นักวิจัยด้านความปลอดภัยพบว่ามีการโจมตีเพิ่มขึ้นเมื่อเร็วๆ นี้ที่เกี่ยวข้องกับ Jupyter เวอร์ชันใหม่ที่มีความซับซ้อน ซึ่งเป็นตัวขโมยข้อมูลที่กำหนดเป้าหมายผู้ใช้เบราว์เซอร์ Chrome, Edge และ Firefox ตั้งแต่ปี 2020 เป็นอย่างน้อย
มัลแวร์นี้เรียกอีกอย่างว่า Yellow Cockatoo, Solarmarker และ Polazert สามารถแบ็คดอร์เครื่องและรวบรวมข้อมูลประจำตัวที่หลากหลาย รวมถึงชื่อคอมพิวเตอร์ สิทธิ์ของผู้ดูแลระบบของผู้ใช้ คุกกี้ ข้อมูลเว็บ ข้อมูลผู้จัดการรหัสผ่านของเบราว์เซอร์ และข้อมูลที่ละเอียดอ่อนอื่น ๆ จาก ระบบของเหยื่อ — เช่น การเข้าสู่ระบบกระเป๋าเงินดิจิตอลและแอปการเข้าถึงระยะไกล
ภัยคุกคามทางไซเบอร์ที่ขโมยข้อมูลอย่างต่อเนื่อง
เมื่อเร็วๆ นี้ นักวิจัยจากบริการตรวจจับและตอบสนอง (MDR) ของ Carbon Black ของ VMware สังเกตเวอร์ชันใหม่ ของมัลแวร์ที่ใช้ประโยชน์จากการแก้ไขคำสั่ง PowerShell และเพย์โหลดที่ดูถูกต้องตามกฎหมายและลงนามแบบดิจิทัล ซึ่งแพร่ระบาดในระบบจำนวนเพิ่มขึ้นอย่างต่อเนื่องนับตั้งแต่ปลายเดือนตุลาคม
“การติดไวรัส Jupyter ล่าสุดใช้ใบรับรองหลายใบเพื่อลงนามมัลแวร์ ซึ่งในทางกลับกันสามารถให้ความไว้วางใจแก่ไฟล์ที่เป็นอันตราย โดยให้การเข้าถึงเบื้องต้นไปยังเครื่องของเหยื่อ” VMware กล่าวในบล็อกความปลอดภัยในสัปดาห์นี้ “การปรับเปลี่ยนเหล่านี้ดูเหมือนจะเพิ่มความสามารถในการหลบหลีกของ [Jupyter] ทำให้มันยังคงไม่โดดเด่น”
มอร์ฟีเซค และ BlackBerry — ผู้จำหน่ายอีกสองรายที่เคยติดตาม Jupyter ก่อนหน้านี้ — ได้ระบุมัลแวร์ว่าสามารถทำงานเป็นแบ็คดอร์เต็มรูปแบบได้ พวกเขาได้อธิบายถึงความสามารถต่างๆ ของมัน เช่น การสนับสนุนการสื่อสารคำสั่งและการควบคุม (C2) ทำหน้าที่เป็นตัวหยดและตัวโหลดสำหรับมัลแวร์อื่นๆ การฝังโค้ดเชลล์เพื่อหลบเลี่ยงการตรวจจับ และการเรียกใช้สคริปต์และคำสั่ง PowerShell
BlackBerry ได้รายงานว่าการสังเกต Jupyter ยังกำหนดเป้าหมายไปที่ crypto-wallets เช่น Ethereum Wallet, MyMonero Wallet และ Atomic Wallet นอกเหนือจากการเข้าถึง OpenVPN, Remote Desktop Protocol และแอปพลิเคชันการเข้าถึงระยะไกลอื่น ๆ
ผู้ดำเนินการมัลแวร์ได้ใช้เทคนิคที่หลากหลายเพื่อกระจายมัลแวร์ รวมถึงการเปลี่ยนเส้นทางเครื่องมือค้นหาไปยังเว็บไซต์ที่เป็นอันตราย การดาวน์โหลดแบบไดรฟ์บาย ฟิชชิ่ง และการวางยา SEO หรือการจัดการผลลัพธ์ของเครื่องมือค้นหาอย่างประสงค์ร้ายเพื่อส่งมัลแวร์
Jupyter: หลีกเลี่ยงการตรวจจับมัลแวร์
ในการโจมตีครั้งล่าสุด ผู้คุกคามที่อยู่เบื้องหลัง Jupyter ได้ใช้ใบรับรองที่ถูกต้องเพื่อลงนามมัลแวร์แบบดิจิทัล เพื่อให้ดูเหมือนว่าเครื่องมือตรวจจับมัลแวร์นั้นถูกต้องตามกฎหมาย ไฟล์มีชื่อที่ออกแบบมาเพื่อพยายามหลอกให้ผู้ใช้เปิดไฟล์เหล่านั้น โดยมีหัวเรื่องเช่น “An-นายจ้าง-guide-to-group-health-continuation.exe"และ"วิธีแก้ไขบนเอกสาร Word-Permanent.exe"
นักวิจัยของ VMware สังเกตเห็นมัลแวร์ที่สร้างการเชื่อมต่อเครือข่ายหลายจุดไปยังเซิร์ฟเวอร์ C2 เพื่อถอดรหัสข้อมูลเพย์โหลดของ infostealer และโหลดลงในหน่วยความจำ แทบจะในทันทีที่ลงสู่ระบบของเหยื่อ
“การกำหนดเป้าหมายเบราว์เซอร์ Chrome, Edge และ Firefox การติดไวรัส Jupyter ใช้การวางยาพิษ SEO และการเปลี่ยนเส้นทางเครื่องมือค้นหาเพื่อสนับสนุนการดาวน์โหลดไฟล์ที่เป็นอันตรายซึ่งเป็นเวกเตอร์การโจมตีเริ่มต้นในห่วงโซ่การโจมตี” ตามรายงานของ VMware “มัลแวร์ได้แสดงให้เห็นถึงการเก็บเกี่ยวข้อมูลรับรองและความสามารถในการสื่อสาร C2 ที่เข้ารหัสซึ่งใช้ในการดึงข้อมูลที่ละเอียดอ่อน”
การขโมยข้อมูลที่เพิ่มขึ้นอย่างน่าหนักใจ
Jupyter เป็นหนึ่งใน 10 การติดไวรัสที่พบบ่อยที่สุดที่ VMware ตรวจพบบนเครือข่ายไคลเอนต์ในช่วงไม่กี่ปีที่ผ่านมา นั่นสอดคล้องกับสิ่งที่คนอื่นรายงานเกี่ยวกับก การเพิ่มขึ้นอย่างรวดเร็วและน่ากังวล ในการใช้ระบบขโมยข้อมูลภายหลังการเปลี่ยนแปลงครั้งใหญ่ไปทำงานจากระยะไกลในหลายๆ องค์กรหลังการระบาดใหญ่ของโควิด-19 เริ่มต้นขึ้น
นกขมิ้นแดงตัวอย่างเช่น รายงานว่าผู้ขโมยข้อมูล เช่น RedLine, Racoon และ Vidar ติดอันดับ 10 อันดับแรกหลายครั้งในปี 2022 โดยส่วนใหญ่ มัลแวร์มาถึงในรูปแบบไฟล์ตัวติดตั้งปลอมหรือวางยาพิษสำหรับซอฟต์แวร์ที่ถูกกฎหมายผ่านโฆษณาที่เป็นอันตรายหรือผ่านการปรับแต่ง SEO บริษัทพบว่าผู้โจมตีใช้มัลแวร์เป็นหลักเพื่อพยายามรวบรวมข้อมูลประจำตัวจากพนักงานระยะไกลที่ช่วยให้สามารถเข้าถึงเครือข่ายและระบบขององค์กรได้อย่างรวดเร็ว ต่อเนื่อง และมีสิทธิพิเศษ
“ไม่มีอุตสาหกรรมใดที่รอดพ้นจากมัลแวร์ขโมยข้อมูล และการแพร่กระจายของมัลแวร์ดังกล่าวมักจะเป็นโอกาส โดยมักจะผ่านการโฆษณาและการปรับแต่ง SEO” นักวิจัยของ Red Canary กล่าว
Uptycs รายงานการ คล้ายกันและเพิ่มขึ้นอย่างน่าหนักใจ ในการจำหน่าย infostealer เมื่อต้นปีนี้ ข้อมูลที่บริษัทติดตามแสดงให้เห็นจำนวนเหตุการณ์ที่ผู้โจมตีใช้งานระบบขโมยข้อมูลมากกว่าสองเท่าในไตรมาสแรกของปี 2023 เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว ผู้จำหน่ายระบบรักษาความปลอดภัยพบผู้คุกคามที่ใช้มัลแวร์เพื่อขโมยชื่อผู้ใช้และรหัสผ่าน ข้อมูลเบราว์เซอร์ เช่น โปรไฟล์และข้อมูลป้อนอัตโนมัติ ข้อมูลบัตรเครดิต ข้อมูลกระเป๋าเงินดิจิทัล และข้อมูลระบบ ผู้ขโมยข้อมูลรุ่นใหม่ เช่น Rhadamanthys ยังสามารถขโมยบันทึกจากแอปพลิเคชันการรับรองความถูกต้องแบบหลายปัจจัยได้โดยเฉพาะ ตามข้อมูลของ Uptycs บันทึกที่มีข้อมูลที่ถูกขโมยจะถูกขายในฟอรัมอาชญากรรมซึ่งมีความต้องการอย่างมาก
“การกรองข้อมูลที่ถูกขโมยมี ผลกระทบที่เป็นอันตรายต่อองค์กร หรือบุคคล เนื่องจากสามารถขายบนเว็บมืดได้อย่างง่ายดายในฐานะจุดเข้าใช้งานเริ่มต้นสำหรับผู้ก่อภัยคุกคามรายอื่น” นักวิจัยของ Uptycs เตือน
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- :มี
- :เป็น
- :ที่ไหน
- 10
- 2020
- 2022
- 2023
- 7
- a
- เกี่ยวกับเรา
- เข้า
- การเข้าถึง
- ตาม
- การแสดง
- นักแสดง
- นอกจากนี้
- ผู้ดูแลระบบ
- การโฆษณา
- หลังจาก
- อนุญาต
- การอนุญาต
- เกือบจะ
- ด้วย
- ในหมู่
- an
- และ
- ปรากฏ
- การใช้งาน
- ปพลิเคชัน
- เป็น
- รอบ
- มาถึง
- AS
- At
- โจมตี
- การโจมตี
- การยืนยันตัวตน
- ประตูหลัง
- BE
- รับ
- เริ่ม
- หลัง
- Black
- บล็อก
- เบราว์เซอร์
- เบราว์เซอร์
- รณรงค์
- CAN
- ความสามารถในการ
- สามารถ
- คาร์บอน
- บัตร
- ใบรับรอง
- โซ่
- Chrome
- ไคลเอนต์
- รหัส
- การสื่อสาร
- คมนาคม
- บริษัท
- เมื่อเทียบกับ
- คอมพิวเตอร์
- เกี่ยวกับ
- การเชื่อมต่อ
- คงเส้นคงวา
- ควบคุม
- คุ้กกี้
- Covid-19
- COVID-19 การระบาดใหญ่
- หนังสือรับรอง
- หนังสือรับรอง
- เครดิต
- บัตรเครดิต
- ความผิดทางอาญา
- ไซเบอร์
- Dangerous
- มืด
- Dark Web
- ข้อมูล
- ถอดรหัส
- ส่งมอบ
- ความต้องการ
- แสดงให้เห็นถึง
- นำไปใช้
- อธิบาย
- ได้รับการออกแบบ
- เดสก์ท็อป
- ตรวจพบ
- การตรวจพบ
- ดิจิทัล
- กระจาย
- การกระจาย
- การเสแสร้ง
- ดาวน์โหลด
- ก่อน
- อย่างง่ายดาย
- ขอบ
- เปิดการใช้งาน
- ส่งเสริม
- ที่มีการเข้ารหัส
- เครื่องยนต์
- เสริม
- Enterprise
- ethereum
- กระเป๋าเงิน Ethereum
- การหลีกเลี่ยง
- การดำเนินงาน
- การกรอง
- เทียม
- เนื้อไม่มีมัน
- ไฟล์
- Firefox
- ชื่อจริง
- ดังต่อไปนี้
- สำหรับ
- ฟอรั่ม
- พบ
- บ่อย
- ราคาเริ่มต้นที่
- เต็มที่
- การทำงาน
- รวบรวม
- ได้รับ
- รับ
- การเก็บเกี่ยว
- การเก็บเกี่ยว
- มี
- หนัก
- HTML
- HTTPS
- ระบุ
- ทันที
- ส่งผลกระทบ
- in
- รวมทั้ง
- เพิ่ม
- บุคคล
- อุตสาหกรรม
- การติดเชื้อ
- ข้อมูล
- ข้อมูล
- แรกเริ่ม
- ตัวอย่าง
- เข้าไป
- ที่เกี่ยวข้องกับ
- IT
- ITS
- jpg
- เชื่อมโยงไปถึง
- ขนาดใหญ่
- ชื่อสกุล
- ปีที่แล้ว
- ปลาย
- น้อยที่สุด
- ถูกกฎหมาย
- การใช้ประโยชน์
- รายการ
- โหลด
- loader
- เครื่อง
- เครื่อง
- ทำ
- ส่วนใหญ่
- การทำ
- มัลแวร์
- การตรวจจับมัลแวร์
- การจัดการ
- ผู้จัดการ
- การจัดการกับ
- การจัดการ
- หลาย
- MDR
- หน่วยความจำ
- การปรับเปลี่ยน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- การพิสูจน์ตัวตนแบบหลายปัจจัย
- หลาย
- ชื่อ
- ชื่อ
- เครือข่าย
- เครือข่าย
- ใหม่
- ไม่
- จำนวน
- ตุลาคม
- of
- มักจะ
- on
- การเปิด
- ผู้ประกอบการ
- or
- องค์กร
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- การระบาดกระจายทั่ว
- รหัสผ่าน
- จัดการรหัสผ่าน
- รหัสผ่าน
- ระยะเวลา
- ฟิชชิ่ง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- PowerShell
- ก่อนหน้านี้
- ได้รับการยกเว้น
- สิทธิ์
- ดูรายละเอียด
- โปรโตคอล
- การให้
- หนึ่งในสี่
- รวดเร็ว
- สัตว์คล้ายหมีเล็ก ๆ
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- สีแดง
- เรียกว่า
- ยังคง
- รีโมท
- การเข้าถึงระยะไกล
- ทำงานจากระยะไกล
- คนงานระยะไกล
- รายงาน
- รายงาน
- นักวิจัย
- คำตอบ
- ผลสอบ
- ที่เพิ่มขึ้น
- s
- กล่าวว่า
- เดียวกัน
- สคริปต์
- ค้นหา
- เครื่องมือค้นหา
- ความปลอดภัย
- ดูเหมือน
- มีความละเอียดอ่อน
- SEO
- เซิร์ฟเวอร์
- บริการ
- เปลือก
- เปลี่ยน
- แสดงให้เห็นว่า
- ลงชื่อ
- ลงนาม
- ตั้งแต่
- So
- ซอฟต์แวร์
- ขาย
- ซับซ้อน
- เฉพาะ
- กระจาย
- ไม่หยุดหย่อน
- ที่ถูกขโมย
- อย่างเช่น
- สนับสนุน
- ระบบ
- ระบบ
- กำหนดเป้าหมาย
- เทคนิค
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- ในสัปดาห์นี้
- ในปีนี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ตลอด
- ครั้ง
- ชื่อ
- ไปยัง
- เครื่องมือ
- ด้านบน
- สูงสุด 10
- หนักใจ
- วางใจ
- ลอง
- กลับ
- สอง
- เมื่อ
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- การใช้
- มักจะ
- นำไปใช้
- ถูกต้อง
- ตัวแปร
- ความหลากหลาย
- ผู้ขาย
- ผู้ขาย
- ผ่านทาง
- เหยื่อ
- VMware
- กระเป๋าสตางค์
- เว็บ
- เว็บไซต์
- สัปดาห์
- อะไร
- ที่
- กับ
- งาน
- แรงงาน
- ปี
- ปี
- ลมทะเล