มัลแวร์ SquidLoader ถูกใช้ในการโจมตีไปยังสถาบันการเงินในฮ่องกง และเอเชีย

1. เริ่มแรกแฮกเกอร์จะทำการ Spear-Phishing ไปยังพนักงานในสถาบันการเงินของฮ่องกง และเอเชีย พร้อมแนบไฟล์ RAR ล็อกรหัสผ่านที่อ้างว่าเป็น ใบแจ้งหนี้ โดยใส่รหัสผ่านไว้ในเนื้อหาอีเมลเพื่อหลอกให้เหยื่อแตกไฟล์เอง
2. เมื่อแตกไฟล์ RAR จะพบไฟล์ PE ที่ปลอมเป็นไฟล์ Microsoft Word หากเหยื่อเปิดไฟล์ดังกล่าว SquidLoader จะเริ่มตรวจข้อมูลระบบ แล้วจะทำการติดต่อกับเซิร์ฟเวอร์ C2 เพื่อดาวน์โหลด Shellcode และ Cobalt Strike Beacon โหลดเข้าหน่วยความจำและสั่งรันทันที ทำให้แฮกเกอร์สามารถควบคุมเครื่อง ยกระดับสิทธิ์ และขยายการโจมตีไปยังเครื่องอื่น ๆ ในเครือข่ายได้

ผลกระทบจากการโจมตี

ผลกระทบจากการโจมตีนี้เปิดทางให้แฮกเกอร์ควบคุมระบบภายใน ขโมยข้อมูลการเงินสำคัญ ยกระดับสิทธิ์ และสามารถขยายการโจมตีไปยังเครื่องอื่น ๆ ในเครือข่าย ส่งผลให้เกิดความเสียหายทางการเงิน เสี่ยงต่อการละเมิดกฎคุ้มครองข้อมูล และทำให้องค์กรเสียชื่อเสียง

สรุปการโจมตี

การโจมตีเริ่มจากการโจมตีแบบ Spear-phishing พร้อมไฟล์แนบ RAR ที่อ้างว่าเป็นใบแจ้งหนี้ หลอกให้เหยื่อแตกไฟล์ ที่ภายในจะมีไฟล์ PE ที่ปลอมเป็นไฟล์ Microsoft Word หากเหยื่อเปิดไฟล์ดังกล่าว SquidLoader จะเชื่อมต่อ C2 ดาวน์โหลด Shellcode และโหลด Cobalt Strike Beacon เข้าหน่วยความจำทันที

คำแนะนำ

• Awareness Training เรื่องรูปแบบการโจมตีหรือช่องโหว่ให้กับบุคลากรในองค์กร เช่น Spear-phishing
• ใช้งาน Mail Gateway ในการสแกนหาไฟล์แนบและ URL ที่อันตราย
• อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
• พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
• จำกัดสิทธิ์ของผู้ใช้งานตามหลัก Least Privilege Principle ให้แต่ละบัญชีเข้าถึงเฉพาะส่วนที่จำเป็น เพื่อลดความเสี่ยงหากบัญชีถูก Compromise
• เพิ่มแผนการ Backup ในการลดผลกระทบและความเสียหายหลังถูกโจมตี
• ทำการ Full-scan ที่ Endpoint ทุก ๆ สัปดาห์ และเปิดฟีเจอร์ป้องกันแบบ Real-time เพื่อป้องกันไฟล์อันตราย

แหล่งอ้างอิง

https://securityonline.info/stealthy-squidloader-malware-targets-hong-kong-financial-firms-with-evasive-cobalt-strike-attacks/

https://www.trellix.com/blogs/research/threat-analysis-squidLoader-still-swimming-under-the-radar/