Breaking News

Microsoft เตือนการโจมตีจากมัลแวร์ Fileless ‘Astaroth’ ระลอกใหม่

ทีมงาน Windows Defender ATP ได้ออกมาแจ้งเตือนถึงแคมเปญการโจมตีของมัลแวร์ลอบขโมยข้อมูลที่ชื่อ ‘Astaroth’ โดยความน่าสนใจอยู่ที่วิธีการติดมัลแวร์ซึ่งการใช้เทคนิค Multi-stage อันซับซ้อนและใช้เทคนิค Fileless ควบคู่กับการใช้เครื่องมือที่มีอยู่แล้วในเครื่อง (live-off-the-land)

credit : microsoft

จากภาพประกอบของ Microsoft ด้านบนจะเห็นได้ว่าจุดเริ่มต้นของการนำส่งมัลแวร์ Astaroth ก็คืออีเมลเหมือนเช่นเคย โดยหากเหยื่อไม่ระมัดระวังเปิดลิงก์ที่แนบมาก็จะนำไปยังเว็บไซต์ที่มีไฟล์ .LNK ซึ่งหากดาวน์โหลดและถูกรันขึ้นจะเรียกใช้ Windows Management Instrumentation Command-line (WMIC) และเริ่มการโจมตีแบบหลายลำดับต่อไป ทั้งนี้เมื่อพิจารณาในภาพรวมจะเห็นได้ว่ามัลแวร์มีการเรียกดาวน์โหลดไฟล์ต่อกันมาเป็นทอดๆ ซึ่งทั้งหมดจนกระทั่งถึงขั้นตอนสุดท้ายจะใช้เทคนิค Fileless ที่ทำให้โซลูชัน Antivirus ทั่วไปนั้นตรวจจับได้ยาก รวมถึงการใช้เครื่องมือที่มีอยู่แล้วในเครื่องอย่าง WMIC, Certutil, Bitsadmin, Regsvr32 และ Userinit ทำให้แคมเปญนี้มีความน่าสนใจมากทีเดียว

อย่างไรก็ตามยังดีที่ Microsoft พบว่าแคมเปญการแพร่กระจายครั้งนี้เกือบทั้งหมดกว่า 95% เกิดขึ้นที่บราซิล แต่ก็นั่นแหละครับจุดเริ่มแรกก็เหมือนที่เราคุ้นเคยคืออีเมลนั่นเอง ดังนั้นการที่ผู้ใช้งานมี Awareness จะช่วยเป็นเกราะป้องกันได้อย่างดี นอกจากนี้ทาง Microsoft ก็ได้ให้ภาพวิเคราะห์ในฝั่งป้องกันไว้เช่นกันตามด้านล่าง ผู้สนใจสามารถศึกษาเพิ่มเติมได้ที่นี่

credit : microsoft

ที่มา :  https://www.bleepingcomputer.com/news/security/microsoft-discovers-fileless-astaroth-trojan-campaign/ และ  https://www.zdnet.com/article/microsoft-warns-about-astaroth-malware-campaign/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Fortinet เปิดตัว FortiGate 60F พร้อมชิปประมวลผล SOC4 เพิ่มสมรรถนะ SD-WAN ให้ถึงขีดสุด

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยประสิทธิภาพสูง ประกาศเปิดตัว FortiGate 60F ที่มาพร้อมกับชิปประมวลผล SOC4 สำหรับเพิ่มประสิทธิภาพการเชื่อมต่อ SD-WAN ไปอีกขั้น ในขณะที่ Throughput การใช้งานสูงกว่าคู่แข่งอื่นในท้องตลาดถึง 17 เท่า

เตือนช่องโหว่บนชิป Qualcomm ผู้ใช้ Android เสี่ยงถูกขโมยข้อมูล

Check Point ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยยักษ์ใหญ่ของโลก ออกมาแจ้งเตือนถึงช่องโหว่บน Chipset ของ Qualcomm ที่ใช้งานบนสมาร์ตโฟนและแท็บเล็ตของ Android ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยข้อมูลสำคัญ แม้ว่าจะถูกจัดเก็บอยู่ในพื้นที่ที่มีการป้องกันเป็นอย่างดีของอุปกรณ์ได้