กลุ่มภัยคุกคามที่ซับซ้อนซึ่งอยู่เบื้องหลังโทรจันการเข้าถึงระยะไกล JavaScript (RAT) ที่ซับซ้อนที่เรียกว่า JSOutProx ได้เปิดตัวมัลแวร์เวอร์ชันใหม่เพื่อกำหนดเป้าหมายองค์กรในตะวันออกกลาง
บริษัทผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ Resecurity วิเคราะห์รายละเอียดทางเทคนิคของเหตุการณ์ต่างๆ ที่เกี่ยวข้องกับมัลแวร์ JSOutProx ที่มุ่งเป้าไปที่ลูกค้าทางการเงิน และส่งการแจ้งเตือนการชำระเงิน SWIFT ปลอมหากกำหนดเป้าหมายไปที่องค์กร หรือเทมเพลต MoneyGram เมื่อกำหนดเป้าหมายไปที่พลเมืองส่วนตัว บริษัทเขียนในรายงานที่เผยแพร่ในสัปดาห์นี้ กลุ่มภัยคุกคามได้กำหนดเป้าหมายไปที่องค์กรภาครัฐในอินเดียและไต้หวัน เช่นเดียวกับองค์กรทางการเงินในฟิลิปปินส์ ลาว สิงคโปร์ มาเลเซีย อินเดีย — และตอนนี้ ซาอุดิอาราเบีย.
JSOutProx เวอร์ชันใหม่ล่าสุดเป็นโปรแกรมที่มีความยืดหยุ่นและมีการจัดระเบียบอย่างดีจากมุมมองของการพัฒนา ช่วยให้ผู้โจมตีสามารถปรับแต่งฟังก์ชันการทำงานให้เหมาะกับสภาพแวดล้อมเฉพาะของเหยื่อได้ Gene Yoo ซีอีโอของ Resecurity กล่าว
“มันเป็นการฝังมัลแวร์ที่มีหลายขั้นตอน และมีปลั๊กอินหลายตัว” เขากล่าว “ขึ้นอยู่กับสภาพแวดล้อมของเหยื่อ มันเข้าไปทันทีและทำให้เลือดออกหรือเป็นพิษต่อสิ่งแวดล้อม ขึ้นอยู่กับปลั๊กอินที่เปิดใช้งาน”
การโจมตีนี้เป็นแคมเปญล่าสุดโดยกลุ่มอาชญากรไซเบอร์ที่รู้จักกันในชื่อ Solar Spider ซึ่งดูเหมือนจะเป็นกลุ่มเดียวที่ใช้มัลแวร์ JSOutProx ตามเป้าหมายของกลุ่ม — โดยทั่วไปแล้วเป็นองค์กรในอินเดีย แต่ยังอยู่ในเอเชียแปซิฟิก แอฟริกา และ ภูมิภาคตะวันออกกลาง — มันน่าจะเชื่อมโยงกับจีน การรักษาความปลอดภัยระบุไว้ในการวิเคราะห์.
“โดยการจัดทำโปรไฟล์เป้าหมาย และรายละเอียดบางส่วนที่เราได้รับในโครงสร้างพื้นฐาน เราสงสัยว่าเกี่ยวข้องกับจีน” ยูกล่าว
“ซับซ้อนมาก … ปลั๊กอินแบบโมดูลาร์”
JSOutProx เป็นที่รู้จักกันดีในอุตสาหกรรมการเงิน ตัวอย่างเช่น Visa บันทึกแคมเปญโดยใช้เครื่องมือโจมตีในปี 2023 รวมถึงแคมเปญหนึ่งที่ชี้ไปที่ธนาคารหลายแห่งในภูมิภาคเอเชียแปซิฟิก บริษัทระบุใน รายงานภัยคุกคามรายปีที่เผยแพร่ในเดือนธันวาคม.
โทรจันการเข้าถึงระยะไกล (RAT) เป็น “แบ็คดอร์ JavaScript ที่สร้างความสับสนอย่างมาก ซึ่งมีความสามารถของปลั๊กอินแบบโมดูลาร์ สามารถเรียกใช้คำสั่งเชลล์ ดาวน์โหลด อัปโหลด และดำเนินการไฟล์ จัดการระบบไฟล์ สร้างการคงอยู่ ถ่ายภาพหน้าจอ และจัดการแป้นพิมพ์และเมาส์ เหตุการณ์ต่างๆ” Visa ระบุไว้ในรายงาน “คุณสมบัติพิเศษเหล่านี้ช่วยให้มัลแวร์หลบเลี่ยงการตรวจจับโดยระบบรักษาความปลอดภัย และรับข้อมูลการชำระเงินและการเงินที่ละเอียดอ่อนที่หลากหลายจากสถาบันการเงินเป้าหมาย
โดยทั่วไป JSOutProx จะปรากฏเป็นไฟล์ PDF ของเอกสารทางการเงินในไฟล์ zip แต่จริงๆ แล้ว JavaScript ต่างหากที่ดำเนินการเมื่อเหยื่อเปิดไฟล์ การโจมตีขั้นแรกจะรวบรวมข้อมูลบนระบบและสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุมที่สร้างความสับสนผ่าน DNS แบบไดนามิก ขั้นตอนที่สองของการโจมตีจะดาวน์โหลดปลั๊กอินใดๆ จากทั้งหมด 14 ตัวเพื่อทำการโจมตีเพิ่มเติม รวมถึงการเข้าถึง Outlook และรายชื่อผู้ติดต่อของผู้ใช้ และการเปิดหรือปิดใช้งานพรอกซีบนระบบ
RAT ดาวน์โหลดปลั๊กอินจาก GitHub หรือล่าสุดคือ GitLab เพื่อให้ปรากฏว่าถูกต้องตามกฎหมาย
“การค้นพบเวอร์ชันใหม่ของ JSOutProx ควบคู่ไปกับการใช้ประโยชน์จากแพลตฟอร์มเช่น GitHub และ GitLab เน้นย้ำถึงความพยายามอย่างไม่หยุดยั้งของผู้ไม่ประสงค์ดีเหล่านี้และความสม่ำเสมอที่ซับซ้อน” Resecurity กล่าวในการวิเคราะห์
การสร้างรายได้จากข้อมูลจากการเงินในตะวันออกกลาง
เมื่อ Solar Spider โจมตีผู้ใช้ ผู้โจมตีจะรวบรวมข้อมูล เช่น หมายเลขบัญชีหลักและข้อมูลประจำตัวผู้ใช้ จากนั้นจึงดำเนินการที่เป็นอันตรายหลายอย่างกับเหยื่อ ตามรายงานภัยคุกคามของ Visa
“มัลแวร์ JSOutProx ก่อให้เกิดภัยคุกคามร้ายแรงต่อสถาบันการเงินทั่วโลก และโดยเฉพาะอย่างยิ่งในภูมิภาค AP เนื่องจากหน่วยงานเหล่านั้นตกเป็นเป้าหมายของมัลแวร์นี้บ่อยกว่า” รายงานของ Visa ระบุ
บริษัทต่างๆ ควรให้ความรู้แก่พนักงานเกี่ยวกับวิธีการจัดการกับจดหมายโต้ตอบที่น่าสงสัยและไม่พึงประสงค์ เพื่อลดภัยคุกคามของมัลแวร์ Visa กล่าว นอกจากนี้ อินสแตนซ์ใดๆ ของมัลแวร์จะต้องได้รับการตรวจสอบและแก้ไขอย่างสมบูรณ์เพื่อป้องกันการติดไวรัสซ้ำ
บริษัทขนาดใหญ่และหน่วยงานภาครัฐมีแนวโน้มที่จะถูกโจมตีโดยกลุ่มนี้ เนื่องจาก Solar Spider เล็งเห็นบริษัทที่ประสบความสำเร็จมากที่สุด Yoo จาก Resecurity กล่าว อย่างไรก็ตาม โดยส่วนใหญ่แล้ว บริษัทต่างๆ ไม่จำเป็นต้องดำเนินการตามขั้นตอนเฉพาะด้านภัยคุกคาม แต่มุ่งเน้นไปที่กลยุทธ์การป้องกันในเชิงลึกแทน เขากล่าว
“ผู้ใช้ควรมุ่งเน้นไปที่การไม่มองวัตถุแวววาวบนท้องฟ้าเหมือนกับที่ชาวจีนกำลังโจมตี แต่สิ่งที่พวกเขาต้องทำคือสร้างรากฐานที่ดีกว่า” ยูกล่าว “มีแพตช์ที่ดี การแบ่งส่วนเครือข่าย และการจัดการช่องโหว่ หากคุณทำเช่นนั้น สิ่งเหล่านี้จะไม่ส่งผลกระทบต่อผู้ใช้ของคุณ
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
