Zeppelin Ransomware กลับมาระบาดหลังจากพักร้อนหายไปนานกว่าหลายเดือน!

คลื้นโจมตีระลอกใหม่ที่ถูกพบเจอโดยกลุ่มวิจัย Juniper Threatlab ในเดือนสิงหาคมเหมือนกับในปี 2019 เริ่มด้วยการ Phishing emails ใน Microsoft word attachments (themed “invoices”) เมื่อผู้ใช้เปิดใช้งาน macros, process ที่ติด malicious ก็จะเริ่มทำงาน 

ในเหตการณ์ล่าสุด ตัวอย่าง Visual Basic scripts ที่ถูกซ้อนไว้ในข้อความขยะใต้รูปภาพต่างๆ, malicious macros เหล่านี้ถูกแปะพร้อมกับเขียนทับ script ลงไปใน file C[:]\wordpress\about1[.]vbs. 

macro ตัวที่สองมองหา string “winmgmts:Win32_Process” ใน document text, และ execute “about1.vbs”  ซึ่งเป็นตัว trojan downloader ที่ทำการ download Zeppelin ransome ลงมาบนเครื่องของเหยื่อ 

Zeppelin เป็น Delphi-based ransomeware-as-a-service (RaaS) กลุ่มเดียวกันที่รู้จักกันในชื่อ Vega หรือ VegaLocker ที่โผล่ออกมาในช่องต้นปี 2019 

วิธีป้องกัน Ransomeware ขั้นพื้นฐาน ตัวอย่างเช่น ไม่ควรเข้า link แปลกปลอมจาก email, scan email หา malware, ปรับใช้ firewall,end point protection พยายาม back up สม่ำเสมอๆ 

ioc : zaebalsiarealy[.]exe,LilDroidSoftwareload[.]exe,P1[.]exe,P2[.]exe,Oxfordnew[.]exe, 

[email protected][.]ch,[email protected][.]it 

อ้างอิง: https://threatpost.com/zeppelin-ransomware-returns-trojan/159092/ 

Share

Add Your Comments

Your email address will not be published. Required fields are marked *