มัลแวร์ TransferLoader

นักวิจัยด้านความปลอดภัยกำลังเชื่อมโยงผู้กระทำความผิดฉาวโฉ่ที่อยู่เบื้องหลัง RomCom RAT กับโปรแกรมโหลดมัลแวร์ที่มีชื่อว่า TransferLoader แคมเปญนี้ซึ่งกำหนดเป้าหมายไปที่หน่วยงานที่ทำการจารกรรมและโจมตีด้วยแรนซัมแวร์ เน้นย้ำถึงเทคนิคที่ซับซ้อนและโครงสร้างพื้นฐานที่ทับซ้อนกันซึ่งต้องการการตรวจสอบอย่างใกล้ชิด

คลัสเตอร์ผู้ก่อภัยคุกคามสองคลัสเตอร์: TA829 และ UNK_GreenSec

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุกิจกรรมที่เกี่ยวข้องกับ TransferLoader ให้กับกลุ่มผู้ก่อภัยคุกคามหลักสองกลุ่ม ได้แก่

• TA829 ยังถูกติดตามภายใต้ชื่ออื่นเช่น RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 และ Void Rabisu
• UNK_GreenSec คลัสเตอร์ที่น้อยคนจะรู้จักซึ่งทำงานแบบคู่ขนานด้วยยุทธวิธีที่คล้ายคลึงกัน

TA829 โดดเด่นเป็นพิเศษในด้านการปฏิบัติการแบบผสมผสานที่ผสมผสานระหว่างการจารกรรมและการโจมตีเพื่อเงิน กลุ่มที่สนับสนุนรัสเซียนี้เคยใช้ประโยชน์จากช่องโหว่แบบ zero-day ใน Mozilla Firefox และ Microsoft Windows เพื่อปรับใช้ RomCom RAT โดยกำหนดเป้าหมายไปที่องค์กรระดับโลกที่มีมูลค่าสูง

TransferLoader: การเกิดขึ้นและบทบาทในแคมเปญมัลแวร์

TransferLoader ถูกระบุตัวตนครั้งแรกในเดือนกุมภาพันธ์ 2025 ระหว่างการรณรงค์ที่เกี่ยวข้องกับแรนซัมแวร์ Morpheus ซึ่งเป็นแรนซัมแวร์ HellCat เวอร์ชันที่เปลี่ยนชื่อใหม่ มัลแวร์นี้ถูกใช้กับสำนักงานกฎหมายแห่งหนึ่งในสหรัฐฯ ที่ไม่ได้ระบุชื่อ ซึ่งแตกต่างจาก RomCom ตรงที่ TransferLoader ทำหน้าที่เป็นกลไกการจัดส่งแบบแอบแฝงเป็นหลัก ทำให้สามารถติดตั้งเพย์โหลดอันตรายเพิ่มเติม เช่น Metasploit และ Morpheus ได้

ภารกิจของ TransferLoader นั้นเรียบง่าย: คงไว้ซึ่งความไม่ถูกจับและแพร่กระจายมัลแวร์เพิ่มเติม

การใช้ประโยชน์จากโครงสร้างพื้นฐานพร็อกซี REM

ทั้ง TA829 และ UNK_GreenSec พึ่งพาบริการ REM Proxy ซึ่งมักโฮสต์บนเราเตอร์ MikroTik ที่ถูกบุกรุก พร็อกซีเหล่านี้ใช้เพื่อกำหนดเส้นทางการรับส่งข้อมูลที่เป็นอันตรายโดยปกปิดแหล่งที่มาที่แท้จริง กลุ่มต่างๆ ใช้โครงสร้างพื้นฐานนี้เพื่อ:

• ส่งอีเมลฟิชชิ่งผ่านบริการฟรีเมล (เช่น Gmail, ukr.net)
• ถ่ายทอดข้อมูลเพื่อซ่อนกิจกรรมต้นทาง
• เปิดตัวแคมเปญโดยใช้บัญชีอีเมลทั้งที่เพิ่งสร้างใหม่และถูกบุกรุก

นักวิจัยสงสัยว่ามีการใช้เครื่องมือสร้างอีเมล์ที่สร้างที่อยู่ผู้ส่งจำนวนมาก เช่น ximajazehox333@gmail.com และ hannahsilva1978@ukr.net เพื่อเผยแพร่การฟิชชิ่ง

กลไกการฟิชชิ่งและการส่งมอบเพย์โหลด

ข้อความฟิชชิ่งที่ส่งโดยคลัสเตอร์ทั้งสองมักจะมีลิงก์ที่ฝังอยู่ในเนื้อหาอีเมลหรือไฟล์แนบ PDF เหยื่อที่คลิกลิงก์เหล่านี้จะถูกเปลี่ยนเส้นทางผ่าน Rebrandly ซึ่งอาจลงเอยที่หน้าปลอมของ Google Drive หรือ Microsoft OneDrive ก็ได้ การเปลี่ยนเส้นทางเหล่านี้มีกลไกดังนี้:

• ข้ามสภาพแวดล้อมแซนด์บ็อกซ์
• กรองระบบที่ไม่สนใจออก
• ส่งมอบเพย์โหลดสุดท้ายที่แตกต่างกันขึ้นอยู่กับกลุ่มคุกคาม

เส้นทางการโจมตีที่แตกต่างกัน :

• UNK_GreenSec ใช้เส้นทางนี้เพื่อปรับใช้ TransferLoader
• TA829 เปลี่ยนเส้นทางเป้าหมายไปที่มัลแวร์ SlipScreen

เครื่องมือและโครงสร้างพื้นฐานที่ใช้ร่วมกัน

กลุ่มผู้ดำเนินการทั้งสองแสดงให้เห็นชุดเครื่องมือที่ทับซ้อนกันและตัวเลือกโครงสร้างพื้นฐาน:

• การใช้ยูทิลิตี้ PLINK ของ PuTTY เพื่อสร้างอุโมงค์ SSH
• การโฮสต์ยูทิลิตี้ที่เป็นอันตรายบนบริการ IPFS (InterPlanetary File System)
• การใช้ประโยชน์จากจุดสิ้นสุดการเปลี่ยนเส้นทางแบบไดนามิกที่ใช้ PHP สำหรับการกรองปริมาณการรับส่งข้อมูล

วิธีการร่วมกันเหล่านี้ชี้ให้เห็นถึงการประสานงานที่เป็นไปได้หรือการนำกลยุทธ์ที่มีประสิทธิผลมาใช้ร่วมกัน

ธีมวิศวกรรมสังคมและกลยุทธ์การส่งมอบ

แคมเปญที่เกี่ยวข้องกับ TransferLoader มักแอบอ้างว่าเป็นอีเมลแจ้งโอกาสในการทำงาน โดยล่อเหยื่อด้วยลิงก์ที่อ้างว่าสามารถนำไปสู่ประวัติย่อในรูปแบบ PDF ในความเป็นจริง ลิงก์ดังกล่าวจะกระตุ้นให้มีการดาวน์โหลด TransferLoader ที่โฮสต์อยู่บนเว็บแชร์ IPFS

จุดเด่นทางเทคนิคที่สำคัญของการดำเนินงาน TransferLoader

หลบเลี่ยงการตรวจจับ – ใช้การเปลี่ยนเส้นทาง การกรอง และการโฮสต์แบบกระจายอำนาจเพื่อหลีกเลี่ยงการป้องกันแบบเดิม

การจัดส่งเพย์โหลด – ทำหน้าที่เป็นตัวโหลดสำหรับมัลแวร์ที่อันตรายกว่า รวมถึงแรนซัมแวร์และเครื่องมือการเข้าถึงระยะไกล

เทคนิคที่แตกต่าง – ใช้โครงสร้างการเปลี่ยนเส้นทางที่มีเอกลักษณ์เฉพาะ (จาก JavaScript ไปยังจุดสิ้นสุด PHP) เพื่อรองรับการส่งมอบเนื้อหาแบบไดนามิก

บทสรุป: ทำความเข้าใจภัยคุกคามของ TransferLoader

TransferLoader ถือเป็นภัยคุกคามที่สำคัญเนื่องจากเป็นเครื่องมือโหลดข้อมูลแบบแอบซ่อนที่สามารถเปิดใช้งานการโจมตีที่มีผลกระทบสูงได้ การใช้งานโดย UNK_GreenSec และ TA829 แสดงให้เห็นว่ากลุ่มอาชญากรทางไซเบอร์ยังคงสร้างสรรค์สิ่งใหม่ ๆ แบ่งปันเครื่องมือ และใช้ประโยชน์จากโครงสร้างพื้นฐานแบบกระจายอำนาจเพื่อหลีกเลี่ยงการตรวจจับและบรรลุเป้าหมายได้อย่างไร

ตัวบ่งชี้ภัยคุกคามของ TransferLoader ได้แก่:

• การใช้บริการ REM Proxy
• อีเมลล่อใจให้อ้างอิงถึงใบสมัครงานหรือประวัติย่อ
• เปลี่ยนเส้นทางโซ่ที่เกี่ยวข้องกับลิงค์ Rebrandly
• เพย์โหลดที่โฮสต์บนแพลตฟอร์มที่ใช้ IPFS

องค์กรต่างๆ จะต้องยังคงเฝ้าระวัง ใช้การกรองอีเมลและเว็บที่มีประสิทธิภาพ และตรวจสอบพฤติกรรมที่ผิดปกติของเครือข่ายที่เชื่อมโยงกับกลวิธีเหล่านี้อย่างต่อเนื่อง