รัตติกาล
ผู้เชี่ยวชาญด้านมัลแวร์ค้นพบกลุ่มแฮ็คใหม่ที่ดูเหมือนว่าจะเชี่ยวชาญใน RAT (โทรจันการเข้าถึงระยะไกล) ด้วยเหตุนี้ กลุ่มอาชญากรไซเบอร์จึงได้รับชื่อ RATicate อย่างไรก็ตาม กลุ่มแฮ็กเกอร์ RATicate ใช้ภัยคุกคามอื่นๆ เช่น แบ็คดอร์และผู้ขโมยข้อมูล กลุ่ม RATicate ถือกำเนิดขึ้นครั้งแรกในปี 2019 และได้ดำเนินการโจมตีที่มีรายละเอียดสูงหลายครั้งตั้งแต่นั้นเป็นต้นมา กลุ่ม RATicate อาศัยโครงสร้างพื้นฐานเดียวสำหรับการโจมตีทั้งหมด โดยไม่คำนึงถึงเครื่องมือแฮ็คที่ปรับใช้ สิ่งนี้ทำให้นักวิเคราะห์มัลแวร์สามารถระบุได้ว่าระหว่างเดือนพฤศจิกายน 2019 ถึงมกราคม 2020 กลุ่มแฮ็ค RATicate ได้ดำเนินการ RAT ขนาดใหญ่ห้าครั้ง
แคมเปญของกลุ่ม RATicate ส่วนใหญ่กระจุกตัวในเกาหลีใต้ ยุโรป และตะวันออกกลาง เป้าหมายของกลุ่ม RATicate คือธุรกิจที่ดำเนินธุรกิจในอุตสาหกรรมต่างๆ หลังจากปฏิบัติการระดับมวลชนในเดือนมกราคม 2020 กลุ่ม RATicate ก็เงียบไปครู่หนึ่ง จนกระทั่งพวกเขากลับมาเป็นที่สนใจอีกครั้งด้วยปฏิบัติการในธีมไวรัสโคโรน่า แคมเปญล่าสุดของพวกเขาถูกใช้เพื่อส่ง RAT หลายตัวผ่านเทคนิคฟิชชิ่ง อาชญากรไซเบอร์จำนวนมากใช้เนื้อหาที่มีธีมเกี่ยวกับโควิด-19 เพื่อหลอกลวงผู้ใช้ ดังนั้นโปรดใช้ความระมัดระวังหากคุณได้รับอีเมลเกี่ยวกับการระบาดใหญ่ มีแนวโน้มว่าอาจเป็นรูปแบบหรือเนื้อหาที่คุกคามอื่นๆ ซึ่งคุณไม่ควรโต้ตอบด้วยในทุกสถานการณ์
ในบรรดาการย้ายลายเซ็นของกลุ่มแฮ็ก RATicate คือการใช้โปรแกรมติดตั้ง NSIS ยูทิลิตี NSIS เป็นเครื่องมือที่ถูกต้องตามกฎหมายที่นักพัฒนาใช้เพื่อสร้างตัวติดตั้งสำหรับแอปพลิเคชันต่างๆ ความจริงที่ว่ายูทิลิตี้ NSIS มีโครงสร้างแบบแยกส่วนทำให้ผู้โจมตีสามารถปรับเปลี่ยนการทำงานได้โดยการเพิ่มปลั๊กอินและคุณสมบัติพิเศษ กลุ่มแฮ็กเกอร์ RATicate มีแนวโน้มที่จะใช้ฟังก์ชันนี้เพื่อขยายคุณสมบัติของตัวติดตั้งและอนุญาตให้:
- ฆ่ากระบวนการที่ใช้งานอยู่
- แตกไฟล์.
- โหลด DLL ที่เสียหาย (Dynamic Link Libraries)
- ดำเนินการคำสั่ง
แคมเปญของกลุ่ม RATicate ส่วนใหญ่ใช้เครื่องมือแฮ็คที่รู้จักกันดี เช่น Betabot , NetWire RAT , Agent Tesla , Lokibot , Remcos RAT , Formbook เป็นต้น เนื่องจากอาชญากรไซเบอร์ของ RATicate กำลังใช้เครื่องมือแฮ็คที่ได้รับความนิยมเป็นเพย์โหลดขั้นสุดท้าย โซลูชันป้องกันมัลแวร์ที่ทันสมัยจะสามารถปกป้องระบบของคุณได้
