ພົບມັນແວ (Malware) ໂຕໃໝ່ ‘Nodersok’ ໂຈມຕີເຫຍື່ອແລ້ວ ຫຼາຍພັນຄົນ
Posted by Meesaisak on October 02 2019 18:12:50

ພົບ​ມັນ​ແວ ​(Malware)​ ໂຕ​ໃໝ່​ ‘Nodersok’ ໂຈມ​ຕີ​ເຫຍື່ອ​ແລ້ວ​ ຫຼາຍ​ພັນຄົນ

ມີ​ລາຍ​ງານ​ຈາກ​ Microsoft ວ່າພົບເຫັນການ​ເຄື່ອນ​ໄຫວ​ຂອງ​ມັນ​ແວ​ (Malware)​ ໂຕ​ໃໝ່​ ທີ່​ຊື່​ ‘Nodersok’ ຊຶ່ງ​ຄວາມໜ້າສົ​ນ​ໃຈ​ຄື ​ມີ​ການ​ໃຊ້​ເຕັກ​ນິກ​ທີ່ຫຼາກ​ຫຼາຍ​ ເຊັ່ນ:​ multi-stage infection, living-off-the-land ແລະ​ Fileless ນອກ​ຈາກ​ນີ້ ຍັງ​ມີ​ລາຍ​ງານ​ຈາກ​ Cisco Talos ອີກດ້ວຍ ​ທີ່​ອ້າງ​ເຖິງ​ມັນ​ແວ​ໂຕ​ດຽວ​ກັນ ​ແຕ່​ໃຊ້​ຊື່​ວ່າ​ ‘Divergent’.


Extended News

ພົບ​ມັນ​ແວ ​(Malware)​ ໂຕ​ໃໝ່​ ‘Nodersok’ ໂຈມ​ຕີ​ເຫຍື່ອ​ແລ້ວ​ ຫຼາຍ​ພັນຄົນ

  ມີ​ລາຍ​ງານ​ຈາກ​ Microsoft ວ່າພົບເຫັນການ​ເຄື່ອນ​ໄຫວ​ຂອງ​ມັນ​ແວ​ (Malware)​ ໂຕ​ໃໝ່​ ທີ່​ຊື່​ ‘Nodersok’ ຊຶ່ງ​ຄວາມໜ້າສົ​ນ​ໃຈ​ຄື ​ມີ​ການ​ໃຊ້​ເຕັກ​ນິກ​ທີ່ຫຼາກ​ຫຼາຍ​ ເຊັ່ນ:​ multi-stage infection, living-off-the-land ແລະ​ Fileless ນອກ​ຈາກ​ນີ້ ຍັງ​ມີ​ລາຍ​ງານ​ຈາກ​ Cisco Talos ອີກດ້ວຍ ​ທີ່​ອ້າງ​ເຖິງ​ມັນ​ແວ​ໂຕ​ດຽວ​ກັນ ​ແຕ່​ໃຊ້​ຊື່​ວ່າ​ ‘Divergent’.

News Images: nodersok.jpg

Credit: Microsoft

ຈາກຮູບ​ພາບ ​ສະຫຼຸບ​ການ​ໂຈມ​ຕີ​ດ້ານ​ເທິງ​ Nodersok ຖືວ່າ​ເປັນ​ມັນ​ແວ​ທີ່​ມີ​ຄວາມໜ້າສົ​ນ​ໃຈ​ ໂດຍຈະ​ເຫັນ​ໄດ້​ວ່າ​ເປັນ​ການ​ໂຈມ​ຕີ​ແບບ​ Multi-stage infection ຊຶ່ງ​ເລີ່ມຈາກການ​ແຜ່​ມາ​ທາງ​ໂຄສະນາ​ອັນຕະລາຍ​ໃນ​ໜ້າ​ເວັບໄຊ ​ຫຼື ​ລິ້ງ​ອັນຕະລາຍ​ທີ່​ເຮັດໃຫ້​ຜູ້​ໃຊ້​ໂຫຼດ​ໄຟ​ລ໌​ HTA (HTML Application) ເຂົ້າ​ມາ​ ຈາກ​ນັ້ນ​ໂຄ້ດ (Code)​ JavaScript ທີ່​ຢູ່ໃນ​ HTA ຈະ​ໄປ​ດາວ​ໂຫຼດ​ສ່ວນ​ປະກອບ​ອື່ນ​ໆ​ ຄື​ XSL ແລະ​ JavaScript ຂັ້ນ​ຕອນຕໍ່ໄປຈະ​ໄປ​ຣັນ​ (Run) ຄຳ​ສັ່ງ​ PowerShell ທີ່​ຖືກ​ Encode ໃນ​ຮູບ​ແບບ​ຂອງ​ deadbeef  ແລະ​ ສຸດ​ທ້າຍ​ນຳ​ໄປ​ສູ່​ຜົນ​ໄດ້ຮັບດັ່ງ​ນີ້​:

ສຳລັບ​ຈຸດ​ທີ່​ເປັນທີ່ສັງເກດ​ບ່ອນນີ້ ​ຄື​ເຕັກ​ນິກ​ Living-off-the-land ທີ່​ມີ​ການ​ໃຊ້​ PowerShell ແລະ​ການ​ໃຊ້​ງານ​ Node.js Framework ແລະ​ Windivert ທີ່​ປົກກະຕິ​ແລ້ວ​ ກໍ່​ບໍ່​ໄດ້​ຖືກຈັດ​ເປັນ​ເຄື່ອງ​ມື​ໂຈມ​ຕີ​​ ນອກ​ຈາກ​ນີ້​ຜູ້​ຊ່ຽວ​ຊານ​ຍັງ​ໃຫ້​ຄວາມ​ເຫັນ​ວ່າ​ “ທຸກ​ຟັງ​​ຊັ່ນ​ທີ່ເກີດຂຶ້ນ​ຂອງ​ Script ແລະ​ Shellcode ມັກ​ຈະ​ມາ​ໃນ​ຮູບ​ແບບ​ຂອງ​ການ​ເຂົ້າ​ລະຫັດ​, ຖອດ​ລະຫັດ​ ແລະ​ ຣັນ​ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ເທົ່າ​ນັ້ນ​ ບໍ່​ມີ​ສ່ວນ​ໃດ​ເລີຍ​ທີ່​ຖືກ​ຂຽນ​ເທິງ​ດິສ (Disk)”.

ອີກ​ຢ່າງໜຶ່ງຄື ​​ຍັງມີ​ຄວາມ​ເຫັນ​ແຕກ​ຕ່າງ​ກັນ​ເລັກນ້ອຍ​ໃນ​ແງ່ຂອງ​ Cisco ແລະ​ Microsoft ທີ່​ຝ່າຍ​ທໍາອິດ ​ຊີ້ແຈງ​ວ່າ​ມັນ​ແວ​ໄດ້​ໃຊ້​ Proxy ເພື່ອ​​ Click-fraud ແຕ່​ຝ່າຍ​ຕໍ່ມາຊີ້​ແຈງວ່າ​ໃຊ້​ Proxy ເພື່ອ​ Relay ການຈໍລະຈອນ (Traffic) ​ອັນຕະລາຍ ຊຶ່ງ​ປັດຈຸບັນ ​ພົບ​ວ່າ​ມີ​ເຫຍື່ອ​ຖືກ​ໂຈມ​ຕີ​ເທື່ອ​ນີ້​ແລ້ວ​ຫຼາຍກວ່າ​ພັນ​ຄົນ​ໃນ​ແຖບ​ເອີລົບ ​ແລະ ​ອາ​ເມ​ຣິ​ກາ​.

ເອກະສານອ້າງອີງ:

  1. https://www.zdnet.com/article/microsoft-new-nodersok-malware-has-infected-thousands-of-pcs/ 
  2. https://www.bleepingcomputer.com/news/security/microsoft-spots-nodersok-malware-campaign-that-zombifies-pcs/
  3. https://www.techtalkthai.com/found-new-multi-stage-infection-malware-nodersok/