คลังเก็บป้ายกำกับ: NODERSOK

ไมโครซอฟท์และ Cisco Talos พบมัลแวร์สายพันธุ์ใหม่ Nodersok

นักวิจัยด้านความปลอดภัยทางไซเบอร์จากทั้งไมโครซอฟท์และ Cisco Talos ต่างพบมัลแวร์สายพันธุ์ใหม่ที่ถูกเรียกชื่อว่า Nodersok (หรือ Divergent) ซึ่งมัลแวร์นี้ถูกรายงานการนำไปใช้โจมตีเครือข่ายองค์กรต่างๆ และสามารถไปใช้โจมตีแบบหลอกให้คลิก (Click-Fraud) ได้

ทาง Cisco Talos ระบุว่า มัลแวร์ตระกูล Nodersok นี้ถูกพัฒนาขึ้นด้วยเป้าหมายในการ “สร้างรายได้ให้แก่ผู้โจมตี” ผ่านการหลอกให้คลิก ซึ่งรูปแบบการทำงานของมัลแวร์นี้คล้ายกับมัลแวร์แบบ Click-Fraud ตัวอื่นอย่าง Kovter

มัลแวร์จะเข้าสู่ระบบในรูปของไฟล์ Executable แบบ Portable โดยติดตั้งตัวเองบนระบบในรูปแอพพลิเคชั่น HTML หรือที่เรียกว่า HTA ซึ่งจะโหลดข้อมูลมัลแวร์มาจากรีจิสทรี จากนั้นจาวาสคริปต์จึงโหลดไฟล์สคริปต์ใน HTA

ซึ่งจะเป็นการรันคำสั่ง PowerShell ที่ไปดาวน์โหลดและรันการทำงานของทูลต่างๆ มากมาย เช่น ตัวที่สามารถปิดการทำงานของ Windows Defender ได้ จากนั้นมัลแวร์จะสามารถเข้าถึง ดูดข้อมูลแพ็กเก็ต และสร้างพร็อกซี่ของตัวเองได้ต่อไป

ที่มา : CB

from:https://www.enterpriseitpro.net/microsoft-and-cisco-talos-have-found-a-new-malware-nodersok/

โฆษณา

พบมัลแวร์ตัวใหม่ ‘Nodersok’ โจมตีเหยื่อแล้วหลายพันราย

มีรายงานจาก Microsoft ว่าพบความเคลื่อนไหวของมัลแวร์ตัวใหม่ที่ชื่อ ‘Nodersok’ ซึ่งความน่าสนใจคือมีการใช้เทคนิคหลากหลาย เช่น multi-stage infection, living-off-the-land และ Fileless นอกจากนี้มีรายงานจากฝั่งของ Cisco Talos ด้วยที่อ้างถึงมัลแวร์ตัวเดียวกันแต่ใช้ชื่อว่า ‘Divergent’

credit : Microsoft

จากภาพสรุปการโจมตีด้านบน Nodersok ถือเป็นมัลแวร์ที่มีความน่าสนใจโดยจะเห็นได้ว่าเป็นการโจมตีแบบ Multi-stage infection ซึ่งเริ่มแรกจะแพร่มาทางโฆษณาอันตรายในหน้าเว็บหรือลิงก์อันตรายที่ทำให้ผู้ใช้โหลดไฟล์ HTA(HTML Appliaction) เข้ามา จากนั้นโค้ด JavaScript ที่อยู่ใน HTA จะไปดาวน์โหลดส่วนประกอบอื่นๆ คือ XSL และ JavaScript ขั้นถัดมาจะมีการไปรันคำสั่ง PowerShell ที่ถูก Encode ในรูปแบบของ deadbeef  และสุดท้ายนำไปสู่ผลลัพธ์ดังนี้

  • พยายาม Disable โปรแกรม Windows Defender Antivirus และ Windows Update
  • พยายามใช้ Binary Shellcode เพื่อยกระดับสิทธิ์
  • ใช้ Windivert ที่เป็นไลบรารี่ดักจับแพ็กเก็ต
  • ใช้ JavaScript โมดูลที่เขียนใน Node.js เพื่อเปลี่ยนเครื่องให้เป็น Proxy

สำหรับจุดที่น่าสังเกตตรงนี้คือเทคนิค Living-off-the-land ที่มีการใช้ PowerShell และการใช้งาน Node.js Framework และ Windivert ที่ปกติแล้วก็ไม่ได้ถือเป็นเครื่องมือโจมตีอะไร นอกจากนี้ผู้เชี่ยวชาญยังให้ความเห็นว่า “ทุกฟังก์ชันที่เกิดขึ้นของ Script และ Shellcode มักจะมาในรูปแบบของการเข้ารหัส ถอดรหัส และรันในหน่วยความจำเท่านั้น ไม่มีส่วนไหนเลยที่ถูกเขียนบนดิสก์

อีกประเด็นคือยังมีความเห็นแตกต่างกันเล็กน้อยในมุมของ Cisco และ Microsoft ที่ฝ่ายแรกชี้ว่ามัลแวร์ได้ใช้ Proxy เพื่อทำการ Click-fraud แต่ฝ่ายหลังชี้ว่าใช้ Proxy เพื่อ Relay ทราฟฟิคอันตราย อย่างไรก็ตามขึ้นชื่อว่ามัลแวร์คงไม่ดีแน่ที่จะรับเข้าไป ซึ่งปัจจุบันพบว่ามีเหยื่อในการโจมตีครั้งนี้แล้วกว่าหลายพันรายในแถบยุโรปและอเมริกา

ที่มา :  https://www.zdnet.com/article/microsoft-new-nodersok-malware-has-infected-thousands-of-pcs/ และ  https://www.bleepingcomputer.com/news/security/microsoft-spots-nodersok-malware-campaign-that-zombifies-pcs/

from:https://www.techtalkthai.com/found-new-multi-stage-infection-malware-nodersok/