ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์ (Online Random)
มินิเกม
กิจกรรมไอที
เกม
เช็ครอบหนัง
รวมคลิป Thaiware
อันตราย! พบมัลแวร์ลึกลับตัวใหม่ สามารถสั่งปิดระบบป้องกัน EDR ได้!
Sarun_ss777
ระบบ Endpoint Detection and Response หรือ EDR นั้น เรียกได้ว่าเป็นโซลูชันด้านความปลอดภัยไซเบอร์ที่เข้ามามีบทบาทสูงในยุคปัจจุบัน เนื่องจากเข้ามาช่วยอุดรอยรั่วของระบบตรวจจับบนซอฟต์แวร์ Anti-virus แบบดั้งเดิม ช่วยเสริมความแข็งแกร่งให้กับระบบความปลอดภัยไซเบอร์ในการป้องกันทั้งมัลแวร์ และภัยคุกคามที่อาจหลุดรอดแผงป้องกันชั้นแรกมาไม่ว่าจะเป็น Firewall, IPS, และ Sandbox นอกจากนั้นแล้วระบบ EDR ยังมีความฉลาดในการตรวจจับที่มากกว่า Anti-virus แบบดั้งเดิมที่เน้นข้อมูลที่มีอยู่แล้วในฐานข้อมูล แต่ EDR ใช้การตรวจจับเชิงพฤติกรรมแทน ทำให้สามารถตรวจจับภัยได้อย่างรวดเร็ว แต่ถึงแม้ระบบ EDR จะมีประสิทธิภาพสูงในจัดการมัลแวร์ และภัยคุกคาม กลับสามารถถูกแฮกเกอร์เอาชนะได้ด้วยวิธีการที่หลายคนอาจจะคาดไม่ถึง
จากรายงานโดยทีมวิจัย Elastic Security Labs ได้มีการตรวจพบ “ชุดภัยคุกคามใหม่” ที่ยังไม่มีการตั้งชื่ออย่างเป็นทางการ ซึ่งทางทีมวิจัยได้ทำการตั้งชื่ออ้างอิงไว้ว่า “REF4578” ซึ่งชุดภัยคุกคามนี้จะปลอมตัวเป็นไฟล์ "Tiworker.exe" ซึ่งคล้ายคลึงกับโปรแกรมบนระบบวินโดว์ที่มีชื่อว่า "WindowsTiworker.exe" เพื่อหลอกให้เหยื่อกดใช้งาน โดยชุดภัยคุกคามดังกล่าวได้มีการนำมัลแวร์ "GhostEngine" เข้ามาเป็นตัวเบิกทางในการเข้าสู่ระบบของเหยื่อ ด้วยการใช้มัลแวร์ดังกล่าวปิดระบบป้องกัน EDR ซึ่งมัลแวร์ตัวนี้นั้นนอกจากจะมีความสามารถในการสั่งปิดระบบป้องกันแล้ว ยังมีความสามารถในการลบเครื่องมือที่ EDR ใช้ในการตรวจจับภัยคุกคาม (EDR Agents) หลายตัวที่อาจเป็นตัวขัดขวางการโจมตีของชุดภัยคุกคามดังกล่าวอีกด้วย
- ตกงานแล้วยังซวยอีก ! แฮกเกอร์ใช้ข้อเสนองานปลอม ปล่อยมัลแวร์ Warmcookie ใส่เครื่องเหยื่อ
- พบช่องโหว่ Zero-click บน Outlook แค่เปิดอีเมลก็ติดมัลแวร์ได้
- ผู้ใช้ Remote Desktop ระวังโดนแฮกเกอร์รุมสกรัมออนไลน์ผ่านมัลแวร์ MultiRDP
- แฮกเกอร์ใช้ช่องโหว่ในไฟล์ WinRAR ในการแพร่กระจายมัลแวร์
- Vidar Stealer มัลแวร์สุดเทพ ใช้วิธีหลบหลีกระบบตรวจจับที่พลิ้วเหลือเชื่อ
หลังจากที่ตัว GhostEngine ได้ทำการกำจัดระบบรักษาความปลอดภัยบนเครื่องของเหยื่อแล้ว สคริปท์ที่อยู่บนชุดภัยคุกคามดังกล่าว ก็จะทำการรันเพื่อปล่อยมัลแวร์ตัวใหม่ "XMRig Miner" ซึ่งเป็นมัลแวร์ประเภทใช้ทรัพยากรเครื่องของเหยื่อในการขุดเหรียญคริปโตเคอร์เรนซีสกุล XMR (หรือ Monero ซึ่งเป็นเงินคริปโตเคอร์เรนซีประเภทปกปิดตัวตนของทั้งผู้รับ และผู้ส่งเงิน)
ภาพจาก https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine
โดยทางทีมวิจัยได้ให้ความเห็นถึงการจับคู่ระหว่างมัลแวร์ทั้ง 2 ตัวว่า เป็นการวางระบบเพื่อรับประกันการติดตั้งมัลแวร์เพื่อการขุดเหรียญว่าจะสามารถติดตั้งได้สำเร็จ รวมทั้งเป็นประกันชั้นที่ 2 ว่าจะสามารถใช้ทรัพยากรของเหยื่อเพื่อขุดเหรียญได้อย่างต่อเนื่อง
นอกจากนั้นยังมีรายงานจากทีมวิจัยของ Antity Labs ที่พบชุดภัยคุกคามที่มีลักษณะการโจมตีคล้ายกันในชื่อ “Hidden Shovel” ซึ่งมีระบบการทำงานคือ ตัวมัลแวร์ในชุดภัยคุกคามนี้จะทำการสั่งปิดระบบป้องกัน EDR แล้วเปิดประตูหลังของระบบ (Backdoor) แล้วจึงติดตั้งเครื่องมือสำหรับขุดเหรียญคริปโตเคอร์เรนซีลงสู่เครื่องของเหยื่อ
จากแหล่งข่าว ทีมวิจัยไม่ได้มีการระบุไว้ว่างเป้าหมายของการโจมตีด้วยชุดภัยคุกคามทั้ง 2 รูปแบบนั้น มุ่งเน้นการโจมตีองค์กร หรือกลุ่มเป้าหมายใดแต่อย่างใด
ที่มา : www.darkreading.com , www.itgreen.co.th
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.