พบผู้ไม่ประสงค์ดีใช้ Google Drive เพื่อวาง Malware บนเครือข่ายของรัฐบาล
ผู้ไม่ประสงค์ดีใช้การโจมตีแบบฟิชชิ่งเพื่อส่ง Malware ที่เก็บไว้ใน Google Drive ไปยังรัฐบาล และ องค์กรทางวิชาการทั่วโลก โดยการโจมตีดังกล่าวมาจากกลุ่ม Mustang Panda หรือที่รู้จักในชื่อ TA416
ผู้เชี่วยชาญด้านความปลอดภัยไซเบอร์ของ Trend Micro กล่าวว่ากลุ่ม TA416 มุ่งเป้าไปที่องค์กรในออสเตรเลีย ญี่ปุ่น ไต้หวัน เมียนมาร์ และฟิลิปปินส์เป็นส่วนใหญ่
ผู้ไม่ประสงค์ใช้บัญชี Google ทำการส่งข้อความไปยัง E-mail เป้าหมายเพื่อหลอกล่อให้ดาวน์โหลด Malware จากลิงก์ Google Drive โดยลิงก์ที่ฝังไว้จะนำทางไปยังโฟลเดอร์ Google Drive หรือ Dropbox เพื่อหลีกเลี่ยงการตรวจจับ ซึ่งลิงก์ดังกล่าวยังนำไปสู่การดาวน์โหลด RAR, ZIP และ JAR โดยในไฟล์จะมี Malware หลายตัวเช่น ToneShell, ToneIns และ PubLoad
PubLoad เป็น stager ทำหน้าที่ในการสร้าง persistence การเพิ่มรีจิสตรีคีย์และ สร้าง Scheduled ที่กำหนดเวลาไว้, ถอดรหัส shellcode และ จัดการการสื่อสารด้วยคำสั่งและการควบคุม (C2) ToneIns เป็นตัวติดตั้งสำหรับ ToneShell ซึ่งเป็น backdoor หลักที่ใช้ในการโจมตีล่าสุด ยังมีความสามารถในการหลบเลี่ยงการตรวจจับ และ โหลด ToneShell ในขณะเดียวกันก็สร้าง persistence ในระบบที่ถูกโจมตี ToneShell เป็น backdoor แบบ Standalone ที่โหลดโดยตรงในหน่วยความจำ และนอกจากนี้ยังหน้าที่เป็นกลไก Anti-sandbox เนื่องจาก backdoor จะไม่ทำงานใน Debugging Environment
หลังจากเชื่อมต่อกับ C2 แล้ว ToneShell จะส่งแพ็คเกจพร้อมข้อมูล ID ของเหยื่อ จากนั้นจะรอ Commands ใหม่ ซึ่ง Commands เหล่านี้ให้สิทธิ์ในการอัปโหลด, ดาวน์โหลด, เรียกใช้งานไฟล์, สร้าง Shells สำหรับการแลกเปลี่ยนข้อมูล Intranet, เปลี่ยนแปลงการกำหนดค่า Sleep และ อื่น ๆ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น