผ่าน
ขโมยรหัสผ่านที่บันทึกไว้ในเว็บเบราว์เซอร์, email clients หรือ FTP clients
จับภาพหน้าจอของเดสก์ท็อปที่อาจมีข้อมูลที่มีความสำคัญ
ดักจับข้อมูลที่คัดลอกไปยังคลิปบอร์ด รวมถึงข้อความ รหัสผ่าน และรายละเอียดบัตรเครดิ
ส่งข้อมูลที่ถูกขโมยไปยัง C2 ผ่าน FTP หรือ SMTP

ในการโจมตีที่ถูกตรวจสอบโดย Menlo Labs พบว่าแฮ็กเกอร์ใช้ process hollowing เพื่อแทรก Payload ของ AgentTesla เข้าสู่ proces (“cvtres.

แฮ็กเกอร์ได้สร้างกลุ่มพูดคุยสำหรับเกม Play-to-earn ปลอม ที่ชื่อว่า 'Cthulhu World' ซึ่งมีทั้งเว็บไซต์ กลุ่ม Discord บัญชีโซเชียล และเว็ปไซต์สำหรับนักพัฒนา เพื่อแพร่กระจายมัลแวร์ Raccoon Stealer, AsyncRAT และ RedLine เพื่อใช้ขโมยข้อมูลของเหยื่อที่หลงเชื่อ

เนื่องจากปัจจุบันเกมประเภท Play-to-earn กำลังเพิ่มสูงขึ้นเป็นจำนวนมาก กลุ่มผู้โจมตีจึงมุ่งเป้าไปยังกลุ่มผู้ที่สนใจแพลตฟอร์มประเภทนี้

โดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ชื่อว่า iamdeadlyz เป็นผู้พบว่าทั้งโปรเจ็คของ 'Cthulhu World' ถูกสร้างขึ้นอย่างปลอม ๆ ทั้งหมด

โดยผู้โจมตีจะส่งข้อความไปยังผู้ใช้งานบน Twitter โดยตรง เพื่อชักชวนให้ทำการทดสอบเกมใหม่ของพวกเขา โดยเพื่อเป็นการตอบแทนสำหรับการทดสอบ และช่วยโปรโมตเกม iamdeadlyz ระบุว่าผู้โจมตีสัญญาว่าจะให้รางวัลเป็น Ethereum จำนวนหนึ่ง

เมื่อเข้าไปยังเว็บไซต์ cthulhu-world.

นักวิเคราะห์ภัยคุกคามได้เปิดเผยแคมเปญใหม่ที่ใช้ RIG Exploit Kit เพื่อติดตั้งมัลแวร์ RedLine stealer

Exploit Kits (EKs) จะมุ่งเป้าไปที่เว็บเบราว์เซอร์ที่มีช่องโหว่ plug-in software เช่น Now-defunct Flash Player และ Microsoft Silverlight

เนื่องจากปัจจุบันเว็บเบราว์เซอร์มีความปลอดภัยมากขึ้น และยังสามารถอัปเดตเวอร์ชันได้โดยอัตโนมัติ ทำให้การใช้ Exploit Kits ในการโจมตีเพื่อติดตั้งมัลแวร์นั้นลดลง อย่างไรก็ตามยังมีผู้ใช้เบราว์เซอร์บางส่วนที่ไม่ได้ทำการอัปเดตความปลอดภัยของเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุด โดยเฉพาะ Internet Explorer ซึ่งยังคงตกเป็นเป้าหมายสำหรับการโจมตีจาก Exploit Kits

แคมเปญใหม่ที่ใช้ RIG EK จะใช้ประโยชน์จากช่องโหว่ CVE-2021-26411 ซึ่งเป็นช่องโหว่ memory corruption บน Internet Explorer ที่จะเกิดจากการเข้าเว็บไซต์ที่ถูกสร้างขึ้นเป็นพิเศษเพื่อใช้ในการโจมตี

ผู้โจมตีจะใช้ช่องโหว่นี้เพื่อโจมตีเครื่องเป้าหมาย และใช้ RedLine เพื่อติดตั้งมัลแวร์ และขโมยข้อมูล จากนั้นผู้โจมตีจะดึงข้อมูลของเหยื่อ เช่น cryptocurrency wallet keys, รายละเอียดบัตรเครดิต และข้อมูลประจำตัวของบัญชีที่จัดเก็บไว้ในเว็บเบราว์เซอร์

(more…)

มัลแวร์ RedLine ปลอมเป็นตัวติดตั้งอัปเกรด Windows 11

ผู้โจมตีได้เริ่มเผยแพร่ตัวติดตั้งอัปเกรด Windows 11 ปลอม ให้กับผู้ใช้ Windows 10 ดาวน์โหลด แต่จะเป็นการถูกติดตั้งมัลแวร์ RedLine แทน ซึ่งมัลแวร์ได้ใช้ช่วงเวลาเดียวกันกับที่ทาง Microsoft ได้ประกาศเผยแพร่การอัปเกรด Windows 11 ในการแพร่กระจายตัวติดตั้งปลอมนี้

มัลแวร์ Redline stealer
Redline stealer ** เป็นมัลแวร์ที่ถูกใช้งานอย่างแพร่หลาย มีคุณสมบัติในการขโมยข้อมูล Credentials คุกกี้ของเบราว์เซอร์ บัตรเครดิต และขโมยข้อมูลกระเป๋าเงินดิจิทัล มีความสามารถในการโหลด Payload C2 server

ขั้นตอนของการโจมตี
นักวิจัยของ HP ได้วิเคราะห์แคมเปญนี้ว่า

ผู้โจมตีใช้โดเมน "windows-upgraded[.]com" ซึ่งถูกออกแบบเว็บไซต์ให้เหมือน Windows 11 ที่ถูกต้อง
เมื่อกด "DOWNLOAD NOW" ระบบจะทำการดาวน์โหลดไฟล์
Windows11InstallationAssistant.

แฮกเกอร์ได้มีการใช้ Microsoft Build Engine (MSBuild) ในทางที่ผิด โดยใช้ส่ง Trojan และ Malware ประเภท Fileless ซึ่งมีเป้าหมายในการขโมยข้อมูลบนระบบ Windows

นักวิจัยจากบริษัท Anomali ที่ให้บริการด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์ กล่าวว่าเมื่อวันพฤหัสที่ผ่านมา (13 May 2021) ไฟล์ที่มีโค้ดอันตรายที่มีการเข้ารหัสและเชลล์โค้ดสำหรับติดตั้ง Blackdoor เพื่อใช้ในการเข้าควบคุมเครื่องของเหยื่อเพื่อขโมยข้อมูลได้มีการถูกสร้างขึ้น

MSBuild คือ เครื่องมือโอเพ่นซอร์สสำหรับ Compile .NET และ Visual Studio ที่ถูกพัฒนาโดยบริษัท Microsoft ที่มีไว้ใช้สำหรับ Compiling source code, Packaging, Testing, Deploying Applications

การใช้ MSBuild เป็นเครื่องมือในการเข้าควบคุมเครื่องเป้าหมายโดยไม่ต้องใช้ไฟล์ (Fileless) เป็นแนวคิดในการหลบหลีกการถูกตรวจจับเนื่องจาก Malware ตัวนี้ถูกสร้างขึ้นโดยใช้ Application ที่ถูกกฎหมายโดยรูปการทำงานจะเป็นการโหลด Code ลงที่ Memory ทำให้ไม่มีการทิ้งร่องรอยบนระบบและสามารถซ่อนตัวได้โดยที่ไม่ถูกตรวจจับ

ตามที่มีการเขียนระบุไว้ว่ามีเพียงผู้ให้บริการโซลูชันการรักษาความปลอดภัยทางไซเบอร์ 2 รายเท่านั้นที่ระบุว่าหนึ่งในไฟล์ MSBuild ที่มีการอัปโหลดไปยัง VirusTotal vyx.