SDBbot RAT และแคมเปญ COVID-19 จากกลุ่ม TA505

IBM X-Force หน่วยงานให้บริการด้านการตอบสนองต่อภัยคุกคามกำลังอยู่ระหว่างการวิเคราะห์และจับตาดูการแพร่กระจ่ายของ Remote access Trojan (RAT) ที่ชื่อ SDBbot ซึ่งมีความเกี่ยวข้องกับกลุ่ม TA505 


                TA505 เป็นกลุ่มอาชญากรรทางการเงินที่มุ้งเน้นโจมตีอุตสาหกรรมต่างๆ สถาบันการเงิน ร้านค้าและร้านอาหาร ที่ผ่านมากลุ่มนี้มีวิธีการโจมตีที่หลากหลาย ไม่ว่าจะเป็น Spear phising, Macro-enabled documents, embedded dynamic-link libraries (DLLs), legitimate cloud hosting services for malware distribution, Spoofing legitimate services like Microsoft and Google


                 การโจมตีครั้งนี้จะใช้ RAT ที่ชื่อ SDBbot ในการบุกรุกเครือข่ายเป้าหมายเพื่อรีโมทจากระยะไกล จากนั้นจะส่งคำสั่งจาก C&C server เพื่อรันโค้ดอื่นๆ รวมถึงโอนถ่ายไฟล์จากเครื่องเป้าหมายมาไว้ที่เซิร์ฟเวอร์ 


                 แคมเปญตัวล่าสุดของ TA505 ใช้ประโยชน์จากการแพร่ระบาดของ COVID-19 โดยส่งอีเมลที่มีเนื้อหาเป็นวิธีรักษา Coronavirus พร้อมแนบเอกสารที่ฝัง “Locky ransomeware” และ “Dridex” ไปยังองค์กรด้านการดูแลสุขภาพ

ที่มา : https://securityintelligence.com/posts/ta505-continues-to-infect-networks-with-sdbbot-rat/?web_view=true

Share

Add Your Comments

Your email address will not be published. Required fields are marked *