Red Skull Binaries | SOSECURE MORE THAN SECURE

เครื่องมือในการโจรกรรมข้อมูลแบบใหม่ USBCulprit

การทำงานของ USBCulprit อาศัย Keylogger เชื่อมต่อเข้ากับระบบผ่าน RDP

นักวิจัยจาก Kaspersky ออกมาเปิดเผยเครื่องมือในการขโมยข้อมูลของเหยื่อที่ถูกพัฒนาโดยกลุ่มผู้ไม่ประสงค์ดีในจีน ซึ่งมีเป้าหมายไปที่หน่วยงานรัฐบาล ไทย ลาว และเวียดนาม โดยเครื่องมือที่ถูกค้นพบใหม่นี้มีชื่อว่า USBCulprit ซึ่งเป็น Malware mujอาศัย USB Drive เป็นตัวช่วยในการโจรกรรม โดยมี Advanced Persistent Threat (APT) ที่ชื่อ Cycldek, Goblin Panda หรือ Conimes

หลักการทำงานของ USBCulprit อาศัย Keylogger ของผู้ใช้ที่เชื่อมต่อเข้ากับระบบผ่าน RDP หลังจากนั้นจะมีการทำการ Download เครื่องมือเพิ่มเติมในการช่วยโจมตี เช่น lateral movement ใช้เครื่องมือชื่อ (HDoor) และ ในการดึงข้อมูลออกมาจากเครื่องเหยื่อ (JsonCookies และ ChromePass) โดยมีเป้าหมายไปที่ไฟล์นามสกุลเฉพาะเช่น *.pdf;*.doc;*.wps;*docx;*ppt;*.xls;*.xlsx;*.pptx;*.rtf และทำการถ่ายโอนข้อมูลกลับมายัง USB Drive

ที่มา: https://thehackernews.com/2020/06/air-gap-malware-usbculprit.html

 

Share