นักวิจัยของ SentinelOne บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยเทคนิคการหลบหลีกการตรวจับจากอุปกรณ์ป้องกันด้านความปลอดภัย และสามารถเรียกใช้งานเพย์โหลดที่เป็นอันตรายของกลุ่ม CatB Ransomware โดยใช้เทคนิคที่มีชื่อว่า DLL search order hijacking

CatB Ransomware หรือ CatB99 และ Baxtoy ถูกพบครั้งแรกเมื่อปลายปี 2022 ซึ่งคาดว่าเป็นการพัฒนาต่อยอดมาจากกลุ่ม Pandora Ransomware โดยจากการวิเคราะห์ code-level พบว่ามีความคล้ายกัน ซึ่งพบว่า Pandora นั้นมีที่มาจาก ronze Starlight (หรือ DEV-0401 หรือ Emperor Dragonfly) โดยเป็นกลุ่ม Hacker ชาวจีนที่ใช้ Ransomware สายพันธุ์ที่มีช่วงเวลาที่ถูกใช้ในการโจมตีต่ำ เพื่ออำพรางเป้าหมายที่แท้จริงของการโจมตี

การโจมตีของ CatB Ransomware

CatB Ransomware จะโจมตีด้วยวิธีการ DLL hijacking ผ่าน Microsoft Distributed Transaction Coordinator (MSDTC) ที่เป็น service จริง ๆ ของ Microsoft เพื่อติดตั้ง และเรียกใช้งานเพย์โหลดของแรนซัมแวร์ เช่น versions.

ReversingLabs พบการเผยแพร่แพ็คเกจ Python ที่เป็นอันตรายบน PyPI ในชื่อ SentinelOne SDK ที่น่าเชื่อถือจากบริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกา โดยมีเป้าหมายคือการขโมยข้อมูลจากนักพัฒนาที่ดาวน์โหลดแพ็คเกจ

โดยที่ SentinelOne เป็นบริษัทซอฟต์แวร์การรักษาความปลอดภัยทางไซเบอร์ที่มีชื่อเสียงทางด้าน Endpoint detection and response (EDR)

โดย Hacker เขียนอธิบายใน SentinelOne SDK package ที่เผยแพร่เอาไว้ว่าเป็นแพ็คเกจ Python ที่รวบรวมฟังก์ชัน SentinelOne API ไว้อย่างครบถ้วน

แต่จากการตรวจสอบแพ็คเกจ Python นี้ พบว่าเป็นสำเนาของ SentinelOne SDK จริง เนื่องจากมี auth tokens, secrets และ API keys ที่ถูกต้อง แต่ไฟล์ถูกดัดแปลงด้วยการฝังโทรจันเอาไว้ รวมไปถึงโค้ดที่เป็นอันตรายเพื่อทำการเก็บรวบรวมข้อมูล และส่งข้อมูลกลับไปยัง Hacker เช่น ข้อมูลประวัติ Bash/ Zsh, SSH keys, ไฟล์ .gitconfig, ไฟล์ hosts, ข้อมูลค่า AWS configuration, ข้อมูลค่า Kube configuration และอื่น ๆ โดยคาดว่าเป็นการโจมตีที่มุ่งเป้าหมายไปยังบริการคลาวด์ และเซิร์ฟเวอร์ของนักพัฒนา รวมไปถึงมัลแวร์ดังกล่าวยังสามารถเก็บรวบรวมข้อมูลในระบบปฏิบัติการ Linux ได้อีกด้วย

ReversingLabs ยังพบว่า มีอีก 5 แพ็คเกจที่ชื่อคล้ายกัน และถูกอัปโหลดโดยผู้เผยแพร่คนเดียวกัน ระหว่างวันที่ 8 ถึง 11 ธันวาคม 2022 ซึ่งแพ็คเกจเหล่านี้ไม่มีไฟล์ api.

นักวิจัยจากบริษัท SentinelOne บริษัทรักษาความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์บนโปรเจกต์ Xcode ที่ถูกเรียกว่า “XcodeSpy” ซึ่งกำลังกำหนดเป้าหมายไปยังนักพัฒนาแอปพลิเคชัน iOS เพื่อทำการโจมตีในลักษณะ Supply-chain attack และเพื่อติดตั้งแบ็คดอร์บนระบบปฏิบัติการ macOS บนคอมพิวเตอร์ของผู้พัฒนา

Xcode เป็นเครื่องมือสำหรับการพัฒนาแอปพลิเคชัน (Integrated Development Environment - IDE) ที่สร้างโดย Apple ซึ่ง Xcode จะช่วยให้นักพัฒนาสามารถสร้างแอปพลิเคชันที่ทำงานบน macOS, iOS, tvOS และ watchOS

นักวิจัยจากบริษัท SentinelOne กล่าวว่าได้ค้นพบ iOS โปรเจกต์ที่มีชื่อว่า TabBarInteraction โดยโปรเจกต์ดังกล่าวเป็นโปรเจกต์ Xcode ที่ถูกต้องสำหรับผู้พัฒนาแอปพลิเคชัน จากการตรวจสอบโปรเจกต์โดยทีมนักวัยจัยพบว่าผู้ประสงค์ร้ายได้ทำการโคลนโปรเจกต์ TabBarInteraction ที่ถูกต้องและได้เพิ่มสคริปต์ 'Run Script' ที่เป็นอันตรายลงไปยังโปรเจกต์ เมื่อผู้พัฒนาแอปพลิเคชันสร้างโปรเจกต์ code จะเรียกใช้ Run Script โดยอัตโนมัติเพื่อทำการสร้างไฟล์ที่ชื่อว่าว่า .tag ใน /tmp และภายในไฟล์จะมีคำสั่ง mdbcmd เพื่อเปิด Reverse shell กลับไปที่เซิร์ฟเวอร์ของผู้ประสงค์ร้าย นอกจากนี้แบ็คดอร์ยังสามารถทำให้ผู้ประสงค์ร้ายเข้าถึงการอัปโหลดและดาวน์โหลดไฟล์, ดึงข้อมูลหรือดักฟังจากกล้อง, ไมโครโฟนและคีย์บอร์ดของผู้ที่ตกเหยื่อได้อีกด้วย

ทั้งนี้ผู้พัฒนาแอปพลิเคชันจากซอฟต์แวร์ Xcode ควรระมัดระวังในการใช้งานอย่างมาก และไม่ควรดึงโปรเจกต์จากผู้พัฒนาที่ไม่รู้จักหรือไม่รู้เเหล่งที่มา เพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer, hackread

บริษัทด้านความปลอดภัย SentinelOne ได้มีการตรวจพบปัญหาในการกระบวนการเข้ารหัสของ ThiefQuest ซึ่งนำไปสู่การพัฒนาเครื่องมือสำหรับถอดรหัสไฟล์ที่ถูกเข้ารหัสโดยมัลแวร์ ThiefQuest สำหรับผู้ตกเป็นเหยื่อได้โดยที่ไม่ต้องจ่ายค่าไถ่

ThiefQuest Ransomware หรือชื่อเดิมคือ EvilQuest Ransomware เป็นมัลแวร์เรียกค่าไถ่ที่มุ่งเป้าหมายไปยังผู้ใช้ macOS โดยเมื่อเข้าไปในเครื่องผู้ใช้ได้แล้ว มันจะทำการติดตั้ง Keylogger ,Backdoor เพื่อทำการค้นหาการมีอยู่ของ digital wallet ของ cryptocurrency เพื่อขโมยข้อมูล รวมไปถึงเข้ารหัสไฟล์ในระบบ ในปัจจุบันการแพร่กระจายโดยส่วนใหญ่ของมัลแวร์ TheifQuest นั้นแอบแฝงมากับซอร์ฟแวร์เถื่อน

วีดีโอสอนวิธีการใช้งานเครื่องมือถอดรหัส รวมไปถึงโปรแกรมสำหรับถอดรหัสสามารถดาวน์โหลดได้ที่: https://labs.