ForeLord

ForeLord คำอธิบาย

มัลแวร์ ForeLord เป็นภัยคุกคามที่เพิ่งพบเห็นซึ่งน่าจะมาจากอิหร่าน นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์คาดการณ์ว่ากลุ่มที่อยู่เบื้องหลังการคุกคามของฟอร์ลอร์ดนั้นเป็น APT จากอิหร่าน (Advanced Persistent Threat) ที่เรียกว่า Cobalt Ulster อย่างไรก็ตามสิ่งนี้ยังไม่ได้รับการยืนยัน สิ่งที่ผู้เชี่ยวชาญชั้นนำสงสัยว่ามีส่วนร่วมของกลุ่มแฮ็คโคบอลท์โคล์สคือข้อเท็จจริงที่ว่าภัยคุกคามก่อนหน้านี้ที่กลุ่มผู้ใช้งานมีความคล้ายคลึงกับโทรจัน ForeLord นอกจากนี้เป้าหมายในแคมเปญล่าสุดที่เกี่ยวข้องกับ ForeLord Trojan นั้นค่อนข้างคล้ายกับเป้าหมายที่ผ่านมาของกลุ่มแฮ็ค Cobalt Ulster ดูเหมือนว่าเป้าหมายส่วนใหญ่ของแคมเปญมัลแวร์ ForeLord ตั้งอยู่ในอิรักอาเซอร์ไบจานตุรกีจอร์แดนและจอร์เจีย

วิธีการขยายพันธุ์

มัลแวร์ ForeLord เป็นโทรจันที่ออกแบบมาเพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบจากเป้าหมาย ผู้โจมตีกำลังแพร่กระจาย ForeLord Trojan ผ่านอีเมลฟิชชิ่งที่สร้างขึ้นเป็นพิเศษ อีเมลที่เป็นปัญหาจะมีเอกสารแนบ Microsoft Excel ปลอมที่มีส่วนของอันตรายของ ForeLord หลังจากเปิดไฟล์แนบปลอมผู้ใช้จะถูกขอให้คลิกที่ปุ่ม 'เปิดใช้งานเนื้อหา' บนหน้าจอ อย่างไรก็ตามการทำเช่นนั้นจะเปิดใช้งานการติดตั้งและดำเนินการของ ForeLord Trojan บนระบบของพวกเขา นี่คือเหตุผลที่ผู้ใช้ควรหลีกเลี่ยงการเปิดสิ่งที่แนบมาจากแหล่งที่ไม่รู้จัก

ความสามารถในการ

เมื่อติดตั้งบนระบบเป้าหมายเรียบร้อยแล้วภัยคุกคาม ForeLord จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ C&C (Command & Control) ของโปรแกรมติดตั้ง C&C จะส่งการยืนยันไปยัง ForeLord Trojan ที่อ่าน 'lordlordlordlord' - นี่คือที่มาของชื่อของภัยคุกคาม เมื่อดำเนินการเสร็จสิ้นแล้วมัลแวร์ ForeLord จะได้รับ payload ของเครื่องมือแฮ็กที่เผยแพร่ต่อสาธารณะหลายรายการซึ่งจะถูกโฮสต์บนโฮสต์ หนึ่งในเครื่องมือที่เป็นปัญหานี้มีชื่อว่า 'CredNinja' ซึ่งจะช่วยให้ผู้โจมตีรวบรวมแฮชที่จำเป็นจากการติดตั้ง Windows รวมถึงข้อมูลรับรองการเข้าสู่ระบบที่พวกเขาต้องการ เป็นไปได้ว่าผู้เขียนของ ForeLord Trojan จะกระจายการดำเนินงานของพวกเขาโดยการปรับใช้ payload สำรองที่แตกต่างกันซึ่งจะช่วยให้พวกเขาในการเก็บรวบรวมข้อมูลที่สำคัญจากโฮสต์เป้าหมาย

ForeLord Trojan เป็นภัยคุกคามที่มีความหมายว่าจะไม่มีใครสังเกตเห็นระบบที่ถูกบุกรุกเป็นเวลานานเพื่อรวบรวมข้อมูลที่จำเป็น ตรวจสอบให้แน่ใจว่าคอมพิวเตอร์ของคุณได้รับการป้องกันโดยแอปพลิเคชันป้องกันมัลแวร์ของแท้