ไม่นานมานี้มีการวิจัยพบความเชื่อมโยงระหว่างกลุ่มแรนซัมแวร์ Black Basta และ Cactus โดยพบว่าทั้งสองกลุ่มใช้วิธีการโจมตีที่คล้ายกันผ่านทาง Microsoft Teams และมัลแวร์ BackConnect
ในเดือนมกราคม Zscaler พบตัวอย่างมัลแวร์ Zloader ที่มีฟีเจอร์ DNS tunneling ใหม่ ต่อมา Walmart พบว่า Zloader กำลังปล่อยมันเป็นมัลแวร์พร็อกซี BackConnect ที่เชื่อมต่อกับมัลแวร์ Qbot (QakBot) มัลแวร์ BackConnect ทำหน้าที่เป็นเครื่องมือพร็อกซีสำหรับการเข้าถึงเซิร์ฟเวอร์ที่ถูกโจมตีจากระยะไกล โดยช่วยให้แฮกเกอร์สามารถทำการโจมตีและซ่อนกิจกรรมของพวกเขาในเครือข่ายของเหยื่อโดยไม่ถูกตรวจจับ
ทั้ง Zloader, Qbot และ BackConnect เชื่อมโยงกับกลุ่มแรนซัมแวร์ Black Basta ซึ่งใช้มัลแวร์เหล่านี้ในการเจาะเครือข่ายองค์กรและขยายการโจมตี
Trend Micro รายงานว่ากลุ่มแรนซัมแวร์ Cactus ก็ใช้ BackConnect ในการโจมตีเช่นกัน โดยทั้งสองกลุ่มมีลักษณะการโจมตีที่คล้ายกัน คือการส่งอีเมลจำนวนมากมายังเป้าหมายเพื่อกระตุ้นความสนใจ จากนั้นจะติดต่อเป้าหมายผ่าน Microsoft Teams โดยแสร้งเป็นเจ้าหน้าที่ฝ่ายช่วยเหลือทางไอที และหลอกลวงเหยื่อให้เปิดการเข้าถึงระยะไกลผ่าน Windows Quick Assist
การโจมตีของทั้งสองกลุ่มมีความคล้ายคลึงกันมาก เช่น การใช้เซิร์ฟเวอร์ Command and Control ที่เคยเชื่อมโยงกับ Black Basta
กลุ่มแรนซัมแวร์ Black Basta เริ่มต้นขึ้นในเดือนเมษายน 2022 และมีสมาชิกที่เคยเป็นส่วนหนึ่งของกลุ่ม Conti ซึ่งถูกยุบในเดือนพฤษภาคม 2022 หลังจากข้อมูลภายในของกลุ่มรั่วไหล
ในรายงานของ Trend Micro พบว่ากลุ่มแรนซัมแวร์ Cactus เกิดขึ้นในปี 2023 และใช้วิธีการโจมตีที่คล้ายคลึงกับ Black Basta แสดงถึงความเชื่อมโยงหรือความร่วมมือระหว่างสมาชิกของทั้งสองกลุ่ม
https://www.bleepingcomputer.com/news/security/microsoft-teams-tactics-malware-connect-black-basta-cactus-ransomware/
ในเดือนมกราคม Zscaler พบตัวอย่างมัลแวร์ Zloader ที่มีฟีเจอร์ DNS tunneling ใหม่ ต่อมา Walmart พบว่า Zloader กำลังปล่อยมันเป็นมัลแวร์พร็อกซี BackConnect ที่เชื่อมต่อกับมัลแวร์ Qbot (QakBot) มัลแวร์ BackConnect ทำหน้าที่เป็นเครื่องมือพร็อกซีสำหรับการเข้าถึงเซิร์ฟเวอร์ที่ถูกโจมตีจากระยะไกล โดยช่วยให้แฮกเกอร์สามารถทำการโจมตีและซ่อนกิจกรรมของพวกเขาในเครือข่ายของเหยื่อโดยไม่ถูกตรวจจับ
ทั้ง Zloader, Qbot และ BackConnect เชื่อมโยงกับกลุ่มแรนซัมแวร์ Black Basta ซึ่งใช้มัลแวร์เหล่านี้ในการเจาะเครือข่ายองค์กรและขยายการโจมตี
Trend Micro รายงานว่ากลุ่มแรนซัมแวร์ Cactus ก็ใช้ BackConnect ในการโจมตีเช่นกัน โดยทั้งสองกลุ่มมีลักษณะการโจมตีที่คล้ายกัน คือการส่งอีเมลจำนวนมากมายังเป้าหมายเพื่อกระตุ้นความสนใจ จากนั้นจะติดต่อเป้าหมายผ่าน Microsoft Teams โดยแสร้งเป็นเจ้าหน้าที่ฝ่ายช่วยเหลือทางไอที และหลอกลวงเหยื่อให้เปิดการเข้าถึงระยะไกลผ่าน Windows Quick Assist
การโจมตีของทั้งสองกลุ่มมีความคล้ายคลึงกันมาก เช่น การใช้เซิร์ฟเวอร์ Command and Control ที่เคยเชื่อมโยงกับ Black Basta
กลุ่มแรนซัมแวร์ Black Basta เริ่มต้นขึ้นในเดือนเมษายน 2022 และมีสมาชิกที่เคยเป็นส่วนหนึ่งของกลุ่ม Conti ซึ่งถูกยุบในเดือนพฤษภาคม 2022 หลังจากข้อมูลภายในของกลุ่มรั่วไหล
ในรายงานของ Trend Micro พบว่ากลุ่มแรนซัมแวร์ Cactus เกิดขึ้นในปี 2023 และใช้วิธีการโจมตีที่คล้ายคลึงกับ Black Basta แสดงถึงความเชื่อมโยงหรือความร่วมมือระหว่างสมาชิกของทั้งสองกลุ่ม
https://www.bleepingcomputer.com/news/security/microsoft-teams-tactics-malware-connect-black-basta-cactus-ransomware/
ไม่นานมานี้มีการวิจัยพบความเชื่อมโยงระหว่างกลุ่มแรนซัมแวร์ Black Basta และ Cactus โดยพบว่าทั้งสองกลุ่มใช้วิธีการโจมตีที่คล้ายกันผ่านทาง Microsoft Teams และมัลแวร์ BackConnect
ในเดือนมกราคม Zscaler พบตัวอย่างมัลแวร์ Zloader ที่มีฟีเจอร์ DNS tunneling ใหม่ ต่อมา Walmart พบว่า Zloader กำลังปล่อยมันเป็นมัลแวร์พร็อกซี BackConnect ที่เชื่อมต่อกับมัลแวร์ Qbot (QakBot) มัลแวร์ BackConnect ทำหน้าที่เป็นเครื่องมือพร็อกซีสำหรับการเข้าถึงเซิร์ฟเวอร์ที่ถูกโจมตีจากระยะไกล โดยช่วยให้แฮกเกอร์สามารถทำการโจมตีและซ่อนกิจกรรมของพวกเขาในเครือข่ายของเหยื่อโดยไม่ถูกตรวจจับ
ทั้ง Zloader, Qbot และ BackConnect เชื่อมโยงกับกลุ่มแรนซัมแวร์ Black Basta ซึ่งใช้มัลแวร์เหล่านี้ในการเจาะเครือข่ายองค์กรและขยายการโจมตี
Trend Micro รายงานว่ากลุ่มแรนซัมแวร์ Cactus ก็ใช้ BackConnect ในการโจมตีเช่นกัน โดยทั้งสองกลุ่มมีลักษณะการโจมตีที่คล้ายกัน คือการส่งอีเมลจำนวนมากมายังเป้าหมายเพื่อกระตุ้นความสนใจ จากนั้นจะติดต่อเป้าหมายผ่าน Microsoft Teams โดยแสร้งเป็นเจ้าหน้าที่ฝ่ายช่วยเหลือทางไอที และหลอกลวงเหยื่อให้เปิดการเข้าถึงระยะไกลผ่าน Windows Quick Assist
การโจมตีของทั้งสองกลุ่มมีความคล้ายคลึงกันมาก เช่น การใช้เซิร์ฟเวอร์ Command and Control ที่เคยเชื่อมโยงกับ Black Basta
กลุ่มแรนซัมแวร์ Black Basta เริ่มต้นขึ้นในเดือนเมษายน 2022 และมีสมาชิกที่เคยเป็นส่วนหนึ่งของกลุ่ม Conti ซึ่งถูกยุบในเดือนพฤษภาคม 2022 หลังจากข้อมูลภายในของกลุ่มรั่วไหล
ในรายงานของ Trend Micro พบว่ากลุ่มแรนซัมแวร์ Cactus เกิดขึ้นในปี 2023 และใช้วิธีการโจมตีที่คล้ายคลึงกับ Black Basta แสดงถึงความเชื่อมโยงหรือความร่วมมือระหว่างสมาชิกของทั้งสองกลุ่ม
https://www.bleepingcomputer.com/news/security/microsoft-teams-tactics-malware-connect-black-basta-cactus-ransomware/
0 ความคิดเห็น
0 การแบ่งปัน
26 มุมมอง
0 รีวิว
English