นักวิจัยจาก Trend Micro ได้ออกมาเปิดเผยเกี่ยวกับการค้นพบมัลแวร์ที่ชื่อว่า BLADABINDI แฮกเกอร์จะใช้ประโยชน์จากมัลแวร์ตัวนี้ทำการรันไฟล์ที่อันตราย และขโมยข้อมูลจากเว็บได้
มัลแวร์ BLADABINDI หรือที่เรียกอีกอย่างหนึ่งว่า njRAT/Njw0rm มัลแวร์ตัวนี้ประกอบด้วยโค้ดที่ใช้โจมตีแบบ backdoor มากมาย สคริปต์ของมันนั้นใช้งานง่าย และสามารถทำการปรับแต่งได้
มัลแวร์นี้จะใช้ AutoIt (เป็นคำสั่งที่ใช้ในการติดตั้งไฟล์) ในการคอมไพล์เพื่อใช้ในการส่ง จากนั้นจะทำการรวมสคริปต์หลักเป็นไฟล์เดียว ซึ่งทำให้สามารถส่งไฟล์เพื่อทำการโจมตีแบบ backdoor ทำให้ยากต่อการดักจับได้
จากการสังเกตของนักวิจัยพบว่า มัลแวร์หรือวอร์มนี้จะแพร่กระจายผ่านทาง removable drives ที่ไม่ต้องใช้ไฟล์ในการติดตั้ง การโจมตีแบบ backdoor ส่งและรับข้อมูลจากเซิร์ฟเวอร์ (command and control server) ในตอนนี้ยังไม่ชัดเจนว่าระบบติดมัลแวร์นี้ได้อย่างไร
สิ่งที่บอกว่าเป็นมัลแวร์
SHA 256 :
- c46a631f0bc82d8c2d46e9d8634cc50242987fa7749cac097439298d1d0c1d6e
- 25bc108a683d25a77efcac89b45f0478d9ddd281a9a2fb1f55fc6992a93aa830
C&C Server:
- water-boom.duckdns.org
ข้อเสนอแนะ:
- อัปเดตแอพพลิเคชั่นและระบบปฏิบัติการให้เป็นแพทช์ปัจจุบัน
- อัปเดตโปรแกรมแอนติไวรัสให้เป็นปัจจุบัน
- บล็อก IP หรือ URL บน IoCs ที่ไฟร์วอลล์ บล็อก IDS, web gateways, routers หรืออุปกรณ์อื่นๆ ที่เกี่ยวข้อง
- จำกัด และตั้งระบบรักษาความปลอดภัยในการใช้งานอุปกรณ์ที่ใช้เก็บหรืออ่านข้อมูล หรือฟังก์ชันของ USB หรืออุปกรณ์อื่นๆ เช่น PowerShell
- ตรวจสอบ gateway, endpoints, networks, และ servers ว่ามีพฤติกรรม หรือการทำงานที่ผิดปกติหรือไม่ เช่น การติดต่อสื่อสารแบบ C&C และการขโมยข้อมูล เป็นต้น
ที่มา: IBM X-Force Exchange, Trend Micro Blog
