TA505 กลุ่มแฮกเกอร์เผยแพร่ FlawedGrace RAT ผ่านการโจมตีการส่งอีเมลจำนวนมาก

TA505,FlawedGrace Rat

เมื่อวันที่ 20 ตุลาคม 2564 ที่ผ่านมาได้มีการค้นพบการโจมตีด้วยการส่งอีเมลที่เป็นอันตรายจากกลุ่ม TA505 ซึ่งมีเป้าหมายมุ่งไปที่ผู้ใช้ชาวเยอรมนีและออสเตรีย โดยการส่งอีเมลแพร่กระจาย FlawedGrace RAT ผ่านทางอีเมล

การโจมตีปัจจุบันเชื่อมโยงกับกลุ่ม TA505 ที่เคยมีการใช้โทรจัน Dridex Banking และเครื่องมือต่าง ๆ ในการโจมตีที่ผ่านมา

รายการเครื่องมือที่ใช้ (Malware)
• FlawedAmmyy
• FlawedGrace
• Neutrino botnet
• Locky ransomware

รูปที่ 1

อ้างอิง https://cybersecuritynews.com/

ความคล้ายคลึงกันของกิจกรรม TA505 ในอดีต

รูปแบบการโจมตีในปัจจุบันและที่ผ่านมาจะมีความคล้ายคลึงกันระหว่างการโจมตีทั้งสองครั้งคือ

• Emails
• Landing pages
• Excel graphic lures
• Domain naming conventions
• Code reuse

รูปที่ 2

อ้างอิง https://cybersecuritynews.com/

จากรูปที่ การโจมตีดังกล่าวจะเริ่มทำงานหลังจากที่เหยื่อเปิดไฟล์ Microsoft Excel ที่แนบมากับอีเมล ทำให้สคริปต์อันตรายที่ฝังอยู่ทำงาน และดาวน์โหลดไฟล์ MSI มาติดตั้งบนเครื่องเหยื่อ ซึ่งจะมีสคริปต์ KiXtart และ Rebol จำนวน 2 ไฟล์ที่ถูกนำมาวางไว้บนเครื่องเหยื่อ โดย KiXtrat จะทำหน้าที่ส่งข้อมูล (domain, computer name, user name, process list) ไปที่เครื่อง C&C Server ของผู้ไม่ประสงค์ดี ดังรูปที่ 3

รูปที่ 3

อ้างอิง https://blog.morphisec.com/

จากรูปที่ กลุ่มผู้ไม่ประสงค์ดีจะทำการติดตั้งโทรจัน FlawedGrace ที่ได้รับการอัปเดตเวอร์ชันแล้ว ทำให้สามารถควบคุมเครื่องเหยื่อจากระยะไกลได้สำเร็จ

FlawedGrace RAT

FlawedGrace ถูกค้นพบครั้งแรกในเดือนพฤศจิกายน 2560 เขียนด้วยภาษา C++ ซึ่งได้รับการออกแบบมาโดยเฉพาะเพื่อป้องกันการทำ Revers Engineer และ Analysis 

โทรจันสามารถรันคำสั่งต่อไปนี้ผ่านพอร์ต TCP 443 ได้

• target_remove
• target_update
• target_reboot
• target_module_load
• target_module_load_external
• target_module_unload
• target_download
• target_upload
• target_rdp
• target_passwords
• target_servers
• target_script
• destroy_os
• desktop_stat
 

นอกเหนือจากนี้ TA505 ยังเป็นกลุ่มที่มีแรงจูงใจทางการเงิน และมีชื่อเสียงในด้านการดำเนินการโจมตีการส่งอีเมลที่เป็นอันตรายในระดับที่ไม่เคยมีมาก่อน

และกลุ่มนี้เองยังเปลี่ยนรูปแบบพฤติกรรมการโจมตีบ่อย ๆ และนั้นคือสาเหตุที่ทำให้กลุ่มนี้เป็นหนึ่งในผู้นำในโลกของอาชญากรรมไซเบอร์

อ้างอิง :

https://cybersecuritynews.com/ta505-hackers-group-spreading-flawedgrace-rat

https://blog.morphisec.com/explosive-new-mirrorblast-campaign-targets-financial-companies

https://gbhackers.com/russian-apt-hackers-attacking-financial-organizations/

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 22 ตุลาคม 2564