SideWinder ถูกกล่าวหาว่าใช้ Backdoor โจมตีองค์กรของรัฐบาลปากีสถาน
ผู้ไม่ประสงค์ดี SideWinder ถูกกล่าวหาว่าใช้ Backdoor โจมตีองค์กรของรัฐบาลปากีสถาน ซึ่งใช้เทคนิคที่มีความหลากหลายบนเซิร์ฟเวอร์เพื่อขนส่ง Payload
ลำดับการโจมตีโดยทั่วไปที่ติดตั้งโดยผู้โจมตีนั้นต้องใช้อีเมลที่สร้างขึ้นเพื่อล่อลวงเหยื่อ และเทคนิค DLL side-loading เพื่อเลี่ยงการตรวจจับและปรับใช้มัลแวร์ที่สามารถให้สิทธิ์ผู้โจมตีการเข้าถึงระยะไกลไปยังระบบเป้าหมาย
ในช่วงปีที่ผ่านมา SideWinder เกี่ยวข้องกับการโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่ Pakistan Navy War College (PNWC) เช่นเดียวกับมัลแวร์ Android ที่ใช้ประโยชน์จากโปรแกรมล้างโทรศัพท์ปลอมและแอป VPN ที่อัปโหลดไปยัง Google Play Store เพื่อรวบรวมข้อมูล
การโจมตีล่าสุด ค้นพบจาก QiAnXin บริษัทด้านความปลอดภัยทางไซเบอร์ของจีนใน เดือน ธันวาคม 2565 ซึ่งมีรายละเอียดการใช้เอกสารล่อ PNWC เพื่อทิ้ง Backdoor ที่ใช้ .NET (App.dll) ขนาดเล็กซึ่งสามารถดึงข้อมูลและปล่อยมัลแวร์จากเซิร์ฟเวอร์ระยะไกล
สิ่งที่ทำให้แคมเปญนี้โดดเด่น คือ การที่ผู้โจมตีใช้ความหลากหลายบนเซิร์ฟเวอร์เพื่อเลี่ยงการตรวจจับไวรัส และกระจาย payload โดยการตอบสนองด้วยไฟล์ RTF ระดับกลางสองเวอร์ชันที่แตกต่างกัน โดยเฉพาะ เอกสาร PNWC ใช้วิธีที่การแทรกเทมเพลตระยะไกลในการดึงไฟล์ RTF เพื่อเก็บ code ที่เป็นอันตราย ในกรณีที่มีคำขอมาจากผู้ใช้ในช่วงที่ IP อยู่ในระยะของปากีสถาน
หากผู้ใช้ไม่ได้อยู่ในช่วงระยะ IP ของปากีสถาน เซิร์ฟเวอร์จะส่งคืนไฟล์ RTF ขนาด 8 ไบต์ (file.rtf) ที่มีสตริงเดียว: {\rtf1 } อย่างไรก็ตาม หากผู้ใช้อยู่ในช่วงระยะ IP ของปากีสถาน เซิร์ฟเวอร์จะส่งคืน payload RTF ซึ่งมีขนาดที่แตกต่างกันระหว่าง 406 KB – 414 KB
คำแนะนำ
- อัปเดตระบบปฏิบัติการณ์และซอฟต์แวร์สม่ำเสมอ
- ติดตั้งโปรแกรมป้องกันไวรัส
- ระมัดระวังการใช้งานอุปกรณ์เชื่อมต่อ เช่น แฟลชไดร์ฟ (USB) ควรทำการแสกนไวรัสทุกครั้งก่อนใช้งาน
- ไม่คลิกข้อความที่แสดงโฆษณาหรือหน้าต่าง pop-up ปลอม บนเว็บไซต์ที่กำลังเยี่ยมชม
- หลีกเลี่ยงโปรแกรมละเมิดลิขสิทธิ์
- หลีกเลี่ยงการเปิดอีเมล รวมไปถึงไฟล์แนบที่ต้องสงสัยต่างๆ
Ref : https://thehackernews.com/2023/05/researchers-uncover-sidewinders-latest.html