สรุปข้อมูล
พบการโจมตีด้วย Nitrogen Malware ซึ่งปลอมเป็นโปรแกรม IP Scanner เพื่อทำการติดตั้ง Silver และ Cobalt Strike รวมไปถึงไฟล์ที่มี Payload ที่อันตราย บน Server ที่ถูก Hijack ในดำเนินการในการติดตั้ง Ransomware ต่อในระบบของเหยื่อและเรียกค่าไถ่ โดย Silver และ Cobalt Strike เป็นเครื่องมือที่ใช้ในการทดลองทำ Penetration testing และ Red Team Operation ซึ่ง ใช้ในการจำลองการโจมตี
รายละเอียดการโจมตี
รูปที่ 1: ขั้นตอนการโจมตี
- เริ่มแรกแฮกเกอร์สร้างเว็บไซต์ปลอม แล้วโปรโมตผ่าน Google ads เพื่อหลอกให้เหยื่อทำการดาวน์โหลดและติดตั้งมัลแวร์ที่อยู่ในรูปแบบของโปรแกรม Advanced IP Scanner ซึ่งมี Payload ที่อันตรายจะอยู่ในรูปไฟล์ ZIP ที่ประกอบด้วย "setup.exe" ในการดาวน์โหลดไฟล์ "modified python311.dll" ต่อเพื่อใช้ในการรันโค้ดมัลแวร์ Nitrogen
- หลังจากติดตั้งมัลแวร์ Nitrogen สำเร็จ ตัวมัลแวร์จะทำการติดตั้ง Silver และ Cobalt Strike beacons ที่เป็นเครื่องมือในการ Remote Access ซึ่งจะถูก Obfuscate โปรแกรมด้วยโปรแกรม Py-Fuscate
- แฮกเกอร์ใช้ PowerView และ BloodHound ในการ Reconnaissance หาช่องโหว่ เพื่อ Map ระบบเครือข่ายและโครงสร้างของ Active Directory บนระบบของเหยื่อ Lateral Movement ต่อมา แฮกเกอร์ดำเนินการผ่านทาง Windows Management Instrumentation (WMI), Remote Desktop Protocol (RDP) และ Pass-the-Hash
- ทำการ Dump ข้อมูล Credential จาก LSASS memory และแฮกเกอร์ทำให้ตัวเองยังคงอยู่ในระบบของเหยื่อผ่าน Scheduled Tasks, การแก้ไข Registry และการสร้าง Task ที่เลียนแบบ Process พื้นฐาน ในส่วนของการหลีกเลี่ยงการถูกตรวจจับ แฮกเกอร์ใช้ API unhooking, Sleep obfuscation, Bypass ETW ฯลฯ
- ในการยกระดับสิทธิ์ แฮกเกอร์ดำเนินการด้วย Process Injection ไปที่ "winlogon.exe" เพื่อทำการโจรกรรมข้อมูลโดยการใช้เครื่องมือ Restic และส่งข้อมูลพร้อมกับไฟล์ต่าง ๆ กลับไป Server
- สุดท้ายแฮกเกอร์ทำการติดตั้ง BlackCat Ransomware ไปยังระบบของเหยื่อโดยใช้โปรโตคอล Server Message Block (SMB) และเครื่องมือ PsExec หลังจากนั้นไฟล์ในระบบของเหยื่อจะถูก Encrypt พร้อมทิ้งจดหมายไว้เพื่อเรียกค่าไถ่ต่อไป
ผลกระทบจากการโจมตี
ผลกระทบจากการโจมตีข้างต้น ส่งผลให้แฮกเกอร์สามารถเข้าถึงข้อมูลส่วนตัวของเหยื่อโดยไม่ได้รับอนุญาต เช่น ข้อมูลทางการเงิน และข้อมูล Credential รวมไปถึงข้อมูลภายในองค์กรนั้น ๆ ไม่ว่าจะเป็นระบบ IT หรือระบบที่เกี่ยวข้องอื่น ๆ นอกจากจะมีผลกระทบเกี่ยวกับข้อมูลแล้วกลุ่มแฮกเกอร์อาจเข้าควบคุมระบบได้ทั้งหมดอีกด้วย ซึ่งส่งผลให้เหยื่อหรือองค์กรนั้น ๆ สูญเสียชื่อเสียง และเสียค่าใช้จ่ายเพื่อแก้ไขและฟื้นฟูระบบทั้งหมด
สรุปการโจมตี
การโจมตีด้วยมัลแวร์ Nitrogen ที่ใช้ในการติดตั้ง Silver และ Cobalt Strike จนถึงการติดตั้ง BlackCat Ransomware เพื่อทำการโจรกรรมข้อมูลและเรียกค่าไถ่ ส่งผลให้เกิดความเสียหายต่อข้อมูล, ชื่อเสียง และค่าใช้จ่ายในการฟื้นฟูระบบ นอกจากนี้กลุ่มแฮกเกอร์ยังสามารถดำเนินการต่าง ๆ ได้หลังจากควบคุมระบบทั้งหมดของเหยื่อ
คำแนะนำ
- อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
- หมั่นตรวจสอบและอัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ
- พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
- ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
- จำกัดสิทธิ์ของ User ที่ใช้งาน
แหล่งอ้างอิง
hxxps://cybersecuritynews[.]com/nitrogen-malware-ip-scanner/
hxxps://thedfirreport[.]com/2024/09/30/nitrogen-campaign-drops-sliver-and-ends-with-blackcat-ransomware/