ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม แรนซัมแวร์ มัลแวร์เรียกค่าไถ่ LeakNet

มัลแวร์เรียกค่าไถ่ LeakNet

โดย Mezo ใน แรนซัมแวร์, ภัยคุกคามขั้นสูงที่คงอยู่ (APT)
แปลเป็น:

ปฏิบัติการแรนซัมแวร์ LeakNet ได้นำเสนอวิวัฒนาการที่น่าสนใจในกลยุทธ์การบุกรุก โดยใช้เทคนิควิศวกรรมสังคม ClickFix เป็นช่องทางหลักในการเข้าถึง ระบบนี้จะหลอกล่อผู้ใช้ให้ดำเนินการคำสั่งที่เป็นอันตรายภายใต้หน้ากากของการแก้ไขข้อผิดพลาดของระบบที่สร้างขึ้นมา แตกต่างจากวิธีการเข้าถึงแบบดั้งเดิม เช่น การซื้อข้อมูลประจำตัวที่ถูกขโมยจากตัวกลางการเข้าถึงเบื้องต้น กลยุทธ์นี้ใช้ประโยชน์จากความไว้วางใจและพฤติกรรมปกติของผู้ใช้โดยตรง

เว็บไซต์ที่ถูกบุกรุกแต่ยังคงดูเหมือนเว็บไซต์ที่ถูกต้องตามกฎหมาย ถูกนำมาใช้เป็นอาวุธเพื่อแสดงข้อความยืนยัน CAPTCHA ปลอม ข้อความเหล่านี้จะสั่งให้ผู้ใช้คัดลอกและเรียกใช้คำสั่ง msiexec.exe ที่เป็นอันตรายผ่านทางกล่องโต้ตอบ Run ของ Windows เนื่องจากปฏิสัมพันธ์เลียนแบบกิจกรรมของระบบในชีวิตประจำวัน การโจมตีจึงดูเหมือนเป็นเรื่องปกติและหลีกเลี่ยงการสร้างความสงสัยในทันที กลยุทธ์ที่กว้างขวางและฉวยโอกาสนี้ทำให้สามารถโจมตีได้ในหลายอุตสาหกรรมโดยไม่เลือกปฏิบัติ

การเปลี่ยนแปลงเชิงกลยุทธ์: การเป็นอิสระจากนายหน้าผู้จัดหาช่องทางการเข้าถึงเบื้องต้น

การเปลี่ยนมาใช้ ClickFix ของ LeakNet เป็นการเปลี่ยนแปลงการดำเนินงานที่วางแผนมาอย่างดี โดยการลดการพึ่งพาผู้ให้บริการข้อมูลประจำตัวจากภายนอก กลุ่มบริษัทสามารถลดทั้งต้นทุนและความล่าช้าที่เกี่ยวข้องกับการเข้าถึงได้ ความเป็นอิสระนี้ช่วยขจัดปัญหาคอขวดที่สำคัญ ทำให้แคมเปญต่างๆ สามารถขยายขนาดได้อย่างรวดเร็วและมีประสิทธิภาพมากขึ้น

นอกจากนี้ การใช้โครงสร้างพื้นฐานที่ถูกบุกรุกแทนที่จะใช้ระบบที่ผู้โจมตีควบคุม จะช่วยลดตัวบ่งชี้เครือข่ายที่ตรวจจับได้ลงอย่างมาก ทำให้การป้องกันแบบดั้งเดิมที่เน้นบริเวณรอบนอกมีประสิทธิภาพลดลง เนื่องจากกิจกรรมที่เป็นอันตรายจะกลมกลืนไปกับทราฟฟิกที่เชื่อถือได้

การประมวลผลแบบไร้ไฟล์: การใช้งานตัวโหลดแบบ Deno

คุณลักษณะทางเทคนิคที่สำคัญของการโจมตีเหล่านี้คือการใช้งานตัวโหลดคำสั่งและควบคุมแบบหลายขั้นตอน ซึ่งสร้างขึ้นบนรันไทม์ JavaScript ของ Deno ตัวโหลดนี้จะประมวลผล JavaScript ที่เข้ารหัส Base64 โดยตรงในหน่วยความจำ หลีกเลี่ยงการเขียนลงดิสก์และลดหลักฐานทางนิติวิทยาศาสตร์ให้น้อยที่สุด

เมื่อเปิดใช้งานแล้ว โปรแกรมโหลดจะทำหน้าที่สำคัญหลายประการ:

  • ตรวจสอบระบบที่ถูกบุกรุกเพื่อรวบรวมข้อมูลด้านสิ่งแวดล้อม
  • สร้างการสื่อสารกับเซิร์ฟเวอร์ภายนอกเพื่อดึงข้อมูลเสริม
  • รักษาความต่อเนื่องด้วยกลไกการสำรวจข้อมูลที่ดึงและเรียกใช้โค้ดเพิ่มเติมอย่างต่อเนื่อง

รูปแบบการทำงานแบบไร้ไฟล์นี้ช่วยเพิ่มความลับและทำให้การตรวจจับโดยเครื่องมือรักษาความปลอดภัยแบบดั้งเดิมทำได้ยากขึ้น

คู่มือปฏิบัติการหลังการโจมตีที่สอดคล้องกัน

แม้ว่าวิธีการเข้าถึงเริ่มต้นจะแตกต่างกัน แต่การทำงานของ LeakNet ก็จะค่อยๆ พัฒนาไปเป็นขั้นตอนที่คาดเดาได้หลังจากถูกโจมตี ความสม่ำเสมอนี้ทำให้ผู้ป้องกันมีโอกาสอันมีค่าในการตรวจจับและขัดขวางก่อนที่จะมีการแพร่กระจายแรนซัมแวร์

ลำดับการโจมตีโดยทั่วไปประกอบด้วย:

  • การโหลด DLL จากด้านข้างเพื่อเรียกใช้ไลบรารีที่เป็นอันตรายซึ่งส่งมาโดยตัวโหลด
  • การเคลื่อนย้ายในแนวนอนโดยใช้เครื่องมือต่างๆ เช่น PsExec เพื่อขยายการเข้าถึงเครือข่าย
  • ตรวจสอบข้อมูลประจำตัวผ่านคำสั่ง cmd.exe /c klist เพื่อระบุเซสชันการตรวจสอบสิทธิ์ที่ใช้งานอยู่
  • การจัดเตรียมและส่งออกข้อมูลผ่าน S3 buckets โดยปลอมแปลงกิจกรรมให้ดูเหมือนการรับส่งข้อมูลบนคลาวด์ที่ถูกต้องตามกฎหมาย
  • ขั้นตอนการเข้ารหัสขั้นสุดท้ายเพื่อติดตั้งแรนซัมแวร์

การใช้เครื่องมือพื้นฐานของ Windows และบริการคลาวด์ทั่วไป ทำให้การกระทำที่เป็นอันตรายสามารถกลมกลืนไปกับการทำงานปกติของระบบและเครือข่ายได้

ลักษณะภัยคุกคาม: แหล่งที่มาและขอบเขตเป้าหมาย

LeakNet ปรากฏตัวครั้งแรกในเดือนพฤศจิกายน 2024 โดยวางตัวเป็น "ผู้เฝ้าระวังทางดิจิทัล" ในช่วงแรก ส่งเสริมประเด็นเรื่องความโปร่งใสและเสรีภาพบนอินเทอร์เน็ต อย่างไรก็ตาม กิจกรรมที่ตรวจพบเผยให้เห็นขอบเขตการปฏิบัติงานที่กว้างขวางและก้าวร้าวมากขึ้น รวมถึงการโจมตีองค์กรอุตสาหกรรมด้วย

กลยุทธ์การกำหนดเป้าหมายแบบไม่เจาะจงของแคมเปญนี้ ผนวกกับวิธีการแพร่เชื้อที่สามารถขยายขนาดได้ เน้นย้ำถึงเจตนารมณ์ในการขยายการเข้าถึงให้มากที่สุด แทนที่จะมุ่งเน้นไปที่ภาคส่วนใดภาคส่วนหนึ่งโดยเฉพาะ

นัยสำคัญด้านการป้องกัน: ความคาดเดาได้คือข้อได้เปรียบ

แม้ว่าเทคนิคการเข้าถึงของ LeakNet จะพัฒนาขึ้น แต่การพึ่งพาห่วงโซ่การโจมตีที่ทำซ้ำได้นั้นก่อให้เกิดจุดอ่อนที่สำคัญ แต่ละขั้นตอนของการโจมตี ตั้งแต่การดำเนินการไปจนถึงการเคลื่อนย้ายไปยังเครือข่ายอื่นและการขโมยข้อมูล ล้วนมีรูปแบบพฤติกรรมที่สามารถระบุได้ชัดเจน

ความสม่ำเสมอนี้ช่วยให้กองหลังสามารถ:

  • ตรวจจับการใช้งานเครื่องมือระบบที่ถูกต้องอย่างผิดปกติ
  • ตรวจสอบรูปแบบการประมวลผลในหน่วยความจำที่ผิดปกติ
  • ระบุปฏิสัมพันธ์การจัดเก็บข้อมูลบนคลาวด์ที่น่าสงสัย
  • ขัดขวางการโจมตีตั้งแต่ยังไม่เกิดการเข้ารหัส

ข้อสรุปที่สำคัญนั้นชัดเจน: แม้ว่าวิธีการเข้าถึงเบื้องต้นอาจแตกต่างกันไป แต่แบบแผนการดำเนินงานพื้นฐานยังคงมีเสถียรภาพ ซึ่งเปิดโอกาสมากมายสำหรับการตรวจจับและตอบสนองในระยะเริ่มต้น


มาแรง

แพ็กเกจ PHP ของ Packagist ที่เป็นอันตราย

มัลแวร์
นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ระบุแพ็กเกจ PHP ที่เป็นอันตรายบน Packagist ซึ่งปลอมตัวเป็นไลบรารีตัวช่วยของ Laravel ที่ถูกต้องตามกฎหมาย ในขณะที่แอบแฝงมัลแวร์ประเภท Remote Access Trojan...

อีเมลหลอกลวงเกี่ยวกับการอัปเกรดห้องพักโรงแรม

สแปม, มัลแวร์
การระมัดระวังตัวอยู่เสมอเมื่อต้องรับมือกับอีเมลที่ไม่คาดคิดเป็นสิ่งสำคัญอย่างยิ่งในสภาพแวดล้อมภัยคุกคามในปัจจุบัน อาชญากรไซเบอร์มักปลอมแปลงข้อความที่เป็นอันตรายให้ดูเหมือนจดหมายธรรมดาเพื่อหลอกล่อให้ผู้รับกระทำการที่เป็นอันตราย อีเมลที่เรียกว่า 'อัปเกรดห้องพักโรงแรม' เป็นตัวอย่างที่ชัดเจนของกลยุทธ์นี้ ข้อความเหล่านี้ไม่ได้เกี่ยวข้องกับโรงแรม บริษัทท่องเที่ยว ผู้ให้บริการฮันนีมูน...

อีเมลหลอกลวงเกี่ยวกับการอัปเดตเฟิร์มแวร์ Ledger ของคุณ

ฟิชชิ่ง, สแปม
การระมัดระวังเมื่อได้รับอีเมลที่ไม่คาดคิดเป็นสิ่งสำคัญอย่างยิ่งในสภาพแวดล้อมภัยคุกคามในปัจจุบัน โดยเฉพาะอย่างยิ่งเมื่อเกี่ยวข้องกับสินทรัพย์ดิจิทัล อาชญากรไซเบอร์มักแอบอ้างเป็นแบรนด์ที่น่าเชื่อถือเพื่อสร้างความรู้สึกเร่งด่วนและความถูกต้องที่ผิดพลาด อีเมล "อัปเดตเฟิร์มแวร์ Ledger ของคุณ" เป็นส่วนหนึ่งของแผนการดังกล่าว และไม่ได้เกี่ยวข้องกับบริษัท องค์กร หรือหน่วยงานที่ถูกต้องตามกฎหมายใดๆ...

เข้าชมมากที่สุด

เอพอนเนอร์ดอทคอม

ปัญหา
23,359
อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
21,828
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...