ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม ภัยคุกคามขั้นสูงที่คงอยู่ (APT) Vampire Bot Malware

Vampire Bot Malware

โดย Mezo ใน ภัยคุกคามขั้นสูงที่คงอยู่ (APT), มัลแวร์
แปลเป็น:

ผู้ก่อภัยคุกคามที่พูดภาษาเวียดนามซึ่งติดตามตัวในชื่อ BatShadow กำลังดำเนินแคมเปญแบบเจาะจงเป้าหมายเพื่อล่อลวงผู้หางานและผู้เชี่ยวชาญด้านการตลาดดิจิทัลให้ติดตั้งมัลแวร์ที่ไม่เคยบันทึกไว้มาก่อนบน Go ซึ่งนักวิจัยเรียกว่า Vampire Bot กลุ่มนี้ปลอมตัวเป็นผู้สรรหาบุคลากรและเผยแพร่คำอธิบายงานที่ดูเหมือนถูกต้องตามกฎหมายและไฟล์ PDF ขององค์กร ซึ่งเมื่อโต้ตอบกับมัลแวร์ดังกล่าว จะทำให้เกิดห่วงโซ่การติดเชื้อหลายขั้นตอน และเพิ่มความสามารถในการเฝ้าระวังและขโมยข้อมูลจากระยะไกล

วิศวกรรมสังคมและการส่งมอบล่อ

ผู้โจมตีสร้างข้อความแบบรับสมัครงานและไฟล์แนบ ZIP ที่มีไฟล์ PDF ปลอมแปลง พร้อมกับทางลัดอันตราย (LNK) หรือไฟล์ปฏิบัติการที่ปลอมแปลงเป็น PDF เอกสารล่อลวงเหล่านี้มุ่งเป้าไปที่ตำแหน่งงานด้านการตลาดโดยเฉพาะ (หนึ่งในเอกสารล่อลวงอ้างอิงถึงตำแหน่งงานด้านการตลาดของ Marriott) เพื่อเพิ่มความน่าเชื่อถือให้กับเหยื่อเป้าหมาย แนะนำให้เหยื่อ 'ดูตัวอย่าง' หรือดาวน์โหลดคำอธิบายงาน ซึ่งเป็นจุดเริ่มต้นของขั้นตอนการโจมตีแบบหลายขั้นตอน

ความก้าวหน้าของห่วงโซ่การติดเชื้อ

แพ็กเกจ ZIP ประกอบด้วย LNK ที่เป็นอันตรายซึ่งรันสคริปต์ PowerShell แบบฝังตัว สคริปต์ดังกล่าวจะติดต่อกับเซิร์ฟเวอร์ภายนอกเพื่อดึงไฟล์ PDF ล่อ และชุดไฟล์ ZIP แยกต่างหากซึ่งประกอบด้วยไฟล์ที่เกี่ยวข้องกับ XtraViewer (ซอฟต์แวร์เดสก์ท็อประยะไกล) ส่วนประกอบของ XtraViewer จะถูกดำเนินการ ซึ่งมีแนวโน้มที่จะสร้างการคงอยู่หรือการเข้าถึงระยะไกล และเชนจะดำเนินต่อไปจนกว่าจะนำไฟล์ปฏิบัติการ Go ไปใช้

การใช้ Edge Redirects ในทางที่ผิด

กลเม็ดสำคัญในแคมเปญนี้คือหน้า Landing Page ที่แสดงข้อผิดพลาดปลอมว่า "เบราว์เซอร์ไม่รองรับ" และแนะนำให้เหยื่อคัดลอก URL แล้วเปิดใน Microsoft Edge การเปลี่ยนเส้นทางแบบสคริปต์มักถูกบล็อกโดยเบราว์เซอร์สมัยใหม่ ดังนั้นผู้โจมตีจึงอาศัยการโน้มน้าวให้ผู้ใช้ดำเนินการด้วยตนเอง (คัดลอก/วางลงใน Edge) ซึ่งถือว่าเป็นการกระทำที่ผู้ใช้เริ่มต้นและอนุญาตให้การดาวน์โหลดดำเนินต่อไปได้ เมื่อเปิดใน Edge แล้ว หน้าเพจจะแสดงข้อผิดพลาดปลอมอีกข้อหนึ่ง โดยอ้างว่า PDF ถูกบีบอัดและ "ส่งไปยังอุปกรณ์ของคุณ" ซึ่งจะทำให้เกิดการดาวน์โหลดไฟล์ ZIP โดยอัตโนมัติ

กลเม็ดการตั้งชื่อเพย์โหลดและตัวล่อ

ไฟล์ ZIP ที่ดาวน์โหลดอัตโนมัติประกอบด้วยคำอธิบายงานที่อ้างว่าเป็นงานและไฟล์ปฏิบัติการที่เป็นอันตรายซึ่งตั้งชื่อให้ดูเหมือนไฟล์ PDF (ตัวอย่างเช่น 'Marriott_Marketing_Job_Description.pdf.exe') ไฟล์ปฏิบัติการนี้ใช้การเติมชื่อไฟล์ (เว้นวรรคพิเศษระหว่าง '.pdf' และ '.exe') ทำให้ไฟล์ดูเหมือนไฟล์ PDF ในบางมุมมอง ซึ่งทำให้มีโอกาสที่เหยื่อจะเรียกใช้ไฟล์นี้มากขึ้น

ความสามารถของ Vampire Bot

ไฟล์ปฏิบัติการที่ถูกทิ้งคือไบนารีของ Golang ที่เรียกว่า Vampire Bot ความสามารถที่สังเกตได้ประกอบด้วย:

  • การนับและการสร้างโปรไฟล์ของโฮสต์ที่ติดเชื้อ
  • การขโมยข้อมูลชุดกว้าง (ที่เก็บข้อมูลรับรอง ไฟล์ ฯลฯ)
  • การจับภาพหน้าจอตามกำหนดเวลาที่กำหนดได้
    และ
  • รักษาการสื่อสารแบบสั่งการและควบคุมกับเซิร์ฟเวอร์ผู้โจมตี (รายงานว่าเป็น api3.samsungcareers.work) เพื่อรับคำสั่งหรือดาวน์โหลดเพย์โหลดเพิ่มเติม

การระบุแหล่งที่มาและโครงสร้างพื้นฐาน

นักวิเคราะห์เชื่อมโยงกิจกรรมนี้กับเวียดนามโดยพิจารณาจากการนำโครงสร้างพื้นฐานกลับมาใช้ใหม่ เช่น ที่อยู่ IP (103.124.95.161) ซึ่งก่อนหน้านี้เชื่อมโยงกับผู้ให้บริการที่เชื่อมโยงกับเวียดนาม และรูปแบบการกำหนดเป้าหมาย BatShadow เคยกำหนดเป้าหมายไปที่ผู้เชี่ยวชาญด้านการตลาดดิจิทัลมาก่อน และทับซ้อนกับกลุ่มอื่นๆ ในเวียดนามที่มีแรงจูงใจทางการเงิน ซึ่งเป็นที่รู้จักในการวางโปรแกรมขโมยข้อมูลเพื่อขโมยทรัพย์สินของ Facebook Business กลุ่มนี้ดูเหมือนจะเคลื่อนไหวมาอย่างน้อยหนึ่งปีแล้ว และเคยใช้โดเมนอย่างเช่น samsung-work.com เพื่อเผยแพร่มัลแวร์ตระกูลต่างๆ เช่น Agent Tesla, Lumma Stealer, Venom RAT และในเดือนตุลาคม 2024 แคมเปญที่เผยแพร่ Quasar RAT ผ่านไฟล์คำอธิบายงานที่มีกับดักในลักษณะเดียวกัน

เหตุใดการโจมตีจึงมีประสิทธิภาพ?

BatShadow ผสมผสานสิ่งล่อใจที่เกี่ยวข้องกับอุตสาหกรรม (โฆษณาหางานทางการตลาด) กลเม็ดการตั้งชื่อไฟล์ เพย์โหลดแบบจัดฉาก (เพื่อหลีกเลี่ยงการสแกนไฟล์แบบง่ายๆ) และโฟลว์ที่บังคับให้เบราว์เซอร์ดำเนินการด้วยตนเองเพื่อหลีกเลี่ยงการป้องกันการเปลี่ยนเส้นทางแบบสคริปต์ การผสมผสานระหว่างวิศวกรรมสังคมและขั้นตอนทางเทคนิคหลายขั้นตอนนี้ช่วยเพิ่มโอกาสในการบุกรุกที่ประสบความสำเร็จและการเข้าถึงในระยะยาว

บทสรุป

แคมเปญของ BatShadow เน้นย้ำถึงประสิทธิภาพของวิศวกรรมสังคมแบบเจาะจงเป้าหมายเมื่อใช้ร่วมกับห่วงโซ่ทางเทคนิคแบบเป็นขั้นตอนและหลบเลี่ยง องค์กรที่รับสมัครบ่อยครั้งหรือต้องรับมือกับปริมาณผู้สมัคร รวมถึงผู้เชี่ยวชาญด้านการตลาดดิจิทัลที่จัดการสินทรัพย์ออนไลน์ ควรเพิ่มความแข็งแกร่งในการจัดการอีเมล/ไฟล์แนบ ใช้การควบคุมการดำเนินการที่เข้มงวด และถือว่าไฟล์แนบแบบรับสมัครมีความเสี่ยงสูงจนกว่าจะได้รับการตรวจสอบ

มาแรง

เวอร์ชั่นของกล่องจดหมายของคุณจะถูกยกเลิกโดยหลอกลวง

ฟิชชิ่ง, สแปม
นักต้มตุ๋นออนไลน์มักพัฒนากลโกงใหม่ๆ อย่างต่อเนื่องเพื่อหลอกลวงผู้ใช้และขโมยข้อมูลสำคัญ ตัวอย่างหนึ่งคือกลโกง 'เวอร์ชันกล่องจดหมายของคุณจะถูกยกเลิก' ซึ่งเป็นแคมเปญฟิชชิงที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัวในการเข้าสู่ระบบจากเหยื่อที่ไม่ทันระวังตัว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนว่าข้อความหลอกลวงเหล่านี้ไม่เกี่ยวข้องกับบริษัท องค์กร หรือผู้ให้บริการที่ถูกต้องตามกฎหมายใดๆ...

Cleancaptcha.top

เว็บไซต์อันธพาล, แฮกเกอร์เบราว์เซอร์
Cleancaptcha.top ตั้งเป้าที่จะสร้างผลกำไรทางการเงินให้กับผู้ปฏิบัติงานด้วยวิธีการที่ไม่คุ้นเคย ในเรื่องนั้นแทบจะแยกไม่ออกจากหน้าอื่น ๆ...

เข้าชมมากที่สุด

มัลแวร์

ฟิชชิ่ง, สแปม
33,974
ข้อความหลอกลวง 'Apple Pay Suspended' เป็นกลวิธีฟิชชิงประเภทหนึ่งที่กำหนดเป้าหมายผู้ใช้ Apple Pay ข้อความอ้างว่ากระเป๋าเงิน Apple Pay ของผู้ใช้ถูกระงับและขอให้คลิกลิงก์เพื่อกู้คืน อย่างไรก็ตาม การคลิกลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลทางการเงิน หากผู้ใช้ตกเป็นเหยื่อของแผนการนี้ ผลที่ตามมาอาจร้ายแรง...
'Geek Squad' อีเมลหลอกลวง สกรีนช็อต

'Geek Squad' อีเมลหลอกลวง

ฟิชชิ่ง, สแปม
30,847
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
23,231
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...