แฮกเกอร์ Initial Access หันมาใช้ Tsundere Bot เพื่อการโจมตีแรนซัมแวร์

กลุ่มผู้ให้บริการ Initial Access Broker (IAB) ที่มีชื่อเสียงในชื่อ TA584 ถูกตรวจพบว่ากำลังใช้ Tsundere Bot ร่วมกับ XWorm remote access trojan (RAT) เพื่อเข้าถึงเครือข่าย ซึ่งอาจนำไปสู่การโจมตีแรนซัมแวร์ได้

Severity: สูง

System Impact:

• เครือข่ายองค์กร
• ระบบปฏิบัติการ Windows
• ระบบที่ใช้ Node.js

Technical Attack Steps:

1. ส่งอีเมลฟิชชิ่งจากบัญชีที่ถูกบุกรุกจำนวนมาก ผ่านบริการ SendGrid และ Amazon Simple Email Service (SES)
2. อีเมลประกอบด้วย URL เฉพาะสำหรับแต่ละเป้าหมาย พร้อมใช้ geofencing, IP filtering และระบบ Traffic Direction Systems (TDS) เช่น Keitaro
3. ผู้ที่ผ่านการกรองจะถูกนำไปยังหน้า CAPTCHA ตามด้วยหน้า ClickFix ซึ่งสั่งให้เป้าหมายรันคำสั่ง PowerShell บนระบบของตน
4. คำสั่ง PowerShell จะดึงและรันสคริปต์ที่ซ่อนเร้น
5. สคริปต์ที่ซ่อนเร้นจะโหลด XWorm หรือ Tsundere Bot เข้าสู่หน่วยความจำ
6. เบราว์เซอร์จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปกติเพื่ออำพรางกิจกรรมที่เป็นอันตราย
7. Tsundere Bot ซึ่งต้องใช้ Node.js (มัลแวร์จะติดตั้ง Node.js บนระบบเหยื่อ) จะดึงที่อยู่ Command-and-Control (C2) จาก Ethereum blockchain โดยใช้เทคนิค EtherHiding
8. Tsundere Bot จะรวบรวมข้อมูลระบบ, สามารถรันโค้ด JavaScript ตามคำสั่ง C2, สนับสนุนการใช้โฮสต์ที่ติดเชื้อเป็น SOCKS proxies และสามารถใช้สำหรับการรวบรวมข้อมูล, ขโมยข้อมูล, การเคลื่อนที่ภายในเครือข่าย และการติดตั้ง payload เพิ่มเติม ซึ่งอาจนำไปสู่แรนซัมแวร์

Recommendations:

Short Term:

• เพิ่มความตระหนักรู้ของผู้ใช้: ให้ความรู้แก่พนักงานเกี่ยวกับความเสี่ยงของอีเมลฟิชชิ่ง, เทคนิค social engineering และการระบุลิงก์หรือคำสั่งที่ไม่น่าเชื่อถือ
• ตรวจสอบและบล็อกอีเมล: ตรวจสอบอีเมลที่มาจากผู้ส่งจำนวนมากหรือบริการอีเมลบุคคลที่สามที่ไม่รู้จัก (เช่น SendGrid, Amazon SES) และพิจารณาบล็อกหากไม่มีเหตุผลทางธุรกิจที่ชัดเจน
• ระมัดระวังการรันสคริปต์: ห้ามรันคำสั่ง PowerShell หรือสคริปต์ใดๆ ที่แนะนำโดยเว็บไซต์ที่ไม่น่าเชื่อถือหรืออีเมลที่ไม่คาดคิด
• การตรวจจับและตอบสนองเบื้องต้น: ตรวจสอบระบบอย่างเร่งด่วนเพื่อหาสัญญาณของการติดเชื้อ XWorm หรือ Tsundere Bot โดยเฉพาะการติดตั้ง Node.js ที่ไม่ได้รับอนุญาต หรือกิจกรรมเครือข่ายที่ผิดปกติ

Long Term:

• การป้องกันอีเมลขั้นสูง: ใช้โซลูชันรักษาความปลอดภัยอีเมลขั้นสูงที่มีความสามารถในการตรวจจับฟิชชิ่ง, สแปม และมัลแวร์
• การจัดการช่องโหว่และการอัปเดต: ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการ, แอปพลิเคชัน และซอฟต์แวร์ทั้งหมดได้รับการอัปเดตด้วยแพตช์ความปลอดภัยล่าสุดอย่างสม่ำเสมอ
• การควบคุมการดำเนินการ: บังคับใช้นโยบายการควบคุมแอปพลิเคชัน (Application Control) หรือ White-listing เพื่อป้องกันการรันซอฟต์แวร์ที่ไม่ได้รับอนุญาต รวมถึง Node.js และสคริปต์ที่ไม่รู้จัก
• การฝึกอบรมความปลอดภัย: จัดการฝึกอบรมความปลอดภัยทางไซเบอร์อย่างต่อเนื่องสำหรับพนักงานเพื่อเสริมสร้างความเข้าใจเกี่ยวกับภัยคุกคามและการป้องกัน
• การแบ่งส่วนเครือข่าย: ใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการเคลื่อนที่ด้านข้างของมัลแวร์ในกรณีที่มีการบุกรุก
• ระบบ EDR/XDR: ลงทุนในโซลูชัน Endpoint Detection and Response (EDR) หรือ Extended Detection and Response (XDR) ที่สามารถตรวจจับและตอบสนองต่อภัยคุกคามขั้นสูง เช่น Initial Access Brokers (IABs) และ Remote Access Trojans (RATs)
• สถาปัตยกรรม Zero Trust: พิจารณาการนำหลักการ Zero Trust มาใช้ในการเข้าถึงทรัพยากรและระบบทั้งหมด

Source: https://www.bleepingcomputer.com/news/security/initial-access-hackers-switch-to-tsundere-bot-for-ransomware-attacks/