85/67 (IT) ประจำวันจันทร์ที่ 4 มีนาคม 2567
หน่วยงาน CISA, FBI และ MS-ISAC ได้ออกคำแนะนำด้านความปลอดภัยทางไซเบอร์ (CSA) ร่วมกันเพื่อแจ้งเตือนการโจมตีที่เกี่ยวข้องกับแรนซัมแวร์ประเภทต่าง ๆ ของ Phobos ที่เป็นการดำเนินการแบบ ransomware-as-a-service (RaaS) ซึ่งเปิดตัวตั้งแต่เดือนพฤษภาคม 2019 เช่น Backmydata , Devos, Eight, Elking และ Faust
การโจมตีดังกล่าวเกิดขึ้นในเดือนกุมภาพันธ์ 2024 โดยพุ่งเป้าไปที่ภาครัฐ การศึกษา บริการฉุกเฉิน การดูแลสุขภาพ และภาคส่วนโครงสร้างพื้นฐานที่สำคัญอื่น ๆ โดยมีข้อมูลจากโอเพ่นซอร์ส ผู้เชี่ยวชาญของรัฐบาลได้เชื่อมโยงแรนซัมแวร์ Phobos หลายรูปแบบเข้ากับการบุกรุกของ Phobos เพราะเนื่องจากความคล้ายคลึงกันในกลยุทธ์ เทคนิค และขั้นตอนปฏิบัติ (TTP) การบุกรุกของ Phobos ยังเกี่ยวข้องกับการใช้เครื่องมือโอเพ่นซอร์สต่าง ๆ รวมถึง Smokeloader, Cobalt Strike และ Bloodhound เครื่องมือเหล่านี้มีจำหน่ายอย่างกว้างขวางและใช้งานง่ายในสภาพแวดล้อมการทำงานที่แตกต่างกัน ซึ่งส่งผลให้ Phobos และตัวแปรที่เกี่ยวข้องในหมู่ผู้คุกคามต่างๆ ได้รับความนิยม โดยผู้คุกคามที่อยู่เบื้องหลังการโจมตีของ Phobos ถูกพบว่าสามารถเข้าถึงเครือข่ายที่มีช่องโหว่ได้เป็นครั้งแรกโดยการใช้ประโยชน์จากแคมเปญฟิชชิ่ง พวกเขาทิ้งเพย์โหลดที่ซ่อนอยู่หรือใช้เครื่องมือสแกนอินเทอร์เน็ตโปรโตคอล (IP) เช่น Angry IP Scanner เพื่อค้นหาพอร์ต Remote Desktop Protocol (RDP) ที่มีช่องโหว่หรือโดยการใช้ประโยชน์จาก RDP บนสภาพแวดล้อม Microsoft Windows ผู้คุกคามที่อยู่เบื้องหลังการโจมตีด้วยแรนซัมแวร์ Phobos ยังถูกตรวจพบว่าเลี่ยงโปรโตคอลการป้องกันเครือข่ายขององค์กรด้วยการปรับเปลี่ยนการกำหนดค่าไฟร์วอลล์ของระบบ และหลบเลี่ยงการตรวจจับโดยใช้เครื่องมือ Universal Virus Sniffer, Process Hacker และ PowerTool และ Phobos รักษาความคงอยู่ภายในสภาพแวดล้อมที่ถูกบุกรุกโดยใช้โฟลเดอร์ Windows Startup และ Run Registry Keys โดยการขู่กรรโชกส่วนใหญ่เกิดขึ้นผ่านทางอีเมล อย่างไรก็ตาม กลุ่มพันธมิตรบางกลุ่มก็ได้ใช้วิธีการโทรด้วยเสียงเพื่อติดต่อกับเหยื่อ เพื่อวัตถุประสงค์ในการสื่อสาร หรือใช้แอปพลิเคชันส่งข้อความโต้ตอบแบบทันทีที่หลากหลาย เช่น ICQ, Jabber และ QQ
แหล่งข่าว https://securityaffairs.com/159822/cyber-crime/cisa-phobos-ransomware-attacks.html