กลุ่ม UAC-0184 ใช้ Python ในการโจมตีแบบ DLL Sideloading เพื่อแพร่กระจายมัลแวร์ XWORM

เมื่อไม่นานมานี้ CRIL พบแคมเปญมัลแวร์ที่มุ่งเป้าไปยังประเทศยูเครนโดยใช้ Remote Access Trojan (RAT) ชื่อ XWorm จากการตรวจสอบพบว่าแคมเปญนี้เกี่ยวข้องกับกลุ่ม UAT-0184 ซึ่งก่อนหน้านี้กลุ่ม UAC-0184 ได้มุ่งเป้าหมายไปยังหน่วยงานของยูเครนในประเทศฟินแลนด์ โดยใช้ Remcos RAT ในการโจมตี โดยใช้เทคนิคต่าง ๆ เช่น ไฟล์ steganographic image และ IDAT Loader (SHADOWLADDER, GHOSTPULSE) ในการแพร่กระจายมัลแวร์

ในช่วงปลายเดือนพฤษภาคม ทาง CRIL พบแคมเปญที่ผู้ไม่หวังดีใช้ไฟล์ที่ใช้ Python ซึ่งเป็นส่วนหนึ่งของเทคนิคในการหลบหลีกการตรวจจับ โดยวิธีการโจมตีในเบื้องต้นยังไม่ทราบแน่ชัด แต่มีความเป็นไปได้ว่าจะแพร่กระจายผ่านอีเมลฟิชชิง หรืออีเมลอันตรายที่มีไฟล์แนบ .ZIP

การตรวจสอบเริ่มต้นด้วยการวิเคราะห์ไฟล์ .lnk ที่พบในไฟล์ ZIP ซึ่งเมื่อดำเนินการ LNK shortcut จะเรียกใช้สคริปต์ PowerShell ที่ดาวน์โหลด ZIP file เพิ่มเติม และเอกสารปลอม ไฟล์ ZIP นี้จะมีหลายรายการ รวมถึง Python executable, Python DLL ที่เป็นอันตราย และไฟล์ไบนารี payload ที่ถูกเข้ารหัส เทคนิคการแพร่กระจายมัลแวร์นี้ใช้วิธีการ DLL sideloading และ Shadowloader เพื่อเรียกใช้ final payload ซึ่งถูกระบุว่าเป็น XWorm RAT

ภาพด้านล่างแสดง infection chain ของกลุ่ม UAC-0184 เพื่อเรียกใช้งาน XWorm payload

การวิเคราะห์ทางเทคนิค

เมือทำการแตกไฟล์ ZIP จะพบไฟล์ LNK shortcut ชื่อ "NewCopy.

Visa แจ้งเตือนการพบมัลแวร์ JSOutProx ชนิดใหม่ มุ่งเป้าไปที่สถาบันทางการเงิน

Visa ดำเนินการแจ้งเตือนเกี่ยวกับการตรวจพบมัลแวร์ JSOutProx เวอร์ชันใหม่ที่มีเป้าหมายเป็นสถาบันทางการเงิน และลูกค้าของพวกเขา

การแจ้งเตือนจากหน่วยงาน Visa’s Payment Fraud Disruption (PFD) พบว่าถูกส่งต่อไปยังหน่วยงานที่ทำหน้าที่ออกบัตร, ผู้ประมวลผล และผู้ใช้งานบัตร Visa ซึ่ง Visa ระบุว่า บริษัทได้รับทราบข้อมูลเกี่ยวกับภัยคุกคามของแคมเปญฟิชชิ่ง (Phishing) รูปแบบใหม่ ที่กำลังถูกใช้เพื่อแพร่กระจายโทรจัน (Trojan) ในวันที่ 27 มีนาคม 2024 ที่ผ่านมา

แคมเปญนี้มุ่งเป้าไปที่สถาบันทางการเงินในตอนใต้ของเอเชีย เอเชียตะวันออกเฉียงใต้ (more…)

ช่องโหว่ RCE ใหม่ใน FortiOS SSL VPN อาจกำลังถูกนำมาใช้ในการโจมตี

Fortinet ออกมาแจ้งเตือนการพบช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน FortiOS SSL VPN ซึ่งอาจกำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

CVE-2024-21762 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน FortiOS ที่ช่วยให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านทาง request ที่ถูกสร้างขึ้น (more…)

มัลแวร์ EarlyRAT ตัวใหม่ เชื่อมโยงกับกลุ่มแฮ็กเกอร์ Andariel ของเกาหลีเหนือ

นักวิเคราะห์ด้านความปลอดภัยพบ remote access trojan (RAT) ชื่อ 'EarlyRAT' ซึ่งถูกใช้งานโดย Andariel ซึ่งเป็นกลุ่มย่อยของกลุ่มแฮ็กเกอร์ Lazarus ของเกาหลีเหนือที่ได้รับการสนับสนุนโดยรัฐบาล

Andariel (หรือที่รู้จักในชื่อ Stonefly) เป็นส่วนหนึ่งของกลุ่มแฮ็กเกอร์ Lazarus ที่รู้จักกันในการใช้ (more…)

พบมัลแวร์ขโมยข้อมูลในแอปบันทึกหน้าจอยอดนิยมใน Android

Google ได้ลบแอปพลิเคชันบันทึกหน้าจอที่ชื่อว่า "iRecorder - Screen Recorder" ออกจาก Play Store หลังพบว่าแอปดังกล่าวมีการขโมยข้อมูลผู้ใช้งานมาเป็นเวลาเกือบ 1 ปี ซึ่งแอป iRecorder (ชื่อแพ็กเกจ APK "com.

พบมัลแวร์ Nerbian RAT กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

พบ Remote access trojan ตัวใหม่ที่มีชื่อว่า Nerbian RAT ซึ่งประกอบไปด้วยคุณสมบัติพิเศษหลายอย่าง รวมไปถึงการหลบเลี่ยงการตรวจจับ และวิเคราะห์จากนักวิจัย

มัลแวร์รูปแบบใหม่นี้ถูกเขียนจากภาษา Go ซึ่งทำให้มันสามารถทำงานได้หลายแพลตฟอร์ม โดยปัจจุบันเริ่มพบการแพร่กระจายผ่านทางอีเมลล์ที่มีไฟล์แนบที่ฝังมาโครที่เป็นอันตรายไว้ภายใน

แคมเปญการโจมตีนี้ถูกค้นพบโดยนักวิจัยจาก Proofpoint ซึ่งมีการเผยแพร่รายงานเกี่ยวกับมัลแวร์ Nerbian RAT ตัวใหม่ในวันนี้ (11 พ.ค. 2565)

ปลอมแปลงเป็นองค์การอนามัยโลก (WHO)

แคมเปญการโจมตีที่ใช้ในการแพร่กระจาย Nerbian RAT ในครั้งนี้ มีความพยายามปลอมแปลงข้อความว่ามาจากองค์การอนามัยโลก (WHO) ในการส่งข้อมูลสำคัญที่เกี่ยวข้องกับ COVID-19 ไปยังเป้าหมาย

โดยจะมีไฟล์ที่แนบมาเป็น .RAR และมีเอกสาร Word ที่ฝังมาโครไว้ เมื่อเปิดไฟล์ใน Microsoft Office และอนุญาตให้มาโครทำงาน มันจะทำการรัน PowerShell เพื่อดาวน์โหลด 64-bit dropper ที่มีชื่อว่า "UpdateUAV.exe" ซึ่งเขียนด้วยภาษา Golang โดย UpdateUAV จะประกอบไปด้วยโค้ดที่ใช้เพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ทางด้าน Security ก่อนที่จะทำการติดตั้ง Nerbian RAT โดยเมื่อตัว Dropper สามารถทำงานได้อย่างสมบูรณืบนเครื่องเหยื่อ มันจะทำการตั้ง schedule task ที่จะสั่งรัน Nerbian RAT ทุกๆชั่วโมง

Proofpoint สรุปรายการของเครื่องมือที่ใช้สำหรับหลีกเลี่ยงการตรวจจับไว้ดังนี้

ตรวจสอบ reverse engineering หรือ debugging โปรแกรมว่าถูกรันอยู่บนเครื่องเป้าหมายหรือไม่
ตรวจสอบ MAC Address บนเครื่องเป้าหมาย
ตรวจสอบ WMI strings เพื่อดูชื่อของดิสก์บนเครื่องเป้าหมาย
ตรวจสอบขนาดฮาร์ดดิสก์ว่าต่ำกว่า 100GB หรือไม่ เพื่อดูว่าตัวมันกำลังถูกรันอยู่บน Virtual Machine หรือไม่
ตรวจสอบ memory analysis หรือ tampering detection โปรแกรมว่าถูกรันอยู่บนเครื่องเป้าหมายหรือไม่
ตรวจสอบระยะเวลาที่ใช้ตั้งแต่ตัวมัลแวร์เริ่มดำเนินการ เปรียบเทียบกับเกณฑ์การทำงานตามปกติของมัน
ใช้ IsDebuggerPresent API เพื่อตรวจสอบว่าตัวติดตั้งของมันกำลังถูก Debug อยู่หรือไม่

การตรวจสอบทั้งหมดนี้ทำให้ค่อนข้างยากที่จะนำ RAT ดังกล่าวไปทดสอบบน sandbox หรือ virtual machine เพื่อวิเคราะห์การทำงานของมัน รวมไปถึงก็จะทำให้มัลแวร์สามารถแฝงตัวอยู่บนระบบของเหยื่อได้นานมากยิ่งขึ้นด้วยเช่นเดียวกัน

คุณสมบัติของ Nerbian RAT
ตัวโทรจันจะถูกดาวน์โหลดมาด้วยชื่อ "MoUsoCore.

Windows GravityRAT Malware Now Also Targets macOS and Android Devices

มัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เผยถึงการตรวจพบมัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

GravityRAT เป็น Remote Access Trojan (RAT) ที่ได้รับการพัฒนาจากกลุ่มแฮกเกอร์ชาวปากีสถานอย่างน้อยตั้งแต่ 2015 เพื่อใช้ในการโจมตีเป้าหมายในหน่วยงานและองค์กรทางด้านทหารของอินเดีย

ด้วยความสามารถใหม่นี้มัลแวร์ GravityRAT ที่ปัจจุบันปลอมตัวเป็นแอป Android และ macOS ที่ถูกต้องจะมีความสามารถในการดักจับข้อมูลของอุปกรณ์, รายชื่อผู้ติดต่อ, ที่อยู่, อีเมล,บันทึกการโทรและข้อความ หลังจากนั้นจะทำการส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทั้งนี้มัลแวร์ GravityRAT ยังมีความสามารถในการค้นหาไฟล์ในคอมพิวเตอร์และอุปกรณ์ removable disk ที่มีนามสกุล. doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp และ. ods และอัปโหลดไปยังเซิร์ฟเวอร์, ตรวจสอบโปรเซสที่กำลังทำงานอยู่, ล็อคกดแป้นพิมพ์, ถ่ายภาพหน้าจอ, รันคำสั่งเชลล์โค้ดได้, บันทึกเสียงและสแกนพอร์ต

ทั้งนี้ผู้ใช้งานควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่ไม่ทราบข้อมูลที่ชัดเจนและควรพิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer