Conti ransomware ยุติปฏิบัติการ เพื่อรีแบรนด์กลุ่มให้เล็กลง

กลุ่ม Conti ransomware ที่โด่งดังได้ยุติปฏิบัติการอย่างเป็นทางการแล้ว โดยหัวหน้าของกลุ่ม Conti แจ้งว่าจะไม่มีการใช้ชื่อ Conti อีกต่อไป

ข้อมูลนี้มาจาก Yelisey Boguslavskiy จากบริษัท Advanced Intel ซึ่งทวิตว่าระบบที่ใช้ในปฏิบัติการของกลุ่ม Conti ได้ปิดตัวลงแล้ว ในขณะที่เว็บไซต์ที่เข้าถึงได้จากสาธาณะอย่าง 'Conti News' และเว็บไซต์สำหรับการเจรจาเรียกค่าไถ่ยังคงออนไลน์อยู่ แต่ Boguslavskiy บอกกับ BleepingComputer ว่า Tor admin panels ที่สมาชิกใช้ในการพูดคุย และเผยแพร่ข่าวการรั่วไหลของข้อมูลนั้นออฟไลน์อยู่ นอกจากนี้ BleepingComputer ยังได้รับแจ้งว่าบริการภายในอื่นๆ เช่น rocket chat servers กำลังจะถูกยกเลิกการใช้งาน

แม้ว่าจะค่อนข้างแปลกที่ปฏิบัติการของกลุ่ม Conti จะปิดตัวลง ทั้งที่ยังอยู่ระหว่างการโจมตีรัฐบาล Costa Rica แต่ Boguslavskiy เชื่อว่าการโจมตีนี้มีขึ้นเพื่อถ่วงเวลาให้สมาชิกของกลุ่มค่อยๆย้ายการปฏิบัติการไปยังชื่อกลุ่มใหม่ที่เล็กลงกว่าเดิม

ซึ่งการค้นพบของ AdvIntel นำไปสู่ข้อสรุปคือ “เป้าหมายเดียวที่ Conti ต้องการในการโจมตีครั้งสุดท้ายคือการใช้แพลตฟอร์มในการประชาสัมพันธ์ว่าจะยุติปฏิบัติการ และกลับมาใหม่ในรูปแบบที่ดีขึ้นกว่าเดิม”

(more…)

แบบฟอร์มติดต่อบนเว็บไซต์ขององค์กร ถูกใช้ในการแพร่กระจายมัลแวร์ BazarBackdoor

มัลแวร์ BazarBackdoor กำลังแพร่กระจายผ่านแบบฟอร์มการติดต่อของเว็บไซต์ขององค์กร แทนที่จะเป็นการใช้อีเมลฟิชชิ่งทั่วไป เพื่อหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์ และอุปกรณ์ security

BazarBackdoor เป็นมัลแวร์ที่สร้างขึ้นโดยกลุ่ม TrickBot และอยู่ระหว่างการพัฒนาโดยกลุ่ม Conti ransomware มัลแวร์นี้ช่วยให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ยึดครองได้จากระยะไกล โดยมัลแวร์ BazarBackdoor มักจะแพร่กระจายผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตราย เพื่อหลอกให้ดาวน์โหลด และติดตั้งมัลแวร์

แบบฟอร์มการติดต่อถูกใช้แทนอีเมล

ในรายงานฉบับใหม่จาก Abnormal Security นักวิเคราะห์อธิบายว่าแคมเปญใหม่เริ่มต้นในเดือนธันวาคม 2564 โดยกำหนดเป้าหมายไปยังเหยื่อที่เป็นองค์กรด้วย BazarBackdoor โดยใช้ Cobalt Strike หรือ ransomware payloads

แทนที่จะส่งอีเมลฟิชชิ่งไปยังเป้าหมาย ผู้โจมตีจะใช้แบบฟอร์มการติดต่อขององค์กรก่อนเพื่อเริ่มการติดต่อ ตัวอย่างเช่น ในกรณีหนึ่ง นักวิเคราะห์ของ Abnormal พบผู้โจมตีปลอมตัวเป็นพนักงานในบริษัทก่อสร้างของแคนาดาเพื่อขอใบเสนอราคาจัดหาผลิตภัณฑ์ หลังจากที่พนักงานตอบกลับอีเมลข้างต้นแล้ว ผู้โจมตีจะทำการส่งไฟล์ ISO ที่เป็นอันตรายกลับไป

เนื่องจากการส่งไฟล์เหล่านี้โดยตรงจะถูกตรวจจับได้จากอุปกรณ์ security ซึ่งจะทําให้เกิดการแจ้งเตือนด้านความปลอดภัย ผู้โจมตีจึงใช้บริการแชร์ไฟล์เช่น TransferNow และ WeTransfer แทน ตามข้อมูลที่แสดงด้านล่าง

Hiding BazarLoader

ใน ISO ไฟล์ ประกอบไปด้วย .lnk file และ .log file ซึ่งเป็นความพยายามในการหลบเลี่ยงการตรวจจับของ Antivirus โดยการ packing ที่ payloads ไว้ในไฟล์ ISO และให้ผู้ใช้ดึงข้อมูลออกมาด้วยตนเอง

โดย .lnk file มีคำสั่งที่ใช้สำหรับการเปิด terminal window โดยใช้ Windows binaries บนเครื่อง และโหลด .log file ซึ่งที่จริงแล้วเป็น BazarBackdoor DLL

เมื่อ backdoor ถูกโหลดแล้วจะถูกซ่อนตัวอยู่ใน process svchost.

มัลแวร์ TrickBot อัพเกรด AnchorDNS Backdoor ด้วยเทคนิค AnchorMail

IBM Security X-Force พบเวอร์ชันอัพเกรดของ AnchorDNS Backdoor โดยมีชื่อเรียกว่า AnchorMail

"AnchorMail จะใช้ Command and Control เป็นเซิร์ฟเวอร์อีเมล โดยใช้โปรโตคอล SMTP และ IMAP ผ่าน Protocol TLS" โดย Charlotte Hammond ผู้เชี่ยวชาญการวิเคราะห์มัลแวร์ของ IBM ระบุว่าพฤติกรรมของ AnchorMail จะคล้ายๆกับพฤติกรรมของ AnchorDNS รุ่นก่อน

กลุ่มแฮกเกอร์ที่อยู่เบื้องหลัง TrickBot คือ ITG23 หรือที่รู้จักในชื่อ Wizard Spider โดยค่อนข้างมีชื่อเสียงในด้านการพัฒนา Anchor Backdoor ที่ถูกใช้โจมตีเหยื่อมาตั้งแต่ปี 2018 ด้วยมัลแวร์ TrickBot และ BazarBackdoor ในช่วงหลายปีที่ผ่านมาทางกลุ่มได้ร่วมมือกับกลุ่ม Conti Ransomware ซึ่งทำให้มีการนำ TrickBot และ BazarLoader ไปใช้ร่วมในการโจมตี

Backdoor AnchorDNS ในเวอร์ชันเก่านั้นจะสื่อสารกับเซิร์ฟเวอร์ C2 โดยใช้ DNS Tunneling เพื่อหลีกเลี่ยงการป้องกันของเหยื่อ แต่เวอร์ชันใหม่จะใช้อีเมลที่ได้รับการออกแบบมาเป็นพิเศษ

Charlotte Hammond ได้กล่าวว่า AnchorMail จะใช้โปรโตคอล SMTPS ที่เข้ารหัสเพื่อส่งข้อมูลไปยัง C2 และใช้ IMAPS ในการรับคำสั่ง การทำงานของมัลแวร์จะกำหนดเวลาให้ทำงานทุกๆ 10 นาที ตามด้วยการติดต่อไปยังเซิร์ฟเวอร์ C2 เพื่อดำเนินการรับคำสั่ง ซึ่งรวมถึงการรันไบนารี, DLL และ shell code ผ่าน PowerShell จากนั้นก็จะลบตัวมันเองออกจากระบบ

การค้นพบ Anchor เวอร์ชันใหม่ จะทำให้เกิด Backdoor ใหม่ๆที่ใช้ในการโจมตีด้วย Ransomware เพิ่มมากขึ้น

ในปัจจุบัน AnchorMail ยังพบการโจมตีเฉพาะบน Windows เท่านั้น แต่เนื่องจากพบว่า AnchorDNS ถูกนำไปใช้บน Linux เรียบร้อยแล้ว จึงทำให้ในอนาคตเราอาจพบ AnchorMail เวอร์ชัน Linux เกิดขึ้นได้เช่นกัน

ที่มา : thehackernews

ทางการสหรัฐฯ ปิดการให้บริการ Slilpp ตลาดใต้ดินที่ใหญ่ที่สุดสำหรับการซื้อขายข้อมูลการเข้าสู่ระบบ

กระทรวงยุติธรรมสหรัฐอเมริกา (DoJ) กล่าวเมื่อวันพฤหัสบดีว่า ได้ปิดการให้บริการตลาดใต้ดินที่มีชื่อเรียกว่า Slilpp ซึ่ง Slilpp เป็นตลาดแลกเปลี่ยนข้อมูลผู้ใช้งาน
ที่ถูกขโมยมา โดยเป็นส่วนหนึ่งของการดำเนินการบังคับใช้กฎหมายระหว่างประเทศ

มีบุคคลมากกว่าสิบรายถูกตั้งข้อหา หรือถูกจับกุมในข้อหามีความเกี่ยวข้องกับการกระทำที่ผิดกฏหมายในตลาดใต้ดินดังกล่าว โดยการปราบปรามทางไซเบอร์ในครั้งนี้เป็นความพยายามร่วมมือกันของประเทศสหรัฐอเมริกา เยอรมนี เนเธอร์แลนด์ และโรมาเนีย กระทรวงยุติธรรมสหรัฐอเมริกายังสามารถควบคุมเซิร์ฟเวอร์ที่ให้บริการโครงสร้างระบบที่สำคัญ รวมไปถึงโดเมนต่างๆของกลุ่มไว้ด้วย

Slilpp เปิดดำเนินการมาตั้งแต่ปี 2012 โดยเป็นตลาดซื้อขายข้อมูลบัญชีผู้ใช้ที่เกี่ยวข้องกับบริษัทต่างๆมากกว่า 1,400 แห่งทั่วโลก และมีการเสนอขายชื่อผู้ใช้และรหัสผ่านที่ถูกขโมยมามากกว่า 80 ล้านรายการ โดยเป็นข้อมูลบัญชีธนาคาร บัญชีชำระเงินออนไลน์ บัญชีโทรศัพท์มือถือ บัญชีผู้ค้าปลีก และบัญชีออนไลน์อื่นๆ

จากรายงานของเหยื่อล่าสุด กระทรวงยุติธรรมสหรัฐกล่าวว่าข้อมูลการเข้าสู่ระบบที่ถูกขายผ่าน Slilpp นั้นถูกใช้ในการหาประโยชน์ไม่น้อยกว่า $200 ล้านในสหรัฐอเมริกา

การจับกุมในครั้งนี้เกิดขึ้นโดยการบังคับใช้กฎหมายกับกลุ่มอาชญากรไซเบอร์ในช่วงไม่กี่เดือนที่ผ่านมาของประเทสสหรัฐอเมริกา
ซึ่งรวมถึง TrickBot, Emotet และ ANoM โดย Slilpp เป็นตลาดแห่งที่สามที่ถูกปิดให้บริการโดยกระทรวงยุติธรรมสหรัฐ ต่อจากการปิดให้บริการของ xDedic (มกราคม 2019) และ DEER.IO (มกราคม 2021) ซึ่งทั้งสองบริการนี้เกี่ยวข้องกับการขายข้อมูลการเข้าสู่ระบบด้วยเช่นกัน

ที่มา : thehackernews

Qakbot Malware is Targeting the Users Via Malicious Email Campaign

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

Supermicro และ Pulse Secure ออกอัปเดตเฟิร์มแวร์ใหม่เพื่อป้องกันการโจมตีจากมัลแวร์ TrickBot

Supermicro และ Pulse Secure ได้ออกคำแนะนำและเตือนภัยถึงเมนบอร์ดบางตัวที่มีความเสี่ยงต่อการถูกโจมตีของมัลแวร์ TrickBot หรือที่เรียกว่า TrickBoot ด้วยความสามารถใหม่ที่มีโมดูลการเเพร่กระจายมัลแวร์บนเฟิร์มแวร์ UEFI

เมื่อปีที่แล้วบริษัทรักษาความปลอดภัยทางไซเบอร์ Advanced Intelligence และ Eclypsium ได้เปิดเผยถึงรายงานการค้นพบเกี่ยวกับโมดูลใหม่ในมัลแวร์ TrickBoot ที่มุ่งเป้าการเเพร่กระจายมัลแวร์ไปที่ยังเฟิร์มแวร์ UEFI ของอุปกรณ์ ซึ่งภายในมัลแวร์จะมีฟังก์ชันในการอ่าน, เขียนและลบเฟิร์มแวร์ ซึ่งมัลแวร์ยังสามารถปิดการควบคุมความปลอดภัยของระบบปฏิบัติการหรือปิดการติดตั้งระบบปฏิบัติการใหม่จากผู้ใช้ได้

ในคำแนะนำของ Supermicro ซึ่งได้ระบุว่าเมนบอร์ดตะกูล X10 UP-series บางตัวมีความเสี่ยงต่อ การโจมตีมัลแวร์ TrickBoot โดยเมนบอร์ด X10 UP-series รุ่นที่มีความเสี่ยงมีดังนี้

X10SLH-F ( EOL วันที่ 3/11/2021)
X10SLL-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLL + -F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM + -F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM + -LN4F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLA-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SL7-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLL-S / -SF (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)

ทั้งนี้ Supermicro ได้เปิดตัว BIOS เวอร์ชัน 3.4 เพื่อแก้ไขช่องโหว่แล้วแต่สามารถใช้ได้สำหรับเมนบอร์ด X10SLH-F เท่านั้น ซึ่งสำหรับเมนบอร์ดที่หมดอายุการซัพพอร์ตผู้ใช้ต้องติดต่อ Supermicro เพื่อขอการใช้งาน BIOS เวอร์ชันใหม่

สำหรับ Pulse Secure ได้ออกคำแนะนำสำหรับอุปกรณ์ Pulse Secure Appliance 5000 (PSA-5000) และ Pulse Secure Appliance 7000 (PSA-7000) ที่ทำงานบนฮาร์ดแวร์ Supermicro ที่มีช่องโหว่ โดย Pulse Secure ได้เปิดตัวแพตช์ BIOS สำหรับอุปกรณ์ Pulse Connect Secure หรือ Pulse Policy Secure ซึ่ง Pulse Secure ได้เตือนถึงแพตช์อัปเดต BIOS จะต้องรีบูตอุปกรณ์ด้วยเมื่อทำการอัปเดตเสร็จ ผู้ใช้ควรทำการอัปเดตแพตช์ BIOS ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการถูกโจมตีจาก TrickBoot

ที่มา: bleepingcomputer

TrickBot Malware Gets UEFI/BIOS Bootkit Feature to Remain Undetected

มัลแวร์ TrickBot เพิ่มฟีเจอร์ใหม่ TrickBoot ทำให้มัลแวร์สามารถเข้าควบคุมเฟิร์มแวร์ในระดับ UEFI ได้

นักวิจัยจากบริษัท Advanced Intelligence (AdvIntel) และ Eclypsium ได้ออกรายงานถึงการพบความสามารถใหม่ในโมดูล TrickBot ที่จะช่วยให้มัลแวร์ TrickBot สามารถเข้าถึงแล้วควบคุม BIOS หรือเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ที่ติดไวรัสได้

ตามรายงานของนักวิจัยด้านความปลอดภัยซึ่งได้ระบุว่ามัลแวร์ TrickBot ได้ทำการปรับใช้โมดูล bootkit ซึ่งเป็นฟีเจอร์นี้จะช่วยให้มัลแวร์ TrickBot สามารถเข้าถึงแล้วควบคุม BIOS หรือเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ที่ติดไวรัสและมัลแวร์สามารถคงอยู่ได้ต่อไปหลังจากผู้ใช้ทำการติดตั้งระบบปฏิบัติการ อีกทั้งภายในโมดูลยังมีความสามารถที่จะช่วยให้ผู้ประสงค์ร้ายสามารถทำได้ดังนี้

สามารถปิดการเข้าถึงอุปกรณ์จากระยะไกลที่ระดับเฟิร์มแวร์ผ่านการเชื่อมต่อระยะไกลของมัลแวร์ทั่วไป สามารถ Bypass ระบบ Security control เช่น BitLocker, ELAM, Windows 10 Virtual Secure Mode, Credential Guard, Endpoint Protection และซอฟต์แวร์ป้องกันไวรัส เป็นต้น
สามารถทำให้ผู้ประสงค์ร้ายกำหนดเป้าหมายการโจมตีช่องโหว่ Intel CSME หรือบางส่วนของ SPI controller ได้
สามารถ Reverse ACM หรือการอัปเดตไมโครโค้ดที่แก้ไขช่องโหว่ของ CPU เช่น Spectre, MDS เป็นต้น
นักวิจัยด้านความปลอดภัยยังกล่าวอีกว่ามัลแวร์มีโค้ดสำหรับอ่านเขียนและลบเฟิร์มแวร์ ซึ่งปัจจุบันโมดูลของ TrickBot ยังสามารถทำงานกับคอนโทรลเลอร์ SPI เท่านั้น ด้วยมัลแวร์ TrickBot มีความเกี่ยวเนื่องกับกลุ่ม Ransomware ในอนาคตอาจมีความเป็นไปได้ว่ากลุ่มผู้ประสงค์ร้ายนั้นจะใช้ฟีเจอร์ใหม่ของมัลแวร์ TrickBot นี้ทำการทำลายระบบของบริษัทหรือองค์กรต่างๆ ปฏิเสธการจ่ายเงินที่ถูกเรียกร้อง ทั้งนี้โมดูลนี้ยังสามารถใช้เพื่อป้องกันไม่ให้ทำการค้นหาหลักฐานทางนิติวิทยาศาสตร์ที่สำคัญได้โดยทำให้ความสามารถในการบู๊ตของระบบล้มเหลว

ผู้ใช้งานควรหลีกเลี่ยงการการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่รู้จักและทำการอัปเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอเพื่อป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: zdnet | thehackernews

 

Hackers now abuse BaseCamp for free malware hosting

แฮกเกอร์เริ่มแคมเปญฟิชชิ่งใหม่ที่ใช้ Basecamp ในการเเพร่กระจายมัลแวร์ไปยังผู้ใช้ทั่วไป

นักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam และนักวิจัยอิสระ James ได้พบถึงพฤติกรรมของกลุ่มผู้ประสงค์ร้ายที่กำลังเริ่มแคมเปญฟิชชิ่งใหม่ที่ใช้ Basecamp ในการเผยเเพร่ไฟล์ที่เป็นอันตรายซึ่งแอบเเฝงมัลแวร์ไว้เพื่อการเเพร่กระจายและทำการขโมยข้อมูล credential ของเหยื่อ

Basecamp เป็นโปรเจ็กต์ในการพัฒนา web-based management ที่ช่วยให้ผู้ใช้สามารถทำงานร่วมกัน, สนทนากัน, สร้างเอกสารและแชร์ไฟล์กันได้ โดยนักวิจัยพบว่ามีผู้ประสงค์ร้ายกำลังพยายามแจกจ่ายไฟล์ปฏิบัติการที่ชื่อว่า BazarLoader ด้วยการใช้ลิงก์ดาวน์โหลด Basecamp แบบสาธารณะ ซึ่งเมื่อทำการตรวจสอบไฟล์ BazarLoader พบว่าเป็นโทรจันที่เชี่อมโยงไปยังมัลแวร์ TrickBot และเมื่อทำการติดตั้งแล้ว BazarLoader แล้วตัวมัลแวร์จะทำการปรับใช้บีคอน Cobalt Strike ที่จะอนุญาตให้ผู้ประสงค์ร้ายเข้าถึงเครือข่ายและจะทำให้ผู้ประสงค์ร้ายสามารถนำ Ryuk ransomware เข้าไปรันในเครือข่ายหรือระบบได้ในท้ายที่สุด

เนื่องจาก Basecamp เป็นบริการที่มีความเชื่อถือได้ ทำให้ผู้ใช้ไม่รู้สึกผิดสังเกตถึงการพยายามในการเเพร่กระจายมัลแวร์ ทั้งนี้ผู้ใช้งานควรต้องใช้ความระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์และควรพิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพเพื่อเป็นการป้องกันเครื่องของผู้ใช้และระบบของผู้ใช้

ที่มา: bleepingcomputer

Microsoft และกลุ่มพันธมิตรเตรียมจัดการขั้นเด็ดขาดกับ TrickBot botnet

 

 

 

 

 

 

Microsoft Defender team และกลุ่มพันธมิตรอันประกอบไปด้วย FS-ISAC, ESET, Lumen Black Lotus Labs, NTT และ Symantec ได้ประกาศถึงความพยายามในการประสานงานเพื่อทำการปิดโครงสร้างพื้นฐานที่เป็นแบ็กเอนด์ของบ็อตเน็ต TrickBot

การประสานความร่วมมือระหว่า Microsoft, ESET, Symantec และกลุ่มพันธมิตรอื่นๆ ที่ใช้เวลาหลายเดือนในการรวบรวมตัวอย่างมัลแวร์ TrickBot ที่มีจำนวนมากกว่า 125,000 ตัวอย่าง ซึ่งจากการวิเคราะห์เนื้อหา, การแยกข้อมูลและการจัดกลุ่มข้อมูลที่เกี่ยวกับการทำงานภายในของมัลแวร์รวมถึงเซิร์ฟเวอร์ทั้งหมดที่บ็อตเน็ตใช้ควบคุมคอมพิวเตอร์ที่ติดไวรัสและให้บริการโมดูลเพิ่มเติม เพื่อขออำนาจจากศาลในการเข้าควบคุมเซิร์ฟเวอร์บ็อตเน็ต TrickBot

ซึ่งด้วยหลักฐานทีทำการรวมรวมมานี้ศาลได้อนุมัติให้ Microsoft และกลุ่มพันธมิตรสามารถทำการปิดการใช้งาน IP addresses, ข้อมูลและเนื้อหาที่ถูกจัดเก็บไว้ใน C&C เซิร์ฟเวอร์และยังสามารถระงับการให้บริการเซิร์ฟเวอร์ทั้งหมดที่ทำการเชื่อมต่อไปยังบ็อตเน็ตจากผู้เช่าบริการเซิร์ฟเวอร์

บ็อตเน็ต TrickBot ถูกพบครั้งแรกในปี 2016 ในรูปแบบของ banking trojan ก่อนที่จะถูกพัฒนาไปเป็นมัลแวร์อเนกประสงค์ที่กลุ่มอาชญากรใช้ในการเเพร่กระจายและให้บริการในรูปที่เรียกว่า MaaS (Malware-as-a-Service) ซึ่งเป็นรูปแบบการให้บริการเช่ามัลแวร์เพื่อใช้ในการโจมตี นอกจากนี้บ็อตเน็ต TrickBot ยังมีความเชื่อมโยงกับกลุ่ม ransomware เช่น Ryuk และ Conti อีกด้วย

ที่มา: zdnet.

Nworm: TrickBot gang’s new stealthy malware spreading module

“Nworm” มัลแวร์ใหม่จากค่าย TrickBot พุ่งเป้าเเพร่กระจายและขโมยข้อมูล

นักวิจัยจาก Palo Alto ได้เผยถึงรายงานการค้นพบใหม่ในมัลแวร์กลุ่ม Trickbot หลังจากที่นักพัฒนา TrickBot ได้ทำการเปิดตัวโมดูลใหม่ของ TrickBot ซึ่งใช้เทคนิคใหม่เพื่อหลบเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพในการแพร่กระจายมัลแวร์สู่เครือข่าย โดยตั้งชื่อเรียกโมดูลใหม่ตัวนี้ว่า “nworm”

เมื่อเริ่มต้นทำการแพร่กระจาย มัลแวร์ TrickBot จะประเมินสภาพเเวดล้อมของเครื่องและเครือข่าย หลังจากนั้นจะทำการดาวโหลดโมดูลต่าง ๆ เพื่อทำการแพร่กระจายบนคอมพิวเตอร์ที่ติดเชื้อและในเครือข่าย

หาก TrickBot ตรวจพบว่ากำลังทำงานอยู่บน Windows Active Directory (AD) มัลแวร์จะทำการดาวโหลดโมดูลที่เรียกว่า “mworm” และ “mshare”เพื่อทำการแพร่กระจายมัลแวร์ TrickBot ไปยัง Domain Controller ที่มีช่องโหว่โดยการใช้ช่องโหว่ของ SMB

ข้อเเนะนำในการป้องกัน
เเนะนำผู้ใช้งานควรหลีกเลี่ยงการการดาวโหลดไฟล์จากเว็บไซต์ที่ไม่รู้จัก ให้ทำการอัพเดตโปรเเกรมป้องกันไวรัสอยู่เสมอเพื่อป้องกนการติดมัลแวร์และความเสี่ยงในการถูกขโมยข้อมูล

ที่มา: bleepingcomputer