Kaspersky Lab เผยมัลแวร์ภัยคุกคามทางไซเบอร์ที่อันตรายที่สุด

นักวิจัยของ Kaspersky ห้องปฏิบัติการตั้งข้อสังเกตว่าภัยคุกคามทางไซเบอร์ในปัจจุบันได้เพิ่มความซับซ้อนของกลไกการโจมตีอย่างมีนัยสำคัญ เป็นที่ทราบกันดีว่าอาชญากรไซเบอร์มักไม่ใช้เทคนิคการโจมตีที่มีราคาแพงหรือซับซ้อน เช่น ช่องโหว่ซีโร่เดย์ แต่ใช้วิธีของพวกเขาผ่านแคมเปญโซเชียล วิศวกรรมสังคมในการโจมตีเหยื่อควบคู่ไปกับการใช้เทคนิคร้ายกาจต่างๆ ที่ทราบกันดีอยู่แล้ว ส่งผลให้อาชญากรไซเบอร์เหล่านี้ได้ผลลัพธ์: แคมเปญมุ่งร้ายที่ยากต่อการตรวจจับโดยโซลูชันด้านความปลอดภัยขององค์กรทั่วไป
การเปลี่ยนแปลงแนวทางปฏิบัตินี้แสดงให้เห็นว่า โครงสร้างพื้นฐานด้านข้อมูลทั่วไปของบริษัทและองค์กรในปัจจุบันนั้นอ่อนแอพอที่อาชญากรไซเบอร์จะใช้เครื่องมือที่มีต้นทุนต่ำในการเจาะทะลุ เช่น Microcin ซึ่งเป็นแคมเปญมุ่งร้ายที่ผู้เชี่ยวชาญ CAS จับได้ Persky ห้องทดลองล่าสุดเป็นแคมเปญโจมตีราคาถูกแต่อันตรายอย่างสูง
ทุกอย่างเริ่มต้นเมื่อ Kaspersky Anti Targeted Attack Platform (KATA) พบช่องโหว่ของไฟล์ RTF ที่ดูน่าสงสัย (มัลแวร์ที่ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ยอดนิยมเพื่อแอบติดตั้งส่วนประกอบที่มุ่งเน้น นี่คือจุดบกพร่องใน Microsoft Office ที่ได้รับการแก้ไขแล้ว ไม่ใช่เรื่องแปลกที่อาชญากรไซเบอร์จะใช้ช่องโหว่ที่รู้จักในการแพร่ระบาดสู่เหยื่อ เป็นช่องทางในการแพร่กระจายมัลแวร์ไปยังพื้นที่กว้าง แต่เมื่อศึกษาให้ลึกยิ่งขึ้นพบว่าไฟล์ RTF นี้ไม่ใช่ของกลุ่มที่อยู่ในกลุ่ม ระบาดแต่กลับมาที่แคมเปญ เป้าหมายชัดเจนที่เหยื่อและงานถือว่าซับซ้อนกว่ามาก ไฟล์เอกสารที่ทำหน้าที่เป็น spear phishing แพร่กระจายผ่านเว็บไซต์เฉพาะ เช่น ฟอรั่มสินเชื่อบ้าน
เมื่อมีการเรียกหาช่องโหว่ โครงสร้างโมดูลาร์ของมัลแวร์จะถูกติดตั้งบนคอมพิวเตอร์ของเหยื่อ โดยใช้วิธีการฉีดเข้าไปในไฟล์ iexplorer.exe และการทำงานอัตโนมัติในโมดูลนี้จะดำเนินการผ่านการจี้ dll ซึ่งเป็นเทคนิคที่รู้จักกันดีและใช้กันอย่างแพร่หลาย
สุดท้าย เมื่อติดตั้งโมดูลหลักแล้ว โมดูลเพิ่มเติมบางโมดูลจะถูกดาวน์โหลดจากเซิร์ฟเวอร์คำสั่งและเซิร์ฟเวอร์ควบคุม และจะมีอย่างน้อยหนึ่งโมดูลที่ใช้ Steganography – นี่เป็นวิธีการปกปิดข้อมูลที่ซ่อนอยู่ภายในไฟล์ที่ดูเหมือนไม่เป็นอันตราย เช่น รูปภาพ แต่ก็ยังเป็นเทคนิค ใช้ในการถ่ายโอนข้อมูลโดยไม่ถูกจับ
เมื่อวางแพลตฟอร์มที่เป็นอันตรายแล้ว มัลแวร์จะค้นหาไฟล์ที่มีนามสกุล เช่น .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt และ .rtf จากนั้นเข้ารหัสในรูปแบบไฟล์ เก็บถาวรและรอการส่งต่อ โปรโมเตอร์ นอกจากการใช้เทคนิคที่รู้จักกันแล้วร่วมกับเทคนิคใหม่ๆ รวมถึงแบ็คดอร์ที่รู้จักซึ่งเคยพบเห็นในการโจมตีครั้งก่อนและยังพบว่ามีการใช้เครื่องมือที่ถูกต้องประกอบด้วย เป็นเครื่องมือที่สร้างขึ้นสำหรับการทดสอบการเจาะระบบซึ่งมักจะผ่านการตรวจจับโซลูชันความปลอดภัยโดยไม่ถูกระบุว่าเป็นมัลแวร์
“แต่หากเราศึกษาแยกกัน พบว่าการโจมตีประเภทนี้ไม่ร้ายแรงมาก อุตสาหกรรมความปลอดภัยได้บันทึกรายละเอียดของเกือบทุกองค์ประกอบแล้ว อย่างไรก็ตาม ดูเหมือนว่าพวกเขามารวมตัวกันเพื่อสร้างภัยคุกคามที่ซับซ้อนมากขึ้นในการตรวจจับ ที่สำคัญกว่านั้น แคมเปญประเภทนี้ไม่ได้มีเพียงแค่แคมเปญเดียว เป็นไปได้ว่าเจ้าหน้าที่จารกรรมทางไซเบอร์บางรายได้เปลี่ยนวิธีการกำหนดเป้าหมายจากการพัฒนาเครื่องมือที่ตรวจจับได้ยาก มันมาถึงวิธีการวางแผนและดำเนินการที่ซับซ้อน สิ่งนี้อาจไม่จำเป็นต้องเกี่ยวข้องกับมัลแวร์ประเภทที่ซับซ้อน แต่ก็ยังเป็นมัลแวร์ที่เป็นอันตราย” Alexei Schulmin นักวิเคราะห์มัลแวร์อาวุโสของ Kaspersky Lab กล่าว
และเพื่อปกป้องโครงสร้างพื้นฐานด้านไอทีขององค์กรจากการตกเป็นเป้าหมายของการโจมตีโดยผู้เชี่ยวชาญของ Kaspersky Microcin ห้องปฏิบัติการแนะนำให้ติดตั้งเครื่องมือรักษาความปลอดภัยเพื่อตรวจจับการทำงานที่ไม่ต้องการ แทนที่จะเน้นไปที่การตรวจจับซอฟต์แวร์ที่ไม่ต้องการเพียงอย่างเดียว
โซลูชันการตรวจจับที่ซับซ้อน เช่น Kaspersky Anti-Targeted Attack Platform ได้รวมเอาเทคโนโลยีการป้องกันระดับเอนด์พอยท์ และเทคโนโลยีสนับสนุนการติดตามและความสัมพันธ์ของเหตุการณ์ที่ปรากฏบนเครือข่ายในส่วนต่าง ๆ ขององค์กรเพื่อระบุรูปแบบที่เป็นอันตรายว่าเป็นภัยคุกคามเป้าหมาย ที่มักจะซับซ้อนอีกทางหนึ่ง
ผลิตภัณฑ์ Kaspersky ห้องปฏิบัติการสามารถตรวจจับและบล็อก Microcin และแคมเปญที่คล้ายกันได้สำเร็จ
สามารถดูรายละเอียดแคมเปญ Microcin รวมทั้งข้อมูลทางเทคนิคได้ที่

ตัวอย่างง่ายๆ ของการโจมตีทางไซเบอร์ที่ซับซ้อน

0/5 (0 Reviews)
SEE ALSO  Facebook “ไม่ง้อ” ลั่นถ้าธุรกิจไม่เวิร์คบน Facebook ควรเปลี่ยนไปใช้แพลทฟอร์มอื่น | Arinanikitina

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *