พบกลุ่มแรนซัมแวร์กำลังใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ Bumblebee

พบกลุ่มแรนซัมแวร์กำลังใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ Bumblebee

 

 

 

 

 

 

 

Bumblebee เป็นตัวติดตั้งมัลแวร์ที่มีการค้นพบเมื่อเดือนเมษายน 2022 ถูกพัฒนาขึ้นโดยทีม Conti เพื่อแทนที่ BazarLoader backdoor ใช้สำหรับการเข้าถึงเครือข่ายและดำเนินการติดตั้งแรนซัมแวร์ โดยกำหนดเป้าหมายระดับองค์กร มีการแพร่กระจายผ่าน Google Ads และการโปรโมทซอฟต์แวร์ยอดนิยม เช่น Zoom, Cisco AnyConnect, ChatGPT และ Citrix Workspace ที่ถูกทำให้ติดอันดับการค้นหา

Google Ads เป็นแพลตฟอร์มช่วยโปรโมทโฆษณาบนหน้าเว็ปในการค้นหาของ Google เพื่อให้อยู่ในอันดับต้น ๆ ของรายการค้นหา ซึ่งมักจะถูกนำเสนอก่อนเว็ปไซต์ของคำค้นหา

ในเดือนกันยายน 2022 มีการค้นพบตัวติดตั้งมัลแวร์เวอร์ชันใหม่ โดยใช้วิธีการโจมตีเฟรมเวิร์ก PowerSploit สำหรับแทรก DLL เข้าไปในหน่วยความจำเพื่อหลบหลีกการถูกตรวจพบโดยผลิตภัณฑ์ป้องกันไวรัส

นักวิจัยจาก Secureworks ได้ค้นพบ Google Ads ที่มีการโปรโมทหน้าดาวน์โหลดโปรแกรม Cisco AnyConnect Secure Mobility Client ปลอมที่ถูกสร้างขึ้นในวันพฤหัสบดีที่ 16 กุมภาพันธ์ 2023 ด้วยโฮสต์ที่อยู่บนโดเมน "appcisco[.]com" โดย SecureWorks กล่าวว่า “ห่วงโซ่ของการติดเชื้อเริ่มต้นด้วย Google Ads ที่เป็นอันตรายส่งผู้ใช้ไปยังหน้าดาวน์โหลดปลอมนี้ผ่านเว็บไซต์ WordPress ที่ถูกบุกรุก"

 

 

 

 

 

 

 

 

 

หน้าเว็บไซต์ปลอมที่มีการโปรโมทมัลแวร์โทรจันไฟล์ MSI ที่มีชื่อว่า "cisco-anyconnect-4_9_0195.msi" ถูกใช้เพื่อติดตั้งมัลแวร์ BumbleBee โดยเมื่อดำเนินการจะมีการสร้างสำเนาของตัวติดตั้งโปรแกรมของจริงและปลอม (cisco2.ps1) และสคริปต์ Powershell จะถูกคัดลอกลงบนเครื่องผู้ใช้งาน

 

 

 

 

 

CiscoSetup.

อัปเดตสถานการณ์ SolarWinds: เจอมัลแวร์ใหม่เพิ่มอีก 3, SUPERNOVA อาจเกี่ยวกับแฮกเกอร์จีน

ไมโครซอฟต์ประกาศการตรวจพบมัลแวร์ใหม่ 3 ชนิดในสภาพแวดล้อมที่ปรากฎการโจมตีที่เกี่ยวข้องกับกลุ่ม NOBELIUM ได้แก่ GoldMax, GoldFinder และ Sibot มัลแวร์ใหม่ทั้ง 3 ชนิดถูกใช้ในช่วงเดือนสิงหาคมถึงเดือนกันยายน 2020 และอาจถูกติดตั้งตั้งแต่เดือนมิถุนายน 2020 อ่านบทวิเคราะห์เพิ่มเติมได้จากหัวข้อการวิเคราะห์มัลแวร์ (I-SECURE)
ทีม Counter Threat Unit ของ SecureWorks ออกมาเปิดเผยถึงสมมติฐานและความเป็นไปได้ที่การโจมตีระบบ SolarWinds Orion และเกี่ยวข้องกับการใช้งานมัลแวร์แบบ Web shell ชื่อ SUPERNOVA นั้นอาจมีส่วนเกี่ยวข้องกับกลุ่มแฮกเกอร์ชื่อ SPIRAL ซึ่งเป็นกลุ่มแฮกเกอร์จากประเทศจีน
บริษัท Mimecast ซึ่งตกเป็นเหยื่อของการโจมตีในลักษณะของ Supply chain attack ผ่านแพลตฟอร์ม SolarWinds Orion ออกมาเปิดเผยถึงความเสียหายว่าผู้โจมตีมีการเข้าถึงใบรับรองที่ Mimecast สร้างขึ้น, การเชื่อมต่อที่เกี่ยวข้องกับผู้ใช้งานบางรายการ รวมไปถึงดาวโหลดซอร์สโค้ดของซอฟต์แวร์ออกไป Mimecast ไม่พบการแก้ไขซอร์สโค้ดที่มีอยู่และเชื่อว่าซอร์สโค้ดที่ผู้โจมตีได้ไปนั้นไม่สมบูรณ์ และไม่สามารถเอาใช้ในการสร้างเซอร์วิสที่เหมือนกับ Mimecast ได้

ดูเพิ่มเติม : i-secure