นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก CrowdStrike ออกมาเปิดเผยการค้นพบเทคนิคใหม่ในชื่อ “Blindside” ซึ่งถูกใช้โดยมัลแวร์ที่มีชื่อว่า GuLoader ซึ่งสามารถหลีกเลี่ยงการตรวจจับ (Defense Evasion) จาก Security Software ได้

GuLoader หรือ CloudEyE เป็น Visual Basic Script (VBS) downloader ที่ถูกใช้เพื่อแพร่กระจายโทรจันที่ถูกควบคุมจากระยะไกล (Remote Access Trojans RAT) ในชื่อ Remcos รวมไปถึง JavaScript malware ที่มีชื่อว่า RATDispenser

วิธีการโจมตี

โดย Visual Basic Script (VBS) ที่ถูกออกแบบมาของ GuLoader จะเรียกใช้ shellcode ที่ฝังมาลงในหน่วยความจำบนเครื่องเหยื่อหลังจากผ่านกระบวนการตรวจสอบ และหลีกเลี่ยงการตรวจจับดังนี้

ทำการสแกนหน่วยความจำของค่าสตริงที่เกี่ยวข้องกับ virtual machine (VM) / virtualization software หากพบจะหยุดการทำงานของ shellcode
หลบหลีกการวิเคราะห์ และป้องกันการ debug ในระหว่างการดำเนินการ โดยจะแสดงข้อความ error message หากพบว่ากำลังถูกตรวจสอบ

จากนั้นจึงจะทำการดาวน์โหลด payload การติดตั้งโทรจันที่สามารถใช้ควบคุม สั่งการเครื่องเหยื่อจากระยะไกล (Remote Access Trojans RAT) เพื่อให้ Hacker สามารถโจมตี และสั่งการได้จากระยะไกลได้

รวมถึง CrowdStrike ยังพบว่า GuLoader ได้ใช้เทคนิคใหม่ที่เรียกว่า "Redundant Code Injection Mechanism" หรือที่ถูกเรียกในชื่อ “Blindside” เพื่อหลีกเลี่ยง NTDLL.dll hooking ซึ่งเป็นเทคนิคที่ endpoint detection and response (EDR) ใช้ในการตรวจับ process ที่น่าสงสัยบน Windows โดยการตรวจสอบจาก windows API

ซึ่ง Cymulate บริษัทด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่ตัวอย่างการโจมตี (PoC) ออกมาแล้วในปัจจุบัน

ที่มา : thehackernews

CISA, DOD และ FBI ออกแจ้งเตือนมัลเเวร์สายพันธุ์ใหม่ Taidoor ที่ถูกใช้ในการจารกรรมข้อมูลโดยเเฮกเกอร์จีน

สำนักงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA), กระทรวงกลาโหม (DOD) และสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกรายงานการเเจ้งเตือนเกี่ยวกับมัลเเวร์สายพันธุ์ใหม่ชื่อ “Taidoor” ที่ถูกใช้งานทางด้านจารกรรมข้อมูลโดยแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งกำหนดเป้าหมายไปที่หน่วยงานในรัฐบาล, บริษัทและองค์กรต่างๆ

“Taidoor” เป็นมัลเเวร์ที่ถูกตรวจพบตั้งแต่ปี 2008 โดยมัลเเวร์ชนิดนี้ถูกระบุว่าเป็น REMOTE ACCESS TROJAN (RAT) ตามรายงานระบุว่ามัลเเวร์ชนิดใหม่นี้มีอยู่สองเวอร์ชั่นคือ เวอร์ชั่น 32 บิตและ 64 บิต โดยมัลเเวร์จะทำการติดตั้งในเครื่องของเหยื่อในรูปแบบ dynamic link library (DLL) โดยในไฟล์ DLL ที่ถูกติดตั้งนั้นจะประกอบไปด้วยสองไฟล์ ไฟล์แรกเป็นไฟล์ดาวน์โหลดเพื่อเริ่มต้นเซอร์วิสและสองคือไฟล์ที่ใช้ในการประมวลผลในหน่วยความจำและเป็นไฟล์หลักของ Remote Access Trojan (RAT) ซึ่งหลังจากที่เหยื่อติดเชื้อแล้ว Taidoor RAT จะเปิดช่องทางให้แฮกเกอร์สามารถเข้าถึงได้จากระยะไกลเพื่อทำการโจมตีระบบหรือขโมยข้อมูลต่อไป

ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบสามารถติดตามรายละเอียด IOCs ได้ที่: https://us-cert.

ObliqueRAT เชื่อมโยงกับกลุ่มภัยคุกคามที่เริ่มโจมตีโดยมีรัฐบาลเป็นเป้าหมาย เน้นภูมิภาคเอเชียตะวันออกเฉียงใต้
นักวิจัยเปิดเผย Remote Access Trojan (RAT) ตัวใหม่ที่ดูเหมือนจะเป็นงานฝีมือของกลุ่มภัยคุกคามที่เชี่ยวชาญในการโจมตีรัฐบาล นักวิจัยของ Cisco Talos กล่าวว่ามัลแวร์ที่ถูกเรียกว่า ObliqueRAT กำลังถูกปล่อยในแคมเปญใหม่ที่มุ่งเน้นไปที่เป้าหมายในเอเชียตะวันออกเฉียงใต้ แคมเปญล่าสุดเริ่มขึ้นในเดือนมกราคม 2563 และกำลังดำเนินการอยู่อย่างต่อเนื่อง
อาชญากรไซเบอร์ที่อยู่เบื้องหลังโครงการนี้ใช้ฟิชชิ่งอีเมลเป็นจุดเริ่มต้นในการโจมตี อีเมลดังกล่าวแนบเอกสาร Microsoft Office ที่เป็นอันตราย ซึ่งจะทำการแพร่ RAT ตามมา
เอกสารแนบจะมีชื่อที่ไม่น่าสงสัย เช่น Company-Terms.