ຕົວໂຫຼດມາລແວອັນໃໝ່ອັນອັນຕະລາຍທີ່ມີຄຸນສົມບັດໃນການກຳນົດວ່າມັນຢູ່ໃນລະບົບທຸລະກິດ ຫຼືຄອມພິວເຕີສ່ວນຕົວໄດ້ເລີ່ມຕິດເຊື້ອຢ່າງໄວວາລະບົບທົ່ວໂລກໃນໄລຍະສອງສາມເດືອນຜ່ານມາ.

ນັກຄົ້ນຄວ້າຢູ່ VMware Carbon Black ກໍາລັງຕິດຕາມໄພຂົ່ມຂູ່, ເອີ້ນວ່າ BatLoader, ແລະກ່າວວ່າຜູ້ປະຕິບັດງານຂອງຕົນກໍາລັງໃຊ້ dropper ເພື່ອແຈກຢາຍເຄື່ອງມື malware ຕ່າງໆລວມທັງ Trojan ທະນາຄານ, ຜູ້ລັກຂໍ້ມູນ, ແລະ Cobalt Strike post-exploit toolkit ໃນລະບົບຜູ້ຖືກເຄາະຮ້າຍ. ຍຸດທະວິທີຂອງນັກສະແດງໄພຂົ່ມຂູ່ແມ່ນການເປັນເຈົ້າພາບ malware ຢູ່ໃນເວັບໄຊທ໌ທີ່ຖືກທໍາລາຍແລະຊັກຊວນຜູ້ໃຊ້ໄປຫາສະຖານທີ່ເຫຼົ່ານັ້ນໂດຍໃຊ້ວິທີການເພີ່ມປະສິດທິພາບຂອງເຄື່ອງຈັກຊອກຫາ (SEO).

ດໍາລົງຊີວິດນອກແຜ່ນດິນ

BatLoader ອາໄສຢ່າງໜັກໃສ່ batch ແລະ PowerShell scripts ເພື່ອສ້າງພື້ນຖານເບື້ອງຕົ້ນຢູ່ໃນເຄື່ອງຜູ້ເຄາະຮ້າຍ ແລະດາວໂຫຼດ malware ອື່ນໆໃສ່ມັນ. ນີ້ໄດ້ເຮັດໃຫ້ແຄມເປນຍາກທີ່ຈະກວດພົບແລະສະກັດກັ້ນ, ໂດຍສະເພາະໃນໄລຍະຕົ້ນ, ນັກວິເຄາະຈາກທີມງານກວດຫາແລະຕອບສະຫນອງທີ່ຄຸ້ມຄອງຂອງ VMware Carbon Black (MDR) ກ່າວໃນບົດລາຍງານທີ່ປ່ອຍອອກມາເມື່ອເດືອນພະຈິກ. 14.

VMware ກ່າວວ່າທີມງານ Carbon Black MDR ຂອງຕົນໄດ້ສັງເກດເຫັນການຕິດເຊື້ອທີ່ປະສົບຜົນສໍາເລັດ 43 ໃນໄລຍະ 90 ມື້ທີ່ຜ່ານມາ, ນອກເຫນືອຈາກຄວາມພະຍາຍາມອື່ນໆທີ່ບໍ່ປະສົບຜົນສໍາເລັດຫຼາຍຢ່າງທີ່ຜູ້ເຄາະຮ້າຍໄດ້ດາວໂຫລດໄຟລ໌ຕິດເຊື້ອເບື້ອງຕົ້ນແຕ່ບໍ່ໄດ້ປະຕິບັດມັນ. ຜູ້​ເຄາະ​ຮ້າຍ 9 ຄົນ​ແມ່ນ​ອົງການ​ໃນ​ຂະ​ແໜງ​ການ​ບໍລິການ​ທຸລະ​ກິດ, 7 ຄົນ​ແມ່ນ​ບໍລິສັດ​ບໍລິການ​ດ້ານ​ການ​ເງິນ, 5 ຄົນ​ແມ່ນ​ບໍລິສັດ​ຜະລິດ. ຜູ້ຖືກເຄາະຮ້າຍອື່ນໆລວມມີອົງການຈັດຕັ້ງໃນການສຶກສາ, ຂາຍຍ່ອຍ, ໄອທີ, ແລະຂະແຫນງການເບິ່ງແຍງສຸຂະພາບ.

ໃນເດືອນພະຈິກ. 9, eSentire ກ່າວວ່າທີມງານການລ່າສັດໄພຂົ່ມຂູ່ຂອງຕົນໄດ້ສັງເກດເຫັນຜູ້ປະຕິບັດງານຂອງ BatLoader ລໍ້ລວງຜູ້ຖືກເຄາະຮ້າຍໄປຫາເວັບໄຊທ໌ທີ່ຫຼອກລວງເປັນຫນ້າດາວໂຫລດສໍາລັບຊອບແວທຸລະກິດທີ່ນິຍົມເຊັ່ນ LogMeIn, Zoom, TeamViewer, ແລະ AnyDesk. ນັກສະແດງໄພຂົ່ມຂູ່ໄດ້ແຈກຢາຍການເຊື່ອມຕໍ່ກັບເວັບໄຊທ໌ເຫຼົ່ານີ້ຜ່ານການໂຄສະນາທີ່ສະແດງໃຫ້ເຫັນຢ່າງເດັ່ນຊັດໃນຜົນໄດ້ຮັບຂອງເຄື່ອງຈັກຊອກຫາໃນເວລາທີ່ຜູ້ໃຊ້ຄົ້ນຫາຜະລິດຕະພັນຊອບແວເຫຼົ່ານີ້.

ຜູ້ຂາຍຄວາມປອດໄພກ່າວວ່າໃນເຫດການຫນຶ່ງໃນທ້າຍເດືອນຕຸລາ, ລູກຄ້າ eSentire ໄດ້ມາຮອດຫນ້າດາວໂຫລດ LogMeIn ປອມແລະໄດ້ດາວໂຫລດຕົວຕິດຕັ້ງ Windows ທີ່, ໃນບັນດາສິ່ງອື່ນໆ, ໂປຣໄຟລ໌ລະບົບແລະນໍາໃຊ້ຂໍ້ມູນເພື່ອດຶງເອົາ payload ຂັ້ນຕອນທີສອງ.

“ສິ່ງທີ່ເຮັດໃຫ້ BatLoader ຫນ້າສົນໃຈແມ່ນວ່າມັນມີເຫດຜົນໃນຕົວມັນທີ່ກໍານົດວ່າຄອມພິວເຕີຜູ້ຖືກເຄາະຮ້າຍເປັນຄອມພິວເຕີສ່ວນບຸກຄົນຫຼືຄອມພິວເຕີຂອງບໍລິສັດ,” Keegan Keplinger, ຫົວຫນ້າການຄົ້ນຄວ້າແລະລາຍງານກັບທີມງານຄົ້ນຄ້ວາ TRU ຂອງ eSentire ກ່າວ. “ຫຼັງຈາກນັ້ນມັນລຸດລົງປະເພດຂອງ malware ທີ່ເຫມາະສົມສໍາລັບສະຖານະການ.”

ການຈັດສົ່ງ Payload ເລືອກ

ຕົວຢ່າງ, ຖ້າ BatLoader ໂຈມຕີຄອມພິວເຕີສ່ວນບຸກຄົນ, ມັນຈະດາວໂຫລດ Ursnif banking malware ແລະຕົວລັກຂໍ້ມູນ Vidar. ຖ້າມັນຕີຄອມພິວເຕີທີ່ເຂົ້າກັນໂດຍໂດເມນ ຫຼືບໍລິສັດ, ມັນຈະດາວໂຫຼດ Cobalt Strike ແລະເຄື່ອງມືກວດສອບ ແລະຈັດການໄລຍະໄກ Syncro, ເຊັ່ນດຽວກັນກັບ Trojan ທະນາຄານ ແລະຕົວລັກຂໍ້ມູນ.

“ຖ້າ BatLoader ລົງຈອດຢູ່ໃນຄອມພິວເຕີສ່ວນບຸກຄົນ, ມັນຈະດໍາເນີນການກັບການສໍ້ໂກງ, ການລັກຂໍ້ມູນ, ແລະ payload ໂດຍອີງໃສ່ທະນາຄານເຊັ່ນ Ursnif,” Keegan ເວົ້າ. “ຖ້າ BatLoader ກວດພົບວ່າມັນຢູ່ໃນສະພາບແວດລ້ອມຂອງອົງການຈັດຕັ້ງ, ມັນຈະດໍາເນີນການກັບເຄື່ອງມືການບຸກລຸກເຊັ່ນ Cobalt Strike ແລະ Syncro.”

Keegan ກ່າວວ່າ eSentire ໄດ້ສັງເກດເຫັນ “ຫຼາຍ” ຂອງການໂຈມຕີທາງອິນເຕີເນັດທີ່ຜ່ານມາທີ່ກ່ຽວຂ້ອງກັບ BatLoader. ການໂຈມຕີສ່ວນໃຫຍ່ເປັນໂອກາດ ແລະຕີໃຜກໍຕາມທີ່ຊອກຫາເຄື່ອງມືຊອບແວຟຣີທີ່ເຊື່ອຖືໄດ້ ແລະເປັນທີ່ນິຍົມ.

“ເພື່ອເຂົ້າໄປຢູ່ທາງຫນ້າຂອງອົງການຈັດຕັ້ງ, BatLoader ໃຊ້ການໂຄສະນາທີ່ເປັນພິດເພື່ອວ່າເມື່ອພະນັກງານຊອກຫາຊອບແວຟຣີທີ່ເຊື່ອຖືໄດ້ເຊັ່ນ LogMeIn ແລະ Zoom, ພວກເຂົາແທນທີ່ຈະລົງຈອດຢູ່ໃນສະຖານທີ່ທີ່ຖືກຄວບຄຸມໂດຍຜູ້ໂຈມຕີ, ສົ່ງ BatLoader.”

ທັບຊ້ອນກັນກັບ Conti, ZLoader

VMware Carbon Black ກ່າວວ່າໃນຂະນະທີ່ມີຫລາຍດ້ານຂອງແຄມເປນ BatLoader ທີ່ເປັນເອກະລັກ, ຍັງມີຄຸນລັກສະນະຕ່າງໆຂອງລະບົບຕ່ອງໂສ້ການໂຈມຕີທີ່ມີຄວາມຄ້າຍຄືກັນກັບການດໍາເນີນງານ Conti ransomware.

ການທັບຊ້ອນກັນປະກອບມີທີ່ຢູ່ IP ທີ່ກຸ່ມ Conti ນໍາໃຊ້ໃນແຄມເປນທີ່ນໍາໃຊ້ຈຸດອ່ອນຂອງ Log4j, ແລະການນໍາໃຊ້ເຄື່ອງມືການຄຸ້ມຄອງຫ່າງໄກສອກຫຼີກທີ່ເອີ້ນວ່າ Atera ທີ່ Conti ໄດ້ໃຊ້ໃນການດໍາເນີນງານທີ່ຜ່ານມາ.

ນອກເຫນືອຈາກຄວາມຄ້າຍຄືກັນກັບ Conti, BatLoader ຍັງມີການຊ້ອນກັນຫຼາຍກັບ Zloader, Trojan ທະນາຄານທີ່ປາກົດມາຈາກ Zeus banking Trojan ໃນຕົ້ນປີ 2000, ຜູ້ຂາຍຄວາມປອດໄພກ່າວວ່າ. ຄວາມຄ້າຍຄືກັນທີ່ໃຫຍ່ທີ່ສຸດຢູ່ທີ່ນັ້ນລວມມີການໃຊ້ພິດ SEO ເພື່ອລໍ້ລວງຜູ້ຖືກເຄາະຮ້າຍໄປຫາເວັບໄຊທ໌ malware, ການນໍາໃຊ້ Windows Installer ສໍາລັບການສ້າງຕັ້ງພື້ນຖານເບື້ອງຕົ້ນແລະການນໍາໃຊ້ PowerShell, batch scripts, ແລະ binaries OS ພື້ນເມືອງອື່ນໆໃນລະຫວ່າງລະບົບຕ່ອງໂສ້ການໂຈມຕີ.

Mandiant ເປັນຜູ້ທໍາອິດທີ່ລາຍງານກ່ຽວກັບ BatLoader. ໃນການຕອບ blog ໃນເດືອນກຸມພາ, ຜູ້ຂາຍຄວາມປອດໄພໄດ້ລາຍງານການສັງເກດເຫັນນັກຂົ່ມຂູ່ໂດຍນໍາໃຊ້ຫົວຂໍ້ “ການຕິດຕັ້ງແອັບຯການຜະລິດຟຣີ” ແລະ “ການຕິດຕັ້ງເຄື່ອງມືພັດທະນາຊອບແວຟຣີ” ເປັນຄໍາສໍາຄັນ SEO ເພື່ອລໍ້ລວງຜູ້ໃຊ້ໃຫ້ດາວໂຫລດເວັບໄຊທ໌.

Mandiant ກ່າວວ່າ “ການປະນີປະນອມ BatLoader ໃນເບື້ອງຕົ້ນນີ້ແມ່ນຈຸດເລີ່ມຕົ້ນຂອງລະບົບຕ່ອງໂສ້ການຕິດເຊື້ອຫຼາຍຂັ້ນຕອນທີ່ໃຫ້ຜູ້ໂຈມຕີມີຈຸດຢືນຢູ່ໃນອົງການຈັດຕັ້ງເປົ້າຫມາຍ,” Mandiant ເວົ້າ. ຜູ້ໂຈມຕີໄດ້ໃຊ້ທຸກຂັ້ນຕອນເພື່ອຕັ້ງໄລຍະຕໍ່ໄປຂອງລະບົບຕ່ອງໂສ້ການໂຈມຕີໂດຍໃຊ້ເຄື່ອງມືເຊັ່ນ PowerShell, Msiexec.exe ແລະ Mshta.exe ເພື່ອຫຼີກລ່ຽງການກວດພົບ.

Categories: AiHome

0 Comments

Leave a Reply

Avatar placeholder

Your email address will not be published. Required fields are marked *