รู้จักกับ The Old Phantom Crypter มัลแวร์ร้ายที่แฝงในไฟล์ MS Office
รู้จักกับ The Old Phantom Crypter มัลแวร์ร้ายที่แฝงในไฟล์ MS Office
การโจมตีทางไซเบอร์เกิดขึ้นทุกเมื่อ และพัฒนารูปแบบไปทุกวินาที บริษัทเจ้าของผลิตภัณฑ์ด้านความปลอดภัยจำเป็นต้องอัปเดตตัวเองตามตลอดเวลา หลายๆ องค์กรอย่าง Sophos ได้ทำศูนย์วิจัยของตัวเอง เพื่อตรวจสอบ และค้นหารูปแบบการโจมตีใหม่ๆ เพื่อหาหนทางป้องกัน
ล่าสุดในวันที่ 14 กุมภาพันธ์ ศูนย์วิจัยของ Sophos ได้รายการเรื่องการปล่อย malware ผ่านทางไฟล์เอกสาร Microsoft Office มิจฉาชีพใช้เครื่องมือที่เรียกว่า Maldoc Builder ที่ช่วยฝัง malware ลงไปในไฟล์เอกสาร วิธีการนี้มีมานานแล้ว แต่เคสที่ Sophos พบในปี 2019 มีรายละเอียดที่ต่างออกไป มันเปลี่ยนจากการใช้ Maldoc builder ฝัง malware ลงไปในไฟล์เอกสารเป็นเครื่องมือใหม่ที่ชื่อว่า EQN_kit
ผลวิจัยในปีที่ผ่านมารายงานว่า การใช้ EQN_kit (ทั้ง 1 2 และ 3 รวมกัน) มีมากถึง 75% ของการโจมตีทั้งหมด EQN_kit ที่ถูกใช้มากที่สุดคือ EQN_kit3 หรือเรียกอีกชื่อหนึ่งว่า The Old Phantom Crypter เครื่องมือนี้เป็นโซลูชั่นแบบ two-in-one มันเริ่มต้นจากการเป็น PE cryptor และมันก็เพิ่มฟังก์ชั่นอื่นๆ ลงไปต่อจากนั้น ซึ่งฟังก์ชั่นที่เพิ่มเข้ามาคือการเป็นตัวปล่อยเครื่องมือการเจาะระบบ เช่น Microsoft Office exploits
มิจฉาชีพสามารถหาซื้อ license อุปกรณ์ builder ที่ใช้ในการสร้าง malware ได้จากทางอินเตอร์เน็ต และตัว builder นั้นรองรับ Microsoft Office exploits ได้หลายรูปแบบทั้ง CVE-2010-3333 ไปจนถึง CVE-2017-11882 Equation Editor exploit
ศูนย์วิจัยของ Sophos พบว่าจุดที่ปล่อย malware ที่แนบมากับไฟล์ Microsoft Office มากที่สุดคือประเทศรัสเซียและไนจีเรีย มิจฉาชีพจากสองประเทศนี้เล็งกลุ่มเป้าหมายคือองค์กรในอเมริกาและสหภาพยุโรป
การใช้ The Old Phantom Crypter เริ่มเกิดขึ้นครั้งแรกในเดือนมีนาคม 2018 ทาง Sophos คาดการณ์ว่ามีมิจฉาชีพประมาณ 100 กลุ่มที่ใช้เครื่องมือนี้
การค้นพบตรงนี้ นอกจากจะแจ้งเตือนไปยังพนักงานในองค์กรต่างๆ มันจะนำไปสู่การอัปเดต Patch ของ Firewall เพื่อสกัดกั้นการโจมตีนี้อีกด้วย การลงทุนทำศูนย์วิจัยเพื่อดูภัยคุกคามใหม่ๆ ตลอดเวลา คือฐานข้อมูลสำคัญที่ทำให้ผลิตภัณฑ์ของ Sophos นั้นให้ความปลอดภัยที่ครอบคลุม ให้ธุรกิจของคุณดำเนินไปอย่างไม่สะดุด
__________________________
ถ้าท่านใดสนใจทดสอบ ติดต่อสอบถามรายละเอียดได้ที่
💻 : www.monsterconnect.co.th
☎ : 02-392-3608
📱 : [email protected]
