143/67 (IT) ประจำวันศุกร์ที่ 19 เมษายน 2567
FIN7 เป็นกลุ่มภัยคุกคามที่มีแรงจูงใจทางการเงิน ได้กำหนดเป้าหมายการโจมตีไปที่บริษัทผู้ผลิตรถยนต์รายใหญ่ในสหรัฐฯ ด้วยอีเมลแบบ spear-phishing ไปที่พนักงานในแผนกไอทีของบริษัท เพื่อแพร่กระจายมัลแวร์แบ็คดอร์ของ Anunak ตามที่นักวิจัยของ BlackBerry ระบุว่าการโจมตีดังกล่าวเกิดขึ้นเมื่อปลายปีที่ โดยผู้คุกคามมุ่งเป้าหมายไปที่พนักงานที่มีสิทธิ์ระดับสูงในระบบ โดยหลอกล่อพวกเขาด้วยลิงก์ URL ที่เป็นอันตราย ซึ่งแอบอ้างเป็นเครื่องมือ Advanced IP Scanner ที่ถูกต้องตามกฎหมาย
โดยรูปแบบการโจมตีของ FIN7 จะเริ่มต้นด้วยอีเมลฟิชชิ่งที่พุ่งเป้าไปที่พนักงานที่ได้รับสิทธิพิเศษระดับสูงในแผนกไอทีของผู้ผลิตรถยนต์รายใหญ่ในสหรัฐฯ ซึ่งลิงก์ในอีเมลจะนำไปที่ “advanced-ip-sccanner[.]com” โดยเป็นลิงก์ที่อันตราย ซึ่งลิงก์ที่ถูกต้องจริง ๆ คือ ” advanced-ip-scanner.com” นักวิจัยค้นพบว่าเว็บไซต์ปลอมเปลี่ยนเส้นทางไปที่ “myipscanner[.]com” และจะถูกพาไปยังหน้า Dropbox ที่นำเสนอโปรแกรมปฏิบัติการที่เป็นอันตราย (‘WsTaskLoad.exe’) ซึ่งปลอมตัวเป็นผู้ติดตั้งที่ถูกต้องตามกฎหมายสำหรับ Advanced IP Scanner เมื่อดำเนินการแล้ว ไฟล์จะทริกเกอร์กระบวนการหลายขั้นตอนที่เกี่ยวข้องกับไฟล์ DLL, WAV และการดำเนินการเชลล์โค้ด ซึ่งนำไปสู่การโหลดและถอดรหัสไฟล์ชื่อ ‘dmxl.bin’ ซึ่งมีเพย์โหลดแบ็คดอร์ของ Anunak โดย Anunak/Carbanak เป็นหนึ่งในเครื่องมือมัลแวร์หลายตัวที่ FIN7 ใช้ร่วมกับ Loadout, Griffon, PowerPlant และ Diceloader และ WsTaskLoad.exe ยังติดตั้ง OpenSSH สำหรับการเข้าถึงอย่างต่อเนื่อง
นักวิจัยไม่ได้เปิดเผยชื่อบริษัทที่ตกเป็นเป้าหมาย แต่พวกเขาอธิบายว่าเป็นเพียง “ผู้ผลิตยานยนต์ข้ามชาติรายใหญ่ในสหรัฐฯ” โดยกลุ่ม FIN7 มีมาตั้งแต่ปี 2013 แต่ในช่วงไม่กี่ปีที่ผ่านมาได้เปลี่ยนไปสู่เป้าหมายที่ใหญ่กว่า และใช้การโจมตีแรนซัมแวร์กับองค์งค์กรขนาดใหญ่ เนื่องจากพวกเขาสามารถจ่ายค่าไถ่ที่มากกว่าได้ ซึ่ง BlackBerry แนะนำให้บริษัทต่าง ๆ ป้องกันฟิชชิ่ง ซึ่งเป็นการบุกรุกที่พบบ่อยที่สุด โดยจัดให้มีการฝึกอบรมที่เหมาะสมเพื่อให้พนักงานสามารถหลีกเลี่ยงเหยื่อล่อที่เป็นอันตรายได้ การใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA) กับบัญชีผู้ใช้ทั้งหมด จะทำให้ผู้โจมตีเข้าถึงบัญชีของพนักงานได้ยากขึ้น การใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกัน การอัปเดตซอฟต์แวร์ทั้งหมด การตรวจสอบเครือข่ายเพื่อหาพฤติกรรมที่น่าสงสัย และการเพิ่มโซลูชันการกรองอีเมลขั้นสูง ยังช่วยป้องกันผู้โจมตีในวงกว้างอีกด้วย