ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

แก๊งแรนซัมแวร์ รวมมัลแวร์เข้ากับเครื่องมือจัดการระบบ เพื่อโจมตีบริษัท

แก๊งแรนซัมแวร์ รวมมัลแวร์เข้ากับเครื่องมือจัดการระบบ เพื่อโจมตีบริษัท

เมื่อ :
|  ผู้เข้าชม : 460
เขียนโดย :
0 %E0%B9%81%E0%B8%81%E0%B9%8A%E0%B8%87%E0%B9%81%E0%B8%A3%E0%B8%99%E0%B8%8B%E0%B8%B1%E0%B8%A1%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C+%E0%B8%A3%E0%B8%A7%E0%B8%A1%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B9%80%E0%B8%82%E0%B9%89%E0%B8%B2%E0%B8%81%E0%B8%B1%E0%B8%9A%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B8%A1%E0%B8%B7%E0%B8%AD%E0%B8%88%E0%B8%B1%E0%B8%94%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%A3%E0%B8%B0%E0%B8%9A%E0%B8%9A+%E0%B9%80%E0%B8%9E%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B9%82%E0%B8%88%E0%B8%A1%E0%B8%95%E0%B8%B5%E0%B8%9A%E0%B8%A3%E0%B8%B4%E0%B8%A9%E0%B8%B1%E0%B8%97
A- A+
แชร์หน้าเว็บนี้ :

แก๊งมัลแวร์เรียกค่าไถ่ หรือ Ransomware นั้นมักจะมีการพัฒนากลยุทธ์ใหม่ ๆ สารพัดรูปแบบเพื่อที่จะเข้าสู่เครื่องของเหยื่อ จากการที่ผลตอบแทนที่คาดหวังได้จากการเรียกค่าไถ่นั้นสูงมาก ดังนั้นผู้อ่านอาจจะได้ทราบข่าวถึงวิธีการใหม่ ๆ ของทรชนกลุ่มนี้แทบจะทุกเดือน และในเดือนนี้อาชญากรเหล่านี้ก็ได้มาพร้อมกับกลยุทธ์ใหม่ที่ดูง่ายแต่มักไม่เอะใจและคาดไม่ถึง

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงรายงานของทีมวิจัยจาก Trend Macro บริษัทผู้พัฒนาเครื่องมือการจัดการด้านความปลอดภัยไซเบอร์ ในการตรวจพบกลยุทธ์ใหม่ของกลุ่มแรนซัมแวร์ Crypto24 ที่ใช้กลยุทธ์ในการหลอมรวมมัลแวร์เข้ากับซอฟต์แวร์ด้านการจัดการระบบ (Administrative Software) เพื่อใช้ในการแพร่กระจายมัลแวร์โดยมุ่งเน้นเหยื่อที่เป็นกลุ่มองค์กรขนาดใหญ่ และมีมูลค่าทางตลาดที่สูง โดยกลยุทธ์นี้ทำให้ทางแก๊งประสบความสำเร็จในการแพร่กระจายแรนซัมแวร์ไปในหลากพื้นที่ทั่วโลกทั้ง สหรัฐอเมริกา, ยุโรป และเอเชีย ซึ่งองค์กรที่ตกเป็นเหยื่อนั้นมักจะเป็นกลุ่ม บรรษัทการเงิน, อุตสาหกรรมการผลิต, อุตสาหกรรมบันเทิง และ กลุ่มบริษัทด้านเทคโนโลยี

บทความเกี่ยวกับ Malware อื่นๆ

ทางทีมวิจัยได้กล่าวว่า ตามปกตินั้นแก๊งแรนซัมแวร์มักจะใช้วิธีการเข้ารหัสของมัลแวร์อย่างซับซ้อนเพื่อใช้ในการลักลอบแฝงตัวเข้าไปฝังในระบบของเหยื่อ แต่ของกลุ่มดังกล่าวกลับใช้วิธีการที่แตกต่างออกไป นั่นคือ การแอบลักลอบเข้าสู่ระบบในช่วงเวลาที่ว่าง หรือนอกเวลางาน (Off-Peaks) เพื่อเลี่ยงความเสี่ยงในการถูกตรวจจับ และเพื่อให้การโจมตีได้ผลร้ายแรงที่สุดเท่าที่จะทำได้

สำหรับในส่วนซอฟต์แวร์ที่ทางแก๊งใช้งานร่วมกับปฏิบัติการมัลแวร์นั้น เรียกได้ว่าหลายตัวนั้นล้วนแต่เป็นซอฟต์แวร์ยอดนิยมสำหรับผู้ดูแลระบบทั้งสิ้น และบางตัวก็เป็นเครื่องมือพิเศษที่พัฒนาขึ้นมาเอง เช่น

  • PSExec ใช้ในการทำ Lateral Movement (การเคลื่อนย้ายแนวราบ เพื่อใช้ในการแพร่กระจายมัลแวร์หลังจากที่เจาะเข้าสู่ระบบได้แล้ว)
  • AnyDesk เพื่อรับประกันการคงอยู่ในระบบของแฮกเกอร์ ทั้งยังใช้ในการควบคุมระบบจากระยะไกล
  • Keylogger (WinMainSvc.dll) เครื่องมือพิเศษที่พัฒนาขึ้นมาใช้เอง ใช้เพื่อดักจับการพิมพ์ของผู้ที่อยู่ในระบบ
  • Google Drive เชื่อมต่อกับทุกเครื่องมือที่กล่าวมาข้างต้น ในการใช้เป็นที่เก็บข้อมูลต่าง ๆ ที่ลักลอบขโมยออกมา (Exfiltration)
  • RealBlindingEDR ฉบับดัดแปลงเพื่อใช้ในการปิดระบบรักษาความปลอดภัยของระบบ

นอกจากนั้นทางทีมวิจัยยังได้ระบุอีกว่า แก๊งแรนซัมแวร์ดังกล่าวนั้นมีความเข้าใจในระบบป้องกันอย่างลึกซึ้ง ทำให้มีอันตรายที่สูงเนื่องจากมีความสามารถในการปิดระบบป้องกันต่าง ๆ เช่น ใช้งานช่องโหว่ความปลอดภัยบนไดรเวอร์เพื่อให้เข้าถึงสิทธิ์การใช้งานในระดับแกนกลาง (Kernel) รวมไปถึงการลักลอบปิดระบบป้องกันเครื่องมือปกป้องอุปกรณ์ปลายทาง (Enpoint)

ที่ร้ายกาจไปกว่านั้นคือ ทางทีมวิจัยยังได้เปิดเผยอีกว่า กลุ่ม Crypto24 นั้นมีการใช้เทคนิคใช้งานเครื่องมือที่อยู่บนระบบของเหยื่ออยู่แล้ว หรือ Living Off The Land เพื่อใช้ในการหลบเลี่ยงการถูกตรวจจับอีกด้วย อย่างเช่น การใช้งาน gpscript.exe ซึ่งเป็นเครื่องมือสำหรับการจัดการ Group Policy เพื่อใช้สั่งการในการลบเครื่องมือรักษาความปลอดภัยต่าง ๆ จากระยะไกล ก่อนที่จะทำ Lateral Movement ในการแพร่กระจายมัลแวร์ภายในระบบ

แก๊งแรนซัมแวร์ รวมมัลแวร์เข้ากับเครื่องมือจัดการระบบ เพื่อโจมตีบริษัท
ภาพจาก : https://cybersecuritynews.com/ransomware-actors-blending-legitimate-tools/

ทางแฮกเกอร์ยังได้มีการสร้างบัญชีผู้ดูแลระบบ (Admin หรือ Administrator) ด้วยชื่อทั่ว ๆ ไปมากมายหลายบัญชีขึ้นมาเพื่อสร้างความสับสนในการตรวจสอบ แล้วใช้งาน net.exe ในการเพิ่มสิทธิ์การเข้าถึงระบบบนบัญชีเหล่านั้น

สำหรับในส่วนของการสำรวจลาดเลาบนระบบของเหยื่อนั้น มีการใช้งานไฟล์ในรูปแบบ Batch ที่มีชื่อว่า 1.bat เพื่อใช้ในการเก็บข้อมูลบนระบบของเหยื่อส่งกลับไปให้ทางทีมแฮกเกอร์วิเคราะห์ ด้วยการใช้คำสั่ง  Windows Management Instrumentation Commands (WMIC) ดังนี้

wmic partition get name,size,type

wmic COMPUTERSYSTEM get TotalPhysicalMemory,caption

net user

net localgroup

ในส่วนของตัวแรนซัมแวร์นั้น จะทำการยิงฝังตัวเองลงไปบน Process ปกติอย่าง svchost.exe เพื่อป้องกันการถูกดักจับและกักตัวด้วยเครื่องมืออย่าง Sandbox อีกด้วย


ที่มา : cybersecuritynews.com

0 %E0%B9%81%E0%B8%81%E0%B9%8A%E0%B8%87%E0%B9%81%E0%B8%A3%E0%B8%99%E0%B8%8B%E0%B8%B1%E0%B8%A1%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C+%E0%B8%A3%E0%B8%A7%E0%B8%A1%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B9%80%E0%B8%82%E0%B9%89%E0%B8%B2%E0%B8%81%E0%B8%B1%E0%B8%9A%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B8%A1%E0%B8%B7%E0%B8%AD%E0%B8%88%E0%B8%B1%E0%B8%94%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%A3%E0%B8%B0%E0%B8%9A%E0%B8%9A+%E0%B9%80%E0%B8%9E%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B9%82%E0%B8%88%E0%B8%A1%E0%B8%95%E0%B8%B5%E0%B8%9A%E0%B8%A3%E0%B8%B4%E0%B8%A9%E0%B8%B1%E0%B8%97
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น