Injector ที่ใช้สนิม Freeze[.]rs ได้รับการติดอาวุธเพื่อแนะนำแพลแวร์ของมัลแวร์ให้กับเป้าหมาย ในแคมเปญฟิชชิ่งที่มีความซับซ้อนซึ่งมีไฟล์ PDF ที่เป็นอันตรายซึ่งหลบเลี่ยงการตรวจจับและตอบสนองปลายทาง (EDR)
ค้นพบครั้งแรกโดย FortiGuard Labs ของ Fortinet ในเดือนกรกฎาคม แคมเปญนี้มีเป้าหมายที่เหยื่อทั่วยุโรปและอเมริกาเหนือ รวมถึงซัพพลายเออร์สารเคมีพิเศษหรือผลิตภัณฑ์อุตสาหกรรม
ในที่สุด เครือข่ายนี้ถึงจุดสุดยอดในการโหลดมัลแวร์ XWorm ซึ่งสร้างการสื่อสารกับเซิร์ฟเวอร์ command-and-control (C2) ซึ่งเป็นการวิเคราะห์โดยบริษัทที่เปิดเผย XWorm สามารถทำหน้าที่ได้หลากหลายตั้งแต่การโหลดแรนซัมแวร์ไปจนถึงการทำหน้าที่เป็นประตูหลังถาวร
การเปิดเผยเพิ่มเติมยังเปิดเผยถึงการมีส่วนร่วมของ SYK Crypter ซึ่งเป็นเครื่องมือที่ใช้บ่อยในการเผยแพร่ตระกูลมัลแวร์ผ่านแพลตฟอร์มแชทชุมชน Discord crypter นี้มีบทบาทในการโหลด Remcos โทรจันเข้าถึงระยะไกลที่ซับซ้อน (RAT) เชี่ยวชาญในการควบคุมและตรวจสอบอุปกรณ์ Windows
วาง EDR บนน้ำแข็ง: ภายใต้ประทุนของห่วงโซ่การโจมตีของ Freeze[.]rs
ในการตรวจสอบของพวกเขา การวิเคราะห์ของทีมเกี่ยวกับอัลกอริทึมที่เข้ารหัสและชื่อ API ได้ตรวจสอบที่มาของหัวฉีดใหม่นี้ย้อนกลับไปยังเครื่องมือ Red Team “Freeze.rs” ซึ่งได้รับการออกแบบมาโดยเฉพาะสำหรับการสร้างเพย์โหลดที่สามารถข้ามมาตรการรักษาความปลอดภัย EDR ได้
“ไฟล์นี้เปลี่ยนเส้นทางไปยังไฟล์ HTML และใช้โปรโตคอล 'search-ms' เพื่อเข้าถึงไฟล์ LNK บนเซิร์ฟเวอร์ระยะไกล” บล็อกโพสต์ของบริษัท อธิบาย. “เมื่อคลิกไฟล์ LNK สคริปต์ PowerShell จะดำเนินการ Freeze[.]rs และ SYK Crypter สำหรับการกระทำที่ไม่เหมาะสมเพิ่มเติม”
Cara Lin นักวิจัยของ FortiGuard Labs อธิบายว่า Freeze[.]rs injector เรียก NT syscalls เพื่อฉีด shellcode โดยข้ามการเรียกมาตรฐานที่อยู่ใน Kernel base dll ซึ่งอาจติดได้
“พวกเขาใช้ความล่าช้าเล็กน้อยที่เกิดขึ้นก่อนที่ EDR จะเริ่มเชื่อมต่อและเปลี่ยนแปลงการประกอบ DLL ของระบบภายในกระบวนการ” เธอกล่าว “หากกระบวนการถูกสร้างขึ้นในสถานะระงับ มีการโหลด DLL น้อยที่สุด และไม่มี DLL เฉพาะ EDR ถูกโหลด ซึ่งบ่งชี้ว่า syscalls ภายใน Ntdll.dll ยังคงไม่เปลี่ยนแปลง”
Lin อธิบายว่าห่วงโซ่การโจมตีเริ่มต้นผ่านไฟล์ PDF ที่ติดกับดัก ซึ่งทำงานร่วมกับโปรโตคอล "search-ms" เพื่อส่ง payload
รหัส JavaScript นี้ใช้ฟังก์ชัน "ค้นหา-ms" เพื่อเปิดเผยไฟล์ LNK ที่อยู่บนเซิร์ฟเวอร์ระยะไกล
โปรโตคอล “search-ms” สามารถเปลี่ยนเส้นทางผู้ใช้ไปยังเซิร์ฟเวอร์ระยะไกลผ่านหน้าต่าง Windows Explorer
“ด้วยการใช้ไฟล์ LNK หลอกลวงปลอมแปลงเป็นไอคอน PDF มันสามารถหลอกเหยื่อให้เชื่อว่าไฟล์นั้นมาจากระบบของพวกเขาเองและถูกต้องตามกฎหมาย” เธอกล่าว
ในขณะเดียวกัน “SYK Crypter คัดลอกตัวเองไปยังโฟลเดอร์ Startup เพื่อคงอยู่ เข้ารหัสการกำหนดค่าระหว่างการเข้ารหัสและถอดรหัสเมื่อดำเนินการ และยังเข้ารหัสเพย์โหลดที่ถูกบีบอัดในทรัพยากรเพื่อทำให้งงงวย” เธอกล่าวเสริม
ตัวดาวน์โหลดถูกใช้ควบคู่ไปกับการเข้ารหัสในเลเยอร์แรก และเลเยอร์ที่สองเกี่ยวข้องกับการเข้ารหัสสตริงและเพย์โหลด
“กลยุทธ์หลายชั้นนี้ออกแบบมาเพื่อเพิ่มความซับซ้อนและความท้าทายสำหรับการวิเคราะห์แบบคงที่” เธอกล่าว “ในที่สุด มันสามารถยุติตัวเองได้เมื่อรู้จักผู้ให้บริการความปลอดภัยรายใดรายหนึ่ง”
วิธีป้องกันความเสี่ยงจากฟิชชิ่ง
ฟิชชิงและการโจมตีตามข้อความอื่นๆ ยังคงเป็นภัยคุกคามที่แพร่หลายโดย 97% ของบริษัทเห็นการโจมตีทางอีเมลฟิชชิงอย่างน้อยหนึ่งครั้งในช่วง 12 เดือนที่ผ่านมา และสามในสี่ของบริษัทคาดว่าจะมีค่าใช้จ่ายจำนวนมากจากการโจมตีทางอีเมล
การโจมตีแบบฟิชชิ่ง ฉลาดขึ้นและตรงเป้าหมายมากขึ้น ปรับตัวเข้ากับเทคโนโลยีใหม่และพฤติกรรมของผู้ใช้ พัฒนาไปสู่การแสวงหาประโยชน์จากมือถือ การแอบอ้างแบรนด์ และเนื้อหาที่สร้างโดย AI
การวิจัยระบุว่าสิ่งสำคัญคือการบำรุงรักษาซอฟต์แวร์ให้ทันสมัยเพื่อลดความเสี่ยง จัดให้มีการฝึกอบรมอย่างสม่ำเสมอ และใช้เครื่องมือรักษาความปลอดภัยขั้นสูงเพื่อป้องกันเพื่อต่อต้านภัยคุกคามที่พัฒนาขึ้นเรื่อยๆ ของการโจมตีแบบฟิชชิ่ง
การฝึกอบรมการจำลองฟิชชิ่งสำหรับพนักงาน ดูเหมือนจะทำงานได้ดีขึ้นในองค์กรโครงสร้างพื้นฐานที่สำคัญ มากกว่าในภาคส่วนอื่นๆ โดย 66% ของพนักงานเหล่านั้นรายงานการโจมตีทางอีเมลที่เป็นอันตรายจริงอย่างน้อยหนึ่งครั้งอย่างถูกต้องภายในหนึ่งปีของการฝึกอบรม การวิจัยใหม่พบ
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ChartPrime. ยกระดับเกมการซื้อขายของคุณด้วย ChartPrime เข้าถึงได้ที่นี่.
- BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure
- :มี
- :เป็น
- 12
- 12 เดือน
- 7
- a
- เข้า
- ข้าม
- การแสดง
- การปฏิบัติ
- เพิ่ม
- สูง
- กับ
- อัลกอริทึม
- คู่ขนาน
- ด้วย
- สหรัฐอเมริกา
- an
- การวิเคราะห์
- และ
- API
- เป็น
- รอบ
- AS
- การชุมนุม
- At
- โจมตี
- การโจมตี
- กลับ
- ประตูหลัง
- ฐาน
- BE
- รับ
- ก่อน
- พฤติกรรม
- เชื่อว่า
- ดีกว่า
- บล็อก
- ยี่ห้อ
- by
- โทร
- รณรงค์
- CAN
- สามารถ
- พกพา
- โซ่
- ท้าทาย
- สารเคมี
- รหัส
- การสื่อสาร
- ชุมชน
- บริษัท
- บริษัท
- ความซับซ้อน
- องค์ประกอบ
- เนื้อหา
- การควบคุม
- ค่าใช้จ่าย
- ตอบโต้
- ที่สร้างขึ้น
- วิกฤติ
- โครงสร้างพื้นฐานที่สำคัญ
- สำคัญมาก
- ความล่าช้า
- ส่งมอบ
- ได้รับการออกแบบ
- การตรวจพบ
- อุปกรณ์
- บาดหมางกัน
- ค้นพบ
- กระจาย
- ทำ
- ในระหว่าง
- อีเมล
- พนักงาน
- การเข้ารหัสลับ
- ปลายทาง
- เสริม
- การสร้าง
- ยุโรป
- การพัฒนา
- รัน
- การปฏิบัติ
- คาดหวังว่า
- อธิบาย
- การหาประโยชน์
- นักสำรวจ
- ครอบครัว
- เนื้อไม่มีมัน
- ในที่สุด
- บริษัท
- บริษัท
- ชื่อจริง
- สำหรับ
- Fortinet
- พบ
- แข็ง
- มัก
- ราคาเริ่มต้นที่
- ฟังก์ชั่น
- ฟังก์ชั่น
- ต่อไป
- ได้รับ
- กระโปรงหน้ารถ
- HTML
- HTTPS
- ICE
- ICON
- if
- in
- ประกอบด้วย
- รวมทั้ง
- อุตสาหกรรม
- โครงสร้างพื้นฐาน
- ที่ริเริ่ม
- ฉีด
- เข้าไป
- แนะนำ
- การสอบสวน
- การมีส่วนร่วม
- IT
- ITS
- ตัวเอง
- JavaScript
- jpg
- กรกฎาคม
- ห้องปฏิบัติการ
- ชั้น
- น้อยที่สุด
- ถูกกฎหมาย
- lin
- โหลด
- ที่ตั้งอยู่
- เก็บรักษา
- มัลแวร์
- อาจ..
- มาตรการ
- ต่ำสุด
- บรรเทา
- โทรศัพท์มือถือ
- การตรวจสอบ
- เดือน
- ข้อมูลเพิ่มเติม
- หลายชั้น
- ชื่อ
- ใหม่
- ไม่
- ทางทิศเหนือ
- อเมริกาเหนือ
- หมายเหตุ / รายละเอียดเพิ่มเติม
- นวนิยาย
- of
- น่ารังเกียจ
- on
- ONE
- or
- ที่มา
- อื่นๆ
- ออก
- ของตนเอง
- อดีต
- รูปแบบไฟล์ PDF
- วิริยะ
- ฟิชชิ่ง
- การโจมตีแบบฟิชชิ่ง
- การโจมตีแบบฟิชชิ่ง
- แคมเปญฟิชชิ่ง
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- โพสต์
- PowerShell
- กระบวนการ
- ผลิตภัณฑ์
- โปรโตคอล
- ให้
- พิสัย
- ransomware
- หนู
- จริง
- ตระหนักถึง
- สีแดง
- เปลี่ยนเส้นทาง
- ปกติ
- ยังคง
- รีโมท
- การเข้าถึงระยะไกล
- การรายงาน
- การวิจัย
- นักวิจัย
- คำตอบ
- เปิดเผย
- เปิดเผย
- ความเสี่ยง
- บทบาท
- s
- พูดว่า
- ที่สอง
- ภาค
- ความปลอดภัย
- มาตรการรักษาความปลอดภัย
- เห็น
- เธอ
- สำคัญ
- จำลอง
- อย่างชาญฉลาด
- ซอฟต์แวร์
- ซับซ้อน
- พิเศษ
- โดยเฉพาะ
- มาตรฐาน
- เริ่มต้น
- การเริ่มต้น
- สถานะ
- กลยุทธ์
- เชือก
- ต่อจากนั้น
- ซัพพลายเออร์
- ที่ถูกระงับ
- ระบบ
- เป้าหมาย
- กำหนดเป้าหมาย
- เป้าหมาย
- ทีม
- เทคโนโลยี
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- นี้
- เหล่านั้น
- การคุกคาม
- ตลอด
- ไปยัง
- ร่วมกัน
- เครื่องมือ
- เครื่องมือ
- การฝึกอบรม
- โทรจัน
- ภายใต้
- เปิดตัว
- ทันเหตุการณ์
- เมื่อ
- ใช้
- ผู้ใช้งาน
- ผู้ใช้
- ใช้
- ใช้ประโยชน์
- ผู้ขาย
- ผ่านทาง
- ผู้ที่ตกเป็นเหยื่อ
- ที่
- กว้าง
- ช่วงกว้าง
- หน้าต่าง
- หน้าต่าง
- กับ
- ภายใน
- งาน
- โรงงาน
- ปี
- ลมทะเล
