แสดงบทความที่มีป้ายกำกับ trojan แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ trojan แสดงบทความทั้งหมด

02/05/2566

QBot ใช้การโจมตีทางอีเมลรูปแบบใหม่โดยใช้ PDF และ WSF เพื่อติดตั้ง Malware (โจมตีฝั่งผู้ใช้งาน)


  Qbot (หรือที่รู้จักกันในชื่อ QakBot) ซึ่งในอดีตถูกใช้เป็น Banking Trojan แต่ต่อมาได้พัฒนาเป็น Malware ที่สามารถใช้เพื่อเข้าถึงเครือข่ายขององค์กร การเข้าถึงทำได้โดยการ dropping payloads เช่น Cobalt Strike, Brute Ratel และ Malware อื่น ๆ ที่ใช้เพื่อให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงอุปกรณ์ได้
   โดย QBot มีการแพร่กระจายโดยผ่านฟิชชิงด้วยการใช้ไฟล์ PDF และ Windows Script Files (WSF) เพื่อทำการติดตั้ง Malware บน Windows เมื่อสามารถเข้าถึงเครื่องเป้าหมายได้ ผู้ไม่ประสงค์ดีจะทำการโจมตีต่อไปยังระบบอื่น ๆ ในเครือข่ายของเป้าหมายเพื่อขโมยข้อมูล และติดตั้ง Ransomware ในที่สุด
    ทาง กลุ่ม ProxyLife และกลุ่ม Cryptolaemus ได้เริ่มบันทึกวิธีการแพร่กระจายผ่านทางอีเมลของ Qbot ซึ่งเป็นการใช้ไฟล์แนบ PDF ที่จะดาวน์โหลดไฟล์ Windows Script เพื่อติดตั้ง Qbot บนอุปกรณ์ของเป้าหมาย
    ถูกเผยแพร่ผ่านอีเมลฟิชชิ่งในลักษณะ reply-chain เมื่อผู้ไม่ประสงค์ดีเข้าถึงอีเมลของเป้าหมายรายใดรายหนึ่งได้ จะใช้วิธีการตอบกลับอีเมลด้วยการแนบลิงก์ หรือไฟล์แนบที่เป็นอันตราย การใช้การตอบกลับอีเมล เป็นการพยายามทำให้อีเมลฟิชชิ่งน่าสงสัยน้อยลง เนื่องจากเป็นการตอบกลับที่ทำให้ดูเป็นอีเมลที่กำลังอยู่ในการสนทนาอยู่ โดยอีเมลฟิชชิงสามารถใช้ภาษาที่หลากหลาย แสดงให้เห็นว่าเป็นสำหรับการกระจาย Malware ได้ทั่วโลก


    โดยสิ่งที่แนบมากับอีเมลเหล่านี้คือไฟล์ PDF ชื่อ 'CancelationLetter-[number].pdf ' ซึ่งเมื่อเปิดแล้วจะแสดงข้อความว่า "เอกสารนี้มีไฟล์ที่มีการป้องกัน หากต้องการแสดง ให้คลิกที่ปุ่ม "Open"
   อย่างไรก็ตามเมื่อเป้าหมายคลิกปุ่มเปิดแล้ว ไฟล์ ZIP ที่ภายในมีไฟล์ Windows Script (wsf) จะถูกดาวน์โหลดมาแทน


    นอกจากไฟล์สคริปต์ของ Windows ที่ลงท้ายด้วยนามสกุล .wsf ยังมี JScript และ VBScript ซึ่งจะถูกเรียกใช้งานเมื่อไฟล์ถูกดับเบิลคลิกอีกด้วย โดยไฟล์ WSF ที่ใช้ในการกระจาย Malware QBot มีความซับซ้อนเป็นอย่างมาก โดยมีเป้าหมายในการเรียกใช้สคริปต์ PowerShell บนเครื่องของเป้าหมาย


    PowerShell สคริปต์ที่จะดำเนินการผ่านไฟล์ WSF จะดาวน์โหลดไฟล์ DLL จาก URL ซึ่งแต่ละ URL จะถูกลองใช้จนกว่าไฟล์จะถูกดาวน์โหลดไปยังโฟลเดอร์ %TEMP% ได้สำเร็จ
   เมื่อ QBot DLL ถูกประมวลผลแล้ว จะเรียกใช้คำสั่ง PING เพื่อตรวจสอบว่ามีการเชื่อมต่ออินเทอร์เน็ตหรือไม่ จากนั้น Malware จะ inject ตัวเองเข้าไปในโปรแกรม Windows wermgr.exe (Windows error Manager) และทำงานอย่างเงียบ ๆ


    การติด Malware QBot สามารถนำไปสู่การโจมตีเพื่อสร้างความเสียหายบนเครือข่ายขององค์กร ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องเข้าใจว่า Malware ถูกแพร่กระจายได้อย่างไร
    ปัจจุบันพบว่า Ransomware as a service (RaaS) หลายแห่ง รวมถึง BlackBasta, REvil, PwnLocker, Egregor, ProLock และ MegaCortex ใช้ Malware Qbot เพื่อเข้าถึงเครือข่ายขององค์กรของเป้าหมาย
    นักวิจัยจาก The DFIR Report ระบุว่า QBot ใช้เวลาเพียงประมาณ 30 นาทีในการขโมยข้อมูลที่มีความสำคัญ ภายหลังจากการติด Malware ได้ในครั้งแรก ที่แย่ไปกว่านั้นคือ Malware นี้ใช้เวลาเพียง 1 ชม. ในการแพร่กระจายไปยัง workstation อื่น ๆ ที่อยู่ใกล้เคียงกันได้
  ดังนั้นหากองค์กรติด Malware QBot สิ่งสำคัญคือต้องทำการต้องออฟไลน์ระบบโดยเร็วที่สุด และรีบทำการประเมินเพื่อหาพฤติกรรมที่ผิดปกติอื่น ๆ บนเครือข่าย

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , , ,

24/02/2566

WhiskerSpy Backdoor แพร่กระจายผ่านตัวติดตั้ง trojan video codec


 นักวิจัยจาก Trend Micro บริษัทรักษาความปลอดภัยทางไซเบอร์ พบ Backdoor ตัวใหม่ ในชื่อ WhiskerSpy ที่ถูกเผยแพร่โดยกลุ่ม Hacker ที่มีชื่อว่า Earth Kitsune ซึ่งมุ่งเป้าหมายการโจมตีไปยังกลุ่มผู้สนับสนุนประเทศเกาหลีเหนือ โดย Trend Micro ได้เริ่มติดตามการดำเนินกิจกรรมของกลุ่ม Hacker ดังกล่าวมาตั้งแต่ปี 2019

การโจมตีแบบ Watering hole attack
 นักวิจัยพบว่า Hacker จะเลือกเป้าหมายการโจมตีไปยังกลุ่มผู้เยี่ยมชมเว็บไซต์ที่มีเนื้อหาสนับสนุนประเทศเกาหลีเหนือ โดยพบว่า Hacker จะกำหนดเป้าหมายการโจมตีไปยัง ผู้เยี่ยมชมเว็บไซต์ที่มีที่ IP address มาจาก ประเทศจีน, ประเทศญี่ปุ่น และประเทศบราซิล จากการตรวจสอบเพิ่มเติมพบว่า ผู้เยี่ยมชมเว็บไซต์ที่มีที่ IP address จากประเทศบราซิล ถูกใช้เพื่อทดสอบการโจมตีแบบ watering hole โดยใช้การเชื่อมต่อแบบ VPN เท่านั้น ซึ่งเป้าหมายที่แท้จริงก็คือ ผู้เยี่ยมชมเว็บไซต์ที่มีที่ IP address จากประเทศจีน และประเทศญี่ปุ่น Hacker จะทำการโจมตีเว็บไซต์ดังกล่าว และฝังสคริปต์ที่เป็นอันตราย ที่จะขอให้เป้าหมายทำการติดตั้งซอฟต์แวร์ video codec (ที่มีการฝัง Backdoor เอาไว้) เพื่อให้สามารถที่จะเปิดสื่อวิดีโอได้ และทำเหยื่อไม่สงสัย


 ซึ่งเป้าหมายจะได้รับข้อความแสดงข้อผิดพลาดด้านล่าง ซึ่งเป็นการแจ้งให้ติดตั้งซอฟต์แวร์ video codec แต่ในความจริงแล้วซอฟต์แวร์ video codec ดังกล่าวคือ MSI executable เพื่อเรียกใช้คำสั่ง PowerShell ในการดาวน์โหลด WhiskerSpy นั้นเอง


 รวมไปถึงยังพบว่า Hacker ยังได้ใช้วิธีการฝังตัวเองในระบบ (Persistence) โดยการ ติดตั้งโปรแกรมอันตรายในส่วนขยายของ Google Chrome ที่มีชื่อว่า Google Chrome Helper ซึ่งจะทำหน้าที่ในการอนุญาตให้ดำเนินการเพย์โหลดอันตรายทุกครั้งที่เบราว์เซอร์เริ่มทำงาน นอกจากนี้ยังได้ใช้ประโยชน์จากช่องโหว่ของ OneDrive ในการแนบไฟล์อันตราย (fake “vcruntime140.dll”) ในไดเร็กทอรี OneDrive อีกด้วย


รายละเอียด WhiskerSpy
 WhiskerSpy เป็นเพย์โหลดหลักที่ใช้ในแคมเปญการโจมตีล่าสุดของกลุ่ม Earth Kitsune โดยเรียกใช้คำสั่งจาก command and control (C2) server ซึ่งจะทำการเชื่อมต่อเป็นระยะ ๆ เพื่ออัปเดตสถานะ โดยใช้ 16-byte AES key สำหรับการเข้ารหัส

มีความสามารถดังต่อไปนี้
  • ใช้ shellcode ในการตอบโต้ และสั่งการ
  • ดาวน์โหลดไฟล์
  • อัพโหลดไฟล์
  • ลบไฟล์
  • รวบรวมรายการ files
  • ดาวน์โหลดคำสั่งการ และส่งออกข้อมูล
  • แทรก shellcode ใน process ของระบบ
  • ถ่ายภาพหน้าจอ

 นอกจากนี้ยังพบว่า WhiskerSpy เวอร์ชันก่อนหน้านี้ ได้ ใช้ FTP protocol แทน HTTP สำหรับการสื่อสารกับ C2 server แต่พบว่าเวอร์ชันดังกล่าวนั้นมีข้อบกพร่อง จึงได้มีการพัฒนาจนกลายเป็นเวอร์ชันปัจจุบัน

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,
สมัครสมาชิก: บทความ (Atom)