ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ มัลแวร์ LoptikMod

มัลแวร์ LoptikMod

โดย Mezo ใน มัลแวร์, ภัยคุกคามขั้นสูงที่คงอยู่ (APT)
แปลเป็น:

แคมเปญใหม่ที่เชื่อมโยงกับกลุ่ม DoNot APT ได้ปรากฏขึ้น โดยแสดงให้เห็นถึงการใช้มัลแวร์สายพันธุ์ใหม่ที่แฝงตัวและดื้อรั้นชื่อ LoptikMod เครื่องมือนี้ถูกใช้ในการโจมตีแบบเจาะจงกระทรวงการต่างประเทศของยุโรป ซึ่งยิ่งบ่งชี้ว่ากลุ่มกำลังเปลี่ยนเป้าหมายการดำเนินงานไปนอกเอเชียใต้

ผู้ก่อภัยคุกคามที่เป็นที่รู้จักและมีขอบเขตที่ขยายออกไป

แคมเปญนี้เชื่อมโยงกับทีม DoNot ซึ่งเป็นกลุ่มภัยคุกคามขั้นสูง (Advanced Persistent Threat: APT) ที่ซับซ้อน ซึ่งรู้จักกันในชื่อต่างๆ เช่น APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 และ Viceroy Tiger กลุ่มนี้ปฏิบัติการมาอย่างน้อยตั้งแต่ปี 2016 และมีประวัติการโจมตีหน่วยงานรัฐบาล กระทรวงการต่างประเทศ หน่วยงานด้านกลาโหม และองค์กรพัฒนาเอกชน (NGO) อย่างชัดเจน โดยเฉพาะในเอเชียใต้และยุโรป

ในอดีต DoNot APT ได้ใช้มัลแวร์ที่สร้างขึ้นเองโดยเฉพาะ โดยเฉพาะ YTY และ GEdit ซึ่งมักใช้งานผ่านแคมเปญฟิชชิ่งแบบเจาะจงและแนบเอกสารที่เป็นอันตราย

การล่อเป้าหมาย: ฟิชชิ่งเป็นจุดเข้า

การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งหลอกลวงที่สร้างขึ้นเพื่อให้ดูถูกต้องและน่าเชื่อถือ ข้อความเหล่านี้ส่งจากบัญชี Gmail โดยปลอมตัวเป็นเจ้าหน้าที่กระทรวงกลาโหม และมีหัวข้ออีเมลอ้างอิงถึงการเยือนธากา ประเทศบังกลาเทศของผู้ช่วยทูตฝ่ายกลาโหมชาวอิตาลี อีเมลเหล่านี้ถูกจัดรูปแบบโดยใช้ HTML พร้อมการเข้ารหัส UTF-8 เพื่อแสดงอักขระพิเศษเช่น 'é' อย่างถูกต้อง ซึ่งช่วยเพิ่มความน่าเชื่อถือ

ลิงก์ Google Drive ที่ฝังอยู่ในอีเมลจะนำคุณไปยังไฟล์เก็บถาวร RAR ไฟล์เก็บถาวรนี้ประกอบด้วยไฟล์ปฏิบัติการที่เป็นอันตรายซึ่งออกแบบมาเพื่อเลียนแบบไฟล์ PDF เมื่อเปิดไฟล์ปฏิบัติการนี้ ไฟล์ปฏิบัติการจะเริ่มการติดตั้ง LoptikMod ซึ่งเป็นโทรจันการเข้าถึงระยะไกล (RAT) ที่จำกัดเฉพาะ DoNot APT ตั้งแต่ปี 2018 เป็นอย่างน้อย

ภายในมัลแวร์ LoptikMod

เมื่อดำเนินการแล้ว LoptikMod จะฝังตัวเองลงในระบบโฮสต์โดยใช้งานที่กำหนดเวลาไว้สำหรับการคงอยู่ จากนั้นจะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมและสั่งการระยะไกล (C2) เพื่อดำเนินกิจกรรมที่เป็นอันตรายต่างๆ ซึ่งรวมถึง:

  • การส่งข้อมูลระบบกลับไปยังผู้โจมตี
  • การรับและการดำเนินการคำสั่งเพิ่มเติม
  • การดาวน์โหลดโมดูลที่เป็นอันตรายเพิ่มเติม
  • การขโมยข้อมูลที่ละเอียดอ่อน

เพื่อหลีกเลี่ยงการตรวจจับและขัดขวางการวิเคราะห์ทางนิติวิทยาศาสตร์ LoptikMod จึงใช้เทคนิค anti-VM (เครื่องเสมือน) และ ASCII obfuscation ทำให้นักวิจัยด้านความปลอดภัยวิเคราะห์ฟังก์ชันการทำงานทั้งหมดได้ยาก นอกจากนี้ LoptikMod ยังรับประกันว่ามีเพียงอินสแตนซ์เดียวที่ทำงานบนอุปกรณ์ในแต่ละครั้ง ช่วยป้องกันความขัดแย้งภายในและลดโอกาสในการตรวจจับ

สถานะและโครงสร้างพื้นฐานของแคมเปญปัจจุบัน

แม้ว่า LoptikMod เองจะมีความสามารถและทำงานอย่างต่อเนื่อง แต่เซิร์ฟเวอร์ C2 ที่เกี่ยวข้องกับการโจมตีครั้งล่าสุดนั้นไม่ได้ใช้งานอยู่ในขณะนี้ การไม่มีการใช้งานนี้อาจหมายความว่าโครงสร้างพื้นฐานถูกปิดการทำงานชั่วคราว ปิดระบบถาวร หรือถูกแทนที่ด้วยเซิร์ฟเวอร์ใหม่ที่ยังไม่ถูกค้นพบ

สถานะไม่ทำงานของเซิร์ฟเวอร์จำกัดความสามารถของนักวิจัยในการวิเคราะห์คำสั่งที่แน่นอนและข้อมูลที่แลกเปลี่ยนระหว่างจุดสิ้นสุดที่ติดไวรัสและผู้โจมตี

สัญญาณการเปลี่ยนแปลงเชิงกลยุทธ์: เป้าหมายในยุโรปที่มุ่งเน้น

กิจกรรมล่าสุดของ DoNot APT แสดงให้เห็นถึงสัญญาณของการพัฒนา แม้ว่ากลุ่มนี้จะมุ่งเน้นไปที่ผลประโยชน์ของเอเชียใต้มาโดยตลอด แต่ปฏิบัติการล่าสุดนี้แสดงให้เห็นถึงความสนใจที่เพิ่มขึ้นในหน่วยข่าวกรองทางการทูตของยุโรป โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับเอเชียใต้

การเปลี่ยนแปลงครั้งนี้น่าจะบ่งชี้ถึงศักยภาพในการปฏิบัติการที่เพิ่มขึ้นและเป้าหมายด้านข่าวกรองที่ทะเยอทะยานยิ่งขึ้น ผู้จัดการกลุ่มอาจกำลังแสวงหาข้อมูลเชิงลึกเกี่ยวกับกลยุทธ์การทูต นโยบายการป้องกันประเทศ และความร่วมมือระหว่างประเทศกับเอเชียใต้ของชาติตะวันตก

ประเด็นสำคัญ

เพื่อบรรเทาการโจมตีดังกล่าวได้อย่างมีประสิทธิภาพ องค์กรต่างๆ ควรเริ่มต้นด้วยการให้ความรู้แก่พนักงานให้รู้จักการพยายามฟิชชิง แม้ว่าข้อความจะดูเหมือนถูกต้องก็ตาม สิ่งสำคัญไม่แพ้กันคือต้องตรวจสอบระบบอย่างต่อเนื่องเพื่อหาพฤติกรรมที่ผิดปกติ เช่น งานที่กำหนดเวลาไว้โดยไม่คาดคิด หรือการเชื่อมต่อขาออกไปยังเซิร์ฟเวอร์ที่ไม่คุ้นเคย ซึ่งอาจบ่งชี้ถึงความเสี่ยง

นอกจากนี้ การใช้เครื่องมือแซนด์บ็อกซ์และวิเคราะห์พฤติกรรมสามารถช่วยตรวจจับและกำจัดไฟล์ปฏิบัติการที่น่าสงสัยก่อนที่จะก่อให้เกิดอันตรายได้ การติดตั้งแพตช์ระบบให้ครบถ้วนและผสานรวมฟีดข้อมูลภัยคุกคามล่าสุด ช่วยให้มั่นใจได้ว่าช่องโหว่ที่ทราบจะได้รับการแก้ไขอย่างทันท่วงที ท้ายที่สุด การแบ่งส่วนเครือข่ายสามารถลดความเสี่ยงของการแพร่กระจายของมัลแวร์ในวงกว้างได้อย่างมาก จึงช่วยป้องกันช่องโหว่ที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพมากขึ้น

บทสรุป: ความระมัดระวังเป็นสิ่งสำคัญ

การที่กลุ่ม DoNot APT นำ LoptikMod มาใช้ในปฏิบัติการจารกรรมทางไซเบอร์ในยุโรป ถือเป็นเครื่องเตือนใจอย่างชัดเจนถึงสถานการณ์ภัยคุกคามที่กำลังเปลี่ยนแปลงไป ขณะที่กลุ่ม APT ยังคงพัฒนาเครื่องมือและขยายขอบเขตการกำหนดเป้าหมาย โดยเฉพาะอย่างยิ่งต่อทรัพย์สินทางการทูตที่มีมูลค่าสูง องค์กรต่างๆ จำเป็นต้องเฝ้าระวังและดำเนินการเชิงรุกในการป้องกันภัยคุกคามทางไซเบอร์อย่างต่อเนื่อง

มาแรง

Unmatiotorly.com

เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
ผู้หลอกลวงคิดค้นวิธีใหม่ๆ เพื่อหลอกล่อผู้ใช้อินเทอร์เน็ตอยู่เสมอ กลอุบายเหล่านี้ส่วนใหญ่ไม่ได้อาศัยมัลแวร์ที่ซับซ้อน แต่ใช้ประโยชน์จากความไว้วางใจและความสนใจที่ขาดหายไปของผู้ใช้...

IlexAquifolium

โปรแกรมที่อาจไม่เป็นที่ต้องการ
ในโลกของเทคโนโลยี ความสะดวกสบายมักมาพร้อมกับต้นทุน แม้ว่าส่วนขยายเบราว์เซอร์สามารถปรับปรุงประสบการณ์ออนไลน์ของเราได้ แต่บางส่วนก็ซ่อนเจตนาที่ไม่ปลอดภัยไว้ใต้ส่วนหน้าที่ดูเหมือนไร้เดียงสา...

เข้าชมมากที่สุด

มัลแวร์

ฟิชชิ่ง, สแปม
35,647
ข้อความหลอกลวง 'Apple Pay Suspended' เป็นกลวิธีฟิชชิงประเภทหนึ่งที่กำหนดเป้าหมายผู้ใช้ Apple Pay ข้อความอ้างว่ากระเป๋าเงิน Apple Pay ของผู้ใช้ถูกระงับและขอให้คลิกลิงก์เพื่อกู้คืน อย่างไรก็ตาม การคลิกลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลทางการเงิน หากผู้ใช้ตกเป็นเหยื่อของแผนการนี้ ผลที่ตามมาอาจร้ายแรง...
'Geek Squad' อีเมลหลอกลวง สกรีนช็อต

'Geek Squad' อีเมลหลอกลวง

ฟิชชิ่ง, สแปม
32,044
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
22,999
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...