แผงการโจมตีทางไซเบอร์ที่เพิ่งค้นพบซึ่งมีชื่อว่า TeslaGun ถูกค้นพบแล้ว ซึ่ง Evil Corp ใช้เพื่อเรียกใช้แคมเปญแบ็คดอร์ของ ServHelper
ข้อมูลที่รวบรวมจากการวิเคราะห์โดยทีม Prodraft Threat Intelligence (PTI) แสดงให้เห็นว่าแก๊งค์แรนซัมแวร์ Evil Corp (หรือที่รู้จักในชื่อ TA505 หรือ UNC2165 พร้อมด้วยชื่อการติดตามที่มีสีสันอื่นๆ อีกครึ่งโหล) ได้ใช้ TeslaGun เพื่อดำเนินการแคมเปญฟิชชิ่งจำนวนมากและแคมเปญที่กำหนดเป้าหมายเพื่อต่อต้าน องค์กรและบุคคลต่างๆ มากกว่า 8,000 แห่ง เป้าหมายส่วนใหญ่อยู่ในสหรัฐอเมริกา ซึ่งคิดเป็นเหยื่อมากกว่า 3,600 ราย โดยมีการกระจายตัวในต่างประเทศนอกเหนือจากนั้น
มีการขยายตัวอย่างต่อเนื่องของมัลแวร์แบ็คดอร์ ServHelper ซึ่งเป็นแพ็คเกจที่ใช้งานได้ยาวนานและได้รับการอัปเดตอย่างต่อเนื่องซึ่งเริ่มใช้งานมาตั้งแต่ปี 2019 เป็นอย่างน้อย มันเริ่มได้รับความนิยมอีกครั้งในช่วงครึ่งหลังของปี 2021 ตามข้อมูลของ รายงานจาก Cisco Talosซึ่งได้รับการกระตุ้นโดยกลไกต่างๆ เช่น ตัวติดตั้งปลอมและมัลแวร์ตัวติดตั้งที่เกี่ยวข้อง เช่น Raccoon และ Amadey
ล่าสุด, ข้อมูลภัยคุกคามจาก Trellix เมื่อเดือนที่แล้วรายงานว่าเมื่อเร็ว ๆ นี้พบว่าแบ็คดอร์ของ ServHelper วาง cryptominers ที่ซ่อนอยู่ในระบบ
รายงานของ ปตทซึ่งออกเมื่อวันอังคาร เจาะลึกข้อมูลเฉพาะทางเทคนิคเบื้องหลัง TeslaGun และนำเสนอรายละเอียดและเคล็ดลับที่สามารถช่วยให้องค์กรต่างๆ ก้าวไปข้างหน้าด้วยมาตรการรับมือที่สำคัญต่อแนวโน้มการโจมตีทางไซเบอร์แบบลับๆ ที่มีอยู่ในปัจจุบัน
การโจมตีแบบแบ็คดอร์ที่หลบเลี่ยงกลไกการตรวจสอบสิทธิ์และสร้างการคงอยู่อย่างเงียบๆ บนระบบขององค์กรถือเป็นสิ่งที่น่าสับสนที่สุดสำหรับผู้ปกป้องความปลอดภัยทางไซเบอร์ นั่นเป็นเพราะว่าการโจมตีเหล่านี้ตรวจพบหรือป้องกันได้ยากด้วยการควบคุมความปลอดภัยมาตรฐาน
ผู้โจมตีประตูหลังกระจายทรัพย์สินการโจมตีของพวกเขา
นักวิจัยของ PTI กล่าวว่าพวกเขาสังเกตเห็นโปรไฟล์เหยื่อและแคมเปญต่างๆ มากมายในระหว่างการสืบสวน ซึ่งสนับสนุนการวิจัยก่อนหน้านี้ที่แสดงให้เห็นว่าการโจมตีของ ServHelper กำลังลากเหยื่อในแคมเปญต่างๆ พร้อมกัน นี่เป็นรูปแบบการโจมตีที่เป็นเครื่องหมายการค้าของการขว้างตาข่ายกว้างเพื่อโจมตีแบบฉวยโอกาส
“แผงควบคุม TeslaGun หนึ่งอินสแตนซ์ประกอบด้วยบันทึกแคมเปญหลายรายการซึ่งแสดงถึงวิธีการจัดส่งและข้อมูลการโจมตีที่แตกต่างกัน” รายงานอธิบาย “มัลแวร์เวอร์ชันใหม่เข้ารหัสแคมเปญต่าง ๆ เหล่านี้เป็นรหัสแคมเปญ”
แต่ผู้โจมตีทางไซเบอร์จะรวบรวมข้อมูลเหยื่ออย่างแข็งขัน
ในเวลาเดียวกัน TeslaGun มีหลักฐานมากมายที่แสดงว่าผู้โจมตีกำลังรวบรวมข้อมูลเหยื่อ จดบันทึกมากมายในบางจุด และทำการโจมตีลับๆ แบบกำหนดเป้าหมาย
“ทีม PTI สังเกตว่าแดชบอร์ดหลักของแผง TeslaGun มีความคิดเห็นที่แนบมากับบันทึกของเหยื่อด้วย บันทึกเหล่านี้แสดงข้อมูลอุปกรณ์ของเหยื่อ เช่น CPU, GPU, ขนาด RAM และความเร็วการเชื่อมต่ออินเทอร์เน็ต” รายงานกล่าว โดยอธิบายว่าสิ่งนี้บ่งชี้ถึงการกำหนดเป้าหมายสำหรับโอกาสในการขุด cryptomining “ในทางกลับกัน ตามความคิดเห็นของเหยื่อ เป็นที่ชัดเจนว่า TA505 กำลังมองหาธนาคารออนไลน์หรือผู้ใช้รายย่อย รวมถึงกระเป๋าเงินดิจิตอลและบัญชีอีคอมเมิร์ซ”
รายงานระบุว่าเหยื่อส่วนใหญ่ดูเหมือนจะปฏิบัติการในภาคการเงิน แต่การกำหนดเป้าหมายนี้ไม่ได้จำกัดเฉพาะ
การขายต่อเป็นส่วนสำคัญของการสร้างรายได้จากประตูหลัง
วิธีการตั้งค่าตัวเลือกผู้ใช้ของแผงควบคุมช่วยให้นักวิจัยได้รับข้อมูลมากมายเกี่ยวกับ “ขั้นตอนการทำงานและกลยุทธ์เชิงพาณิชย์” ของกลุ่ม รายงานกล่าว ตัวอย่างเช่น ตัวเลือกการกรองบางตัวมีป้ายกำกับว่า "ขาย" และ "ขาย 2" โดยที่เหยื่อในกลุ่มเหล่านี้ถูกปิดใช้งานโปรโตคอลเดสก์ท็อประยะไกล (RDP) ชั่วคราวผ่านแผงควบคุม
“นี่อาจหมายความว่า TA505 ไม่สามารถหากำไรได้ทันทีจากการแสวงหาผลประโยชน์จากเหยื่อเหล่านั้น” ตามรายงาน “แทนที่จะปล่อยพวกเขาไป กลุ่มได้ติดแท็กการเชื่อมต่อ RDP ของเหยื่อเหล่านั้นเพื่อขายต่อให้กับอาชญากรไซเบอร์รายอื่น”
รายงานของ PTI กล่าวว่าจากการสังเกตของนักวิจัย โครงสร้างภายในของกลุ่ม "ไม่เป็นระเบียบอย่างน่าประหลาดใจ" แต่สมาชิกยังคง "ติดตามเหยื่อของพวกเขาอย่างรอบคอบ และสามารถแสดงให้เห็นถึงความอดทนที่น่าทึ่ง โดยเฉพาะอย่างยิ่งกับเหยื่อที่มีมูลค่าสูงในภาคการเงิน"
การวิเคราะห์ยังตั้งข้อสังเกตอีกว่าจุดแข็งของกลุ่มคือความคล่องตัว ซึ่งทำให้ยากต่อการคาดเดากิจกรรมและตรวจจับเมื่อเวลาผ่านไป
อย่างไรก็ตาม ผู้โจมตีประตูหลังไม่ได้สมบูรณ์แบบ และสิ่งนี้สามารถให้เบาะแสบางอย่างสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่ต้องการขัดขวางความพยายามของพวกเขา
“กลุ่มนี้แสดงจุดอ่อนที่ปากโป้งอยู่บ้าง แม้ว่า TA505 จะสามารถรักษาการเชื่อมต่อที่ซ่อนอยู่บนอุปกรณ์ของเหยื่อได้เป็นเวลาหลายเดือน แต่สมาชิกของมันก็มักจะมีเสียงดังผิดปกติ” รายงานกล่าว “หลังจากติดตั้ง ServHelper ผู้ดำเนินการภัยคุกคาม TA505 อาจเชื่อมต่อกับอุปกรณ์ของเหยื่อด้วยตนเองผ่านช่องทาง RDP เทคโนโลยีความปลอดภัยที่สามารถตรวจจับอุโมงค์เหล่านี้อาจมีความสำคัญต่อการตรวจจับและบรรเทาการโจมตีลับๆ ของ TA505”
Evil Corp ที่เชื่อมโยงกับรัสเซีย (และถูกคว่ำบาตร) เป็นหนึ่งในกลุ่มที่มีผลงานมากที่สุดในช่วงห้าปีที่ผ่านมา ให้เป็นไปตาม รัฐบาลสหรัฐฯกลุ่มนี้คือสมองที่ไว้วางใจอยู่เบื้องหลังโทรจัน Dridex ทางการเงิน และมีความเชื่อมโยงกับแคมเปญที่ใช้แรนซัมแวร์รูปแบบต่างๆ เช่น WastedLocker มันยังคงฝึกฝนอาวุธจำนวนมากสำหรับคลังแสงของมันเช่นกัน เมื่อสัปดาห์ที่แล้ว พบว่ามีความเกี่ยวข้องกัน การติดเชื้อราสเบอรี่โรบิน.
PTI ใช้ TA505 เพื่อติดตามภัยคุกคามและ ฉันทามติเป็นของแข็ง แต่ไม่เป็นสากลที่ TA505 และ Evil Corp เป็นกลุ่มเดียวกัน รายงานเมื่อเดือนที่แล้วจาก ศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยไซเบอร์ภาคสาธารณสุข (HC3) กล่าวว่า “ขณะนี้ยังไม่สนับสนุนข้อสรุปดังกล่าว”
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
