TA505 กลุ่มแฮกเกอร์เผยแพร่ FlawedGrace RAT ผ่านการโจมตีการส่งอีเมลจำนวนมาก

เมื่อวันที่ 20 ตุลาคม 2564 ที่ผ่านมาได้มีการค้นพบการโจมตีด้วยการส่งอีเมลที่เป็นอันตรายจากกลุ่ม TA505 ซึ่งมีเป้าหมายมุ่งไปที่ผู้ใช้ชาวเยอรมนีและออสเตรีย โดยการส่งอีเมลแพร่กระจาย FlawedGrace RAT ผ่านทางอีเมล

การโจมตีปัจจุบันเชื่อมโยงกับกลุ่ม TA505 ที่เคยมีการใช้โทรจัน Dridex Banking และเครื่องมือต่าง ๆ ในการโจมตีที่ผ่านมา

รายการเครื่องมือที่ใช้ (Malware)
• FlawedAmmyy
• FlawedGrace
• Neutrino botnet
• Locky ransomware

รูปที่ 1

อ้างอิง https://cybersecuritynews.com/

ความคล้ายคลึงกันของกิจกรรม TA505 ในอดีต

รูปแบบการโจมตีในปัจจุบันและที่ผ่านมาจะมีความคล้ายคลึงกันระหว่างการโจมตีทั้งสองครั้งคือ

• Emails

• Landing pages

• Excel graphic lures

• Domain naming conventions

• Code reuse

รูปที่ 2

อ้างอิง https://cybersecuritynews.com/

จากรูปที่ 2 การโจมตีดังกล่าวจะเริ่มทำงานหลังจากที่เหยื่อเปิดไฟล์ Microsoft Excel ที่แนบมากับอีเมล ทำให้สคริปต์อันตรายที่ฝังอยู่ทำงาน และดาวน์โหลดไฟล์ MSI มาติดตั้งบนเครื่องเหยื่อ ซึ่งจะมีสคริปต์ KiXtart และ Rebol จำนวน 2 ไฟล์ที่ถูกนำมาวางไว้บนเครื่องเหยื่อ โดย KiXtrat จะทำหน้าที่ส่งข้อมูล (domain, computer name, user name, process list) ไปที่เครื่อง C&C Server ของผู้ไม่ประสงค์ดี ดังรูปที่ 3

รูปที่ 3

อ้างอิง https://blog.morphisec.com/

จากรูปที่ 3 กลุ่มผู้ไม่ประสงค์ดีจะทำการติดตั้งโทรจัน FlawedGrace ที่ได้รับการอัปเดตเวอร์ชันแล้ว ทำให้สามารถควบคุมเครื่องเหยื่อจากระยะไกลได้สำเร็จ

FlawedGrace RAT

FlawedGrace ถูกค้นพบครั้งแรกในเดือนพฤศจิกายน 2560 เขียนด้วยภาษา C++ ซึ่งได้รับการออกแบบมาโดยเฉพาะเพื่อป้องกันการทำ Revers Engineer และ Analysis

โทรจันสามารถรันคำสั่งต่อไปนี้ผ่านพอร์ต TCP 443 ได้

• target_remove

• target_update

• target_reboot

• target_module_load

• target_module_load_external

• target_module_unload

• target_download

• target_upload

• target_rdp

• target_passwords

• target_servers

• target_script

• destroy_os

• desktop_stat

นอกเหนือจากนี้ TA505 ยังเป็นกลุ่มที่มีแรงจูงใจทางการเงิน และมีชื่อเสียงในด้านการดำเนินการโจมตีการส่งอีเมลที่เป็นอันตรายในระดับที่ไม่เคยมีมาก่อน

และกลุ่มนี้เองยังเปลี่ยนรูปแบบพฤติกรรมการโจมตีบ่อย ๆ และนั้นคือสาเหตุที่ทำให้กลุ่มนี้เป็นหนึ่งในผู้นำในโลกของอาชญากรรมไซเบอร์

อ้างอิง :

https://cybersecuritynews.com/ta505-hackers-group-spreading-flawedgrace-rat

https://blog.morphisec.com/explosive-new-mirrorblast-campaign-targets-financial-companies

https://gbhackers.com/russian-apt-hackers-attacking-financial-organizations/

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 22 ตุลาคม 2564

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลความยินยอมประเภท Analytics บนเว็บไซต์ เพื่อเป็นประโยชน์ในการปรับปรุงแก้ไข พัฒนาเว็บไซต์
cookielawinfo-checkbox-necessary	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลความยินยอมประเภท Necessary บนเว็บไซต์เพื่อเป็นประโยชน์ในการปรับปรุงแก้ไข พัฒนาเว็บไซต์
CookieLawInfoConsent	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลผลสรุปความยินยอมทั้งหมดบนเว็บไซต์ เพื่อเป็นประโยชน์ในการปรับปรุงแก้ไข พัฒนาเว็บไซต์
viewed_cookie_policy	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลเมื่อมีการแสดงข้อความ cookie_policy เพื่อเป็นประโยชน์ต่อผู้ใช้งานเว็บไซต์

Cookie	Duration	Description
1P_JAR	1 เดือน	คุกกี้ของ Google เพื่อแสดงโฆษณาที่ปรับให้เหมาะกับแต่ละบุคคลบนเว็บไซต์ของ Google โดยพิจารณาจากการค้นหาล่าสุดและการดำเนินการต่าง ๆ ก่อนหน้านี้
AEC	22 สัปดาห์	คุกกี้เหล่านี้ใช้สำหรับเก็บพฤติกรรมการใช้งานในเว็บไซต์ เพื่อนำไปปรับปรุงผลิตภัณฑ์และเว็บไซต์ให้มีประสิทธิภาพยิ่งขึ้น
NID	6 เดือน	คุกกี้ของ Google เพื่อการโฆษณา
OTZ	1 สัปดาห์	คุกกี้ของ Google ที่ส่งให้ Google Analytics ใช้สำหรับจัดเก็บข้อมูลการเข้าชมเว็บไซต์