พบ Malware “Bandook” กลับมาระบาดอีกครั้ง !!!

กวิจัยพบกลุ่ม Hacker “Dark Caracal” ใช้ Backdoor Trojan “Bandook” โดยกำหนดเป้าหมายการโจมตีไปที่ หน่วยงานรัฐบาล สถาบันกฎหมาย และ สถาบันการเงิน ในหลาย ๆ ประเทศ 

ขั้นตอนการติดเชื้อนั้น เมื่อเหยื่อทำการดาวน์โหลดไฟล์ .Zip ซึ่งภายในมีเอกสาร Microsoft Word ที่ฝัง Script อันตรายจาก Website ภายนอก หากเหยื่อเปิดเอกสารขึ้นมา Macros ที่อันตรายจะถูกดาวน์โหลดขึ้นมาเพื่อเรียกใช้ PowerShell Script  

PowerShell Script ทำการดาวน์โหลดไฟล์.Zip จาก Dropbox หรือ Bitbucket ซึ่งไฟล์ .Zip จะถูกเก็บไว้ Folder ของเหยื่อ และไฟล์จะถูกแตกออกมาภายในเครื่อง เพื่อใช้เป็นส่วนประกอบของ “Bandook Loder” 

 จากนั้น “Bandook Loder” จะใช้ Process Hollowing เพื่อทำการฝัง Backdoor Trojan “Bandook” เข้าสู่ Internet Explorer process 

 IOC 

          C2 Domains 

          ntsclouds[.]com, jtoolbox[.]org, idcmht[.]com, htname[.]info, vdscloud[.]net, mainsrv[.]top,   olex[.]live, branchesv[.]com, s1[.]megawoc[.]com, s2[.]megawoc[.]com, s3[.]megawoc[.]com,  s1[.]fikofiko[.]top, s2[.]fikofiko[.]top, s3[.]fikofiko[.]top, d1[.]p2020[.]club, d2[.]p2020[.]club, pronews[.]icu, p2020[.]xyz, 2ndprog[.]monster, ercuc[.]com, tancredis[.]com, ec2[.]mbcde[.]net, nopejohn[.]com 

            External Templates 

            horizongb[.]com, styleco[.]me, ewsdocs[.]com, raysdoor[.]com, vsimperial[.]com, mxtms[.]com 

               MD5 

          27f8d8bbbeeda5fc439ee18d9d4da343 

          44584c8d010242fddb44afe5ce860872 

          a6501c62b3a6ffa8d028a88138fe509f 

          7c15ee5b9a12dacaace8fb62271f12f1 

          4e9e12c98cfbc5f3aa3c1345bd063fa0 

          7ef261c151519e66ec369c63e4b1aed4 

          6effed1b1bb5e9ed6aafacb075c1d4e2 

          0475771b8bc3efc28b1834f3add608f3 

          045ce6679ed4086e2ded58470e24c15a 

          28ad9ace11919b57bf540e2b9debf8dd 

          5a3f7c46748791494e29383d1f58a908 

          07776b2dd00bcd0be1c7713c37d41120 

          d22b31848b6f17efc87d538dede2f2a7 

          b9b8d6f46ff3a9058ffe4b304604b4e7 

          573c7dbf4d3aed421bff58df770610fe 

          f037f3961f7d9fe1eb7afa889b556cb1 

          d1600f45005aa8b8fcbb446f34f7b9f5 

          4d7e67ed02713c789336f8804231b1ca 

          9bcf889b14968c61df95961a161719ba 

          54ad403349831b175a98a429f818f02a 

          83311c960609418d5f0a5160324ceb1d 

          96f09c5c56f59c733d1a9b01fea0cfb4 

          b5138c77983dba10c4976c411161bbf9 

          53b7bdd75776f342bf5f5395d4c46520 

          07111aff7afc052a81f267ea2e83dcef 

          eb402e8dd2cae58476acc8e697ee7171 

          cfea49c577ef865de659d5b8025db3f9 

วิธีการป้องกัน

1. สร้างความตระหนักถึงภัยคุกคามทางไซเบอร์ ไม่ควรเข้าชม Website ที่ไม่น่าเชื่อถือ 

2. หากทำการดาวน์โหลดไฟล์มาจาก Website ภายนอก ควรตรวบสอบไฟล์ด้วย Sandboxing Online เช่น Virustotal หรือ Hybrid-analysis 

3. ใช้ Software Anti-Virus เพื่อป้องกันการดาวน์โหลดไฟล์ที่เป็นอันตราย 

4. ควร Scan เครื่อง Computer ของคุณอย่างสม่ำเสมอ  

5. บล็อก Domain ที่ได้กล่าวไว้ตาม IOC 

Share

Add Your Comments

Your email address will not be published. Required fields are marked *