ผู้ก่อภัยคุกคามใช้การโจมตีแบบ Cascading Shadows เพื่อหลีกเลี่ยงการตรวจจับและการวิเคราะห์ที่ซับซ้อน
ผู้ก่อภัยคุกคามใช้การโจมตีแบบ Cascading Shadows เพื่อหลีกเลี่ยงการตรวจจับและการวิเคราะห์ที่ซับซ้อน
แคมเปญฟิชชิ่งที่มีความซับซ้อนและมีระดับหลายชั้น โดยมีชื่อเรียกว่า “Cascading Shadows” ซึ่งถูกค้นพบโดยนักวิจัยของ Palo Alto Networks Unit 42 ในเดือนธันวาคม 2024 แคมเปญนี้มีเป้าหมายเพื่อส่งมอลแวร์หลายสายพันธุ์ เช่น Agent Tesla, RemcosRAT และ XLoader ผ่านกระบวนการโจมตีที่แบ่งเป็นขั้นตอนเล็ก ๆ อย่างตั้งใจเพื่อป้องกันไม่ให้เครื่องมือรักษาความปลอดภัยแบบดั้งเดิมตรวจจับได้
ขั้นตอนเริ่มต้นด้วยการส่งอีเมลฟิชชิ่งปลอมแปลงให้ผู้รับเปิดไฟล์แนบในรูปแบบ .7z ซึ่งไฟล์นี้ซ่อนไฟล์สคริปต์นามสกุล .jse ที่ดูเหมือนเอกสารที่ถูกต้อง โดยมักจะใช้ภาษาที่ดูเหมือนการสื่อสารทางธุรกิจ เช่นการยืนยันการชำระเงินหรือการตรวจสอบคำสั่งซื้อ หลังจากผู้ใช้เปิดไฟล์ สคริปต์จะทำการดาวน์โหลด payload ผ่าน PowerShell จากโดเมนที่ไม่น่าเชื่อถือและจากนั้นจะแบ่งเส้นทางการทำงานไปสู่การเรียกใช้งาน executable ที่ถูกคอมไพล์ด้วยเทคโนโลยี .NET หรือ AutoIt
จุดที่น่าสนใจคือ ผู้โจมตีใช้เทคนิค “process hollowing” โดยการฉีด shellcode ที่ถอดรหัสแล้วเข้าไปในกระบวนการที่เชื่อถือได้ของระบบ เช่น RegAsm.exe หรือ RegSvcs.exe ทำให้มอลแวร์ทำงานภายใต้โปรเซสที่ดูเหมือนถูกต้องและหลีกเลี่ยงการตรวจจับจากเครื่องมือแอนตี้ไวรัส นอกจากนี้ในแนวทาง AutoIt ผู้โจมตียังได้ใช้สคริปต์ใน AutoIt เพื่อถอดรหัสและเรียกใช้งาน shellcode โดยใช้เทคนิคการโหลดในหน่วยความจำแบบ reflective ซึ่งช่วยหลีกเลี่ยงการค้นพบในกระบวนการวิเคราะห์แบบ static
ในที่สุด payload สุดท้ายที่ถูกใช้งานคือเวอร์ชันของ Agent Tesla ซึ่งมีความสามารถในการรวบรวมข้อมูลรับรองและส่งออกข้อมูลผ่าน FTP ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม โดยใช้ข้อมูลรับรองที่ถูกฝังไว้ในโค้ด แนวทางนี้เป็นตัวอย่างของการใช้เทคนิค “living-off-the-land” ที่ผู้โจมตีใช้เครื่องมือและทรัพยากรที่มีอยู่ในระบบเพื่อซ่อนเร้นเจตนาโจมตี ทำให้แคมเปญมีความยืดหยุ่นและท้าทายในการตรวจจับได้มากขึ้น
แม้ว่าแคมเปญ “Cascading Shadows” จะมีความซับซ้อนและแบ่งการทำงานออกเป็นหลายขั้นตอน แต่ระบบรักษาความปลอดภัยสมัยใหม่ เช่น Advanced WildFire ของ Palo Alto Networks และ Cortex XDR ที่เน้นการตรวจจับแบบพฤติกรรมก็สามารถระบุและวิเคราะห์ทุกขั้นตอนของการโจมตีนี้ได้ ข่าวนี้จึงเป็นเครื่องเตือนใจให้กับองค์กรต่าง ๆ ในเรื่องการปรับปรุงมาตรการและกลยุทธ์ด้านความปลอดภัย เพื่อความสามารถในการรับมือกับเทคนิคการโจมตีที่มีความซับซ้อนในยุคไซเบอร์ที่เปลี่ยนแปลงอย่างรวดเร็วในอนาคต
ที่มา: Cybersecuritynews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
ยกระดับการป้องกันของคุณ: MSP และ MDR ร่วมกันเสริมสร้างความปลอดภัยด้าน IT ของคุณอย่างไร
เจ้าหน้าที่เนเธอร์แลนด์ระบุตัวผู้ก่ออาชญากรรมไซเบอร์รายใหม่ชาวรัสเซีย “Laundry Bear” ที่กำลังเล็งเป้าไปที่นาโต้
เหตุผล เบื้องหลัง Bitdefender GravityZone PHASR – นวัตกรรมที่ไม่เคยมีมาก่อน
เครื่องมือ Defendnot ใหม่หลอก Windows ให้ปิดการใช้งาน Microsoft Defender
จาก 60 เป็น 4,000: ระบบ Locked Shield ของ NATO สะท้อนการเติบโตของระบบป้องกันไซเบอร์
