“TargetCompany” ransomware เวอร์ชัน Linux มุ่งเป้าหมายการโจมตีไปยัง VMware ESXi

นักวิจัยพบ TargetCompany ransomware เวอร์ชัน Linux ตัวใหม่ ที่กำลังกำหนดเป้าหมายการโจมตีไปที่ VMware ESXi environments โดยใช้ custom shell script เพื่อส่ง และเรียกใช้เพย์โหลดที่เป็นอันตราย

TargetCompany หรือในชื่อ Mallox, FARGO และ Tohnichi ซึ่งเริ่มพบการโจมตีมาตั้งแต่เดือนมิถุนายน 2021 โดยมีเป้าหมายการโจมตีไปยัง database (MySQL, Oracle, SQL Server) ขององค์กรส่วนใหญ่ในไต้หวัน เกาหลีใต้ ไทย และอินเดีย

ในเดือนกุมภาพันธ์ 2022 ทาง Avast บริษัทแอนตี้ไวรัส ได้เผยแพร่เครื่องมือถอดรหัส ransomware ฟรี ที่สามารถถอดรหัสเวอร์ชันต่าง ๆ ของ TargetCompany ได้ ซึ่งต่อมาในเดือนกันยายน 2022 กลุ่ม TargetCompany ransomware ได้กลับมาปฏิบัติการอีกครั้ง โดยมุ่งเป้าหมายการโจมตีไปที่ Microsoft SQL ที่มีช่องโหว่ และข่มขู่เหยื่อด้วยการเผยแพร่ข้อมูลที่ถูกขโมยออกมาผ่านทาง Telegram

TargetCompany ransomware เวอร์ชัน Linux ตัวใหม่

Trend Micro บริษัทรักษาความปลอดภัยทางไซเบอร์รายงานว่า TargetCompany ransomware เวอร์ชัน Linux ตัวใหม่ สามารถตรวจสอบได้ว่ามีสิทธิ์ระดับผู้ดูแลระบบก่อนที่จะดำเนินการโจมตีหรือไม่

ในการดาวน์โหลด และการเรียกใช้งานเพย์โหลดของแรนซัมแวร์ Hacker จะใช้ custom shell script ที่สามารถขโมยข้อมูลไปเก็บไว้ยังเซิร์ฟเวอร์ที่อยู่คนละที่กันสองเซิร์ฟเวอร์ได้ เผื่อในกรณีที่เกิดปัญหาทางเทคนิคกับเครื่องเหยื่อ โดยเพย์โหลดจะตรวจสอบว่ากำลังทำงานในสภาพแวดล้อม VMware ESXi หรือไม่ โดยการรันคำสั่ง 'uname' และค้นหา 'vmkernel'

จากนั้น ไฟล์ “TargetInfo.

แฮ็กเกอร์แฝงตัวอยู่บนระบบ SQL Server โดยการใช้ Built-in Utility

เมื่อวันอังคารที่ 17 พ.ค. ที่ผ่านมา Microsoft ได้แจ้งเตือนการตรวจพบแคมเปญที่เป็นอันตราย โดยมีเป้าหมายการโจมตีไปยัง SQL Server โดยการใช้ Built-in PowerShell binary เพื่อพยายามแฝงตัวอยู่บนเครื่องเหยื่อให้ได้นานที่สุด

รายละเอียดการโจมตี

การโจมตีดังกล่าวเกิดจากยูทิลิตี้ชื่อ sqlps.