‍

นักวิจัยจาก Elastic Security Labs รายงานว่ากลุ่มอาชญากรไซเบอร์รัสเซียชื่อ TA505 ถูกสังเกตว่าใช้มัลแวร์ hVNC (Hidden Virtual Network Computing) ใหม่ในการโจมตีล่าสุดโดยมัลแวร์มีชื่อว่า Lobshot มัลแวร์ที่ช่วยให้ผู้โจมตีสามารถ bypass เครื่องมือการตรวจจับและสามารถเข้าถึงเครื่องที่ติดมัลแวร์ได้

.

^{ผู้โจมตีแพร่กระจายมัลแวร์ผ่าน Google Ads และเว็บไซต์ปลอมเพื่อหลอกลวงผู้ใช้ให้ดาวน์โหลดโปรแกรมติดตั้งที่ภายนอกดูเหมือนโปรแกรมที่ถูกต้อง แต่ภายในฝัง backdoor}

   Lobshot หลบเลี่ยงการตรวจจับ โดยอาศัย dynamic import resolution ที่ใช่ Windows API ที่จำเป็นได้รับการแก้ไขที่รันไทม์ เมื่อสั่งใช้งาน Lobshot จะทำการตรวจสอบการต่อต้านการเลียนแบบของ Windows Defender และออกจากกระบวนการหากตรวจพบโซลูชันต่อต้านมัลแวร์ ต่อไปมัลแวร์จะสร้างโครงสร้างแบบกำหนดเองตามข้อมูลที่รวบรวมจากเครื่อง จากนั้นจึงเริ่มการเชื่อมต่อเครือข่าย Lobshot ยังคัดลอกตัวเองไปยังพื้นที่ใหม่ สร้าง process ใหม่โดยใช้ explorer.exe และลบไฟล์ต้นฉบับ

    จากนั้น Lobshot จะลงทะเบียนรีจิสตรีคีย์ใหม่เพื่อความคงอยู่ และเริ่มขั้นตอนการขโมยข้อมูล โดยกำหนดเป้าหมายส่วนขยายบน Chrome, Edge และ Firefox มากกว่า 50 รายการที่เกี่ยวข้องกับกระเป๋าเงินดิจิทัล

.

^{การทำงานหลักของมัลแวร์นั้นเกี่ยวข้องกับ hVNC ซึ่งใช้งานโดยการสร้างเดสก์ท็อปที่ซ่อนอยู่และกำหนดให้กับตัวมัลแวร์เอง}

 เมื่อฟังก์ชันทำงานพร้อมใช้งาน ผู้โจมตีจะได้รับสิทธิ์การควบคุมระยะไกลเครื่องเต็มรูปแบบ ซึ่งจะสามารถจับภาพหน้าจอใช้งานการพิมพ์ และคลิกเมาส์ได้ ผู้โจมตีออกคำสั่งให้เริ่มp rocess explorer.exe ใหม่, เริ่มคำสั่ง Run, เริ่ม process  Windows ใหม่ด้วยคำสั่งที่ให้มา, เริ่มเบราว์เซอร์, terminate process explorer.exe ที่มีอยู่, แก้ไขการตั้งค่าเสียง, เข้าถึงคลิปบอร์ด, เปิดใช้งาน Start menu และแก้ไขการตั้งค่าการรับรู้ DPI

.

^{Lobshot ยังสามารถสลับเซิร์ฟเวอร์ command-and-control (C&C) ที่ผู้โจมตีจัดเตรียมมาและสามารถอัปเดตตัวเองได้}

    จากข้อมูลของ Elastic ระบุว่ากลุ่ม TA505 ใช้ Lobshot ในการโจมตีมาอย่างน้อยตั้งแต่ปี 2022 โดยมีตัวอย่างมัลแวร์มากกว่า 500 รายการที่ตรวจพบตั้งแต่เดือนกรกฎาคมปีที่แล้ว โดยกลุ่ม TA505 เรียกอีกอย่างได้ว่า Evil Corp และกลุ่มนี้มีรายงานการเริ่มโจมตีอย่างน้อยตั้งแต่ปี 2014 ซึ่งกลุ่ม TA505 เป็นผู้ก่อภัยคุกคามที่มีแรงจูงใจทางการเงินซึ่งเป็นที่รู้จักจากปฏิบัติการโทรจัน Dridex และตระกูลแรนซัมแวร์ เช่น Locky, Bart, BitPaymer, WastedLocker และ Cl0p

‍

อ้างอิง

https://www.securityweek.com/new-lobshot-hvnc-malware.../

https://www.elastic.co/.../elastic-security-labs...

‍