นักวิจัยได้ค้นพบมัลแวร์ “Whiffy Recon” ที่ถูกใช้งานโดย บ็อตเน็ต SmokeLoaderซึ่งเป็นการสแกน Wi-Fi แบบกำหนดเองสำหรับระบบ Windows ที่ติดตามตำแหน่งทางกายภาพของเหยื่อ
Whiffy Recon ได้ชื่อมาจากการออกเสียงของ Wi-Fi ที่ใช้ในหลายประเทศในยุโรปและรัสเซีย ("wiffy" แทนที่จะเป็นคำว่า "why fie") ในอเมริกา โดยจะค้นหาการ์ด Wi-Fi หรือดองเกิลบนระบบที่ถูกบุกรุก จากนั้นสแกนหาจุดเข้าใช้งาน Wi-Fi (AP) ที่อยู่ใกล้เคียงทุกๆ 60 วินาที รายงานในสัปดาห์นี้จาก Secureworks Counter Threat Unit.
จากนั้นจะระบุตำแหน่งของระบบที่ติดไวรัสโดยป้อนข้อมูล AP ลงใน API ตำแหน่งทางภูมิศาสตร์ของ Google จากนั้นจะส่งข้อมูลตำแหน่งกลับไปยังฝ่ายตรงข้ามที่ไม่รู้จัก
ข้อมูลตำแหน่งทางภูมิศาสตร์สำหรับการโจมตีที่ตามมา
Rafe Pilling ผู้อำนวยการฝ่ายวิจัยภัยคุกคามของ Secureworks Counter Threat Unit กล่าวว่าในขณะที่มีช่วงเวลาการสแกน 60 วินาทีสำหรับ AP แต่ก็ไม่ชัดเจนว่าสถานที่แต่ละแห่งจะถูกจัดเก็บหรือหากเป็นเพียงตำแหน่งล่าสุดที่ส่ง
“เป็นไปได้ที่คนงานจะถือแล็ปท็อปที่มี Whiffy Recon อยู่ด้วย สามารถแมปได้ การเดินทางระหว่างบ้านและที่ทำงาน” เขากล่าว
Drew Schmitt หัวหน้านักวิเคราะห์ของทีมวิจัยและข่าวกรองด้านความปลอดภัยของ GuidePoint (GRIT) กล่าวว่าข้อมูลเชิงลึกเกี่ยวกับการเคลื่อนไหวของแต่ละบุคคลอาจสร้างรูปแบบพฤติกรรมหรือสถานที่ซึ่งอาจทำให้เกิดการกำหนดเป้าหมายที่เฉพาะเจาะจงมากขึ้น
“มันสามารถใช้ในการติดตามบุคคลที่เป็นขององค์กรเฉพาะ รัฐบาล หรือหน่วยงานอื่น ๆ ได้” เขากล่าว “ผู้โจมตีสามารถเลือกปรับใช้มัลแวร์ได้เมื่อระบบที่ติดไวรัสอยู่ในตำแหน่งที่ละเอียดอ่อนหรือในเวลาที่กำหนดซึ่งจะทำให้พวกเขามีโอกาสสูงที่จะประสบความสำเร็จในการปฏิบัติงานและมีผลกระทบสูง”
Shawn Surber ผู้อำนวยการอาวุโสฝ่ายการจัดการบัญชีทางเทคนิคของ Tanium ชี้ให้เห็นว่ารายงานไม่ได้ระบุอุตสาหกรรมหรือภาคส่วนใดเป็นเป้าหมายหลัก แต่เขาเสริมว่า "ข้อมูลดังกล่าวอาจมีคุณค่าสำหรับการจารกรรม การเฝ้าระวัง หรือการกำหนดเป้าหมายทางกายภาพ"
เขาเสริมว่าสิ่งนี้อาจบ่งชี้ว่าหน่วยงานที่ได้รับการสนับสนุนจากรัฐหรือหน่วยงานของรัฐที่มีส่วนร่วมในแคมเปญจารกรรมทางไซเบอร์ที่ยืดเยื้ออยู่เบื้องหลังแคมเปญนี้ ตัวอย่างเช่น APT35 ของอิหร่านในการรณรงค์เมื่อเร็วๆ นี้ได้ทำการลาดตระเวนตำแหน่ง ของเป้าหมายสื่อของอิสราเอล ซึ่งอาจให้บริการต่อการโจมตีทางกายภาพที่อาจเกิดขึ้นตามที่นักวิจัยระบุในขณะนั้น
“กลุ่ม APT หลายกลุ่มขึ้นชื่อในเรื่องความสนใจในการจารกรรม การสอดแนม และการกำหนดเป้าหมายทางกายภาพ ซึ่งมักขับเคลื่อนโดยวัตถุประสงค์ทางการเมือง เศรษฐกิจ หรือการทหารของประเทศที่พวกเขาเป็นตัวแทน” เขาอธิบาย
SmokeLoader: Smokescreen การระบุแหล่งที่มา
กิจวัตรการติดไวรัสเริ่มต้นด้วยอีเมลวิศวกรรมสังคมที่มีไฟล์ zip ที่เป็นอันตราย นั่นกลายเป็นไฟล์พูดได้หลายภาษาที่มีทั้งเอกสารล่อและไฟล์ JavaScript
จากนั้นโค้ด JavaScript จะถูกนำมาใช้เพื่อรันมัลแวร์ SmokeLoader ซึ่งนอกเหนือจากการปล่อยมัลแวร์ลงบนเครื่องที่ติดไวรัสแล้ว ยังลงทะเบียนปลายทางด้วยคำสั่งและการควบคุม (C2) เซิร์ฟเวอร์ และเพิ่มเป็นโหนดภายในบ็อตเน็ต SmokeLoader
เป็นผลให้การติดไวรัส SmokeLoader เกิดขึ้นอย่างต่อเนื่องและอาจแฝงตัวโดยไม่ได้ใช้บนปลายทางโดยไม่รู้ตัวจนกว่ากลุ่มจะมีมัลแวร์ที่ต้องการปรับใช้ ผู้คุกคามหลายรายซื้อการเข้าถึงบ็อตเน็ต ดังนั้นการติดไวรัส SmokeLoader แบบเดียวกันนี้สามารถนำไปใช้ในแคมเปญต่างๆ ได้มากมาย
“เป็นเรื่องปกติที่เราจะสังเกตเห็นมัลแวร์หลายสายพันธุ์ถูกส่งไปยังการติดเชื้อ SmokeLoader เพียงครั้งเดียว” Pilling อธิบาย “SmokeLoader นั้นถูกใช้งานและดำเนินการโดยอาชญากรไซเบอร์ที่มีแรงจูงใจทางการเงิน”
Schmitt ชี้ให้เห็นว่าด้วยลักษณะการให้บริการ จึงยากที่จะบอกได้ว่าท้ายที่สุดแล้วใครอยู่เบื้องหลังสิ่งใดๆ แคมเปญไซเบอร์ที่ใช้ SmokeLoader เป็นเครื่องมือในการเข้าถึงเบื้องต้น.
“ขึ้นอยู่กับโหลดเดอร์ อาจมีเพย์โหลดที่แตกต่างกันมากถึง 10 หรือ 20 เพย์โหลดที่สามารถเลือกส่งไปยังระบบที่ติดไวรัสได้ ซึ่งบางรายการเกี่ยวข้องกับแรนซัมแวร์และการโจมตีทางอาชญากรรมทางอิเล็กทรอนิกส์ ในขณะที่รายการอื่นๆ มีแรงจูงใจที่แตกต่างกัน” เขากล่าว
เนื่องจากการติดเชื้อ SmokeLoader นั้นไม่เลือกปฏิบัติ การใช้ Whiffy Recon เพื่อรวบรวมข้อมูลตำแหน่งทางภูมิศาสตร์อาจเป็นความพยายามที่จะจำกัดและกำหนดเป้าหมายให้แคบลงสำหรับกิจกรรมที่ตามมาของการผ่าตัดมากขึ้น
“ในขณะที่ลำดับการโจมตียังคงเปิดเผยต่อไป” Schmitt กล่าว “มันน่าสนใจที่จะเห็นว่า Whiffy Recon ถูกใช้เป็นส่วนหนึ่งของห่วงโซ่หลังการแสวงหาผลประโยชน์ที่ใหญ่ขึ้นอย่างไร”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ChartPrime. ยกระดับเกมการซื้อขายของคุณด้วย ChartPrime เข้าถึงได้ที่นี่.
- BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 10
- 20
- 60
- a
- เข้า
- ตาม
- ลงชื่อเข้าใช้
- การจัดการบัญชี
- อยากทำกิจกรรม
- นักแสดง
- นอกจากนี้
- เพิ่ม
- อนุญาต
- อเมริกัน
- an
- นักวิเคราะห์
- และ
- ใด
- API
- APT
- เอกสารเก่า
- เป็น
- แถว
- AS
- At
- โจมตี
- การโจมตี
- กลับ
- BE
- หลัง
- กำลัง
- ระหว่าง
- ทั้งสอง
- บ็อตเน็ต
- ธุรกิจ
- แต่
- ซื้อ
- by
- รณรงค์
- แคมเปญ
- CAN
- การ์ด
- ดำเนินการ
- พกพา
- การปฏิบัติ
- โซ่
- รหัส
- ร่วมกัน
- ที่ถูกบุกรุก
- อย่างต่อเนื่อง
- ได้
- ตอบโต้
- ประเทศ
- การปรับแต่ง
- อาชญากรไซเบอร์
- ข้อมูล
- กำหนด
- ส่ง
- ทั้งนี้ขึ้นอยู่กับ
- ปรับใช้
- นำไปใช้
- เครื่อง
- ต่าง
- ผู้อำนวยการ
- เอกสาร
- ทำ
- ขับเคลื่อน
- ลดลง
- แต่ละ
- ด้านเศรษฐกิจ
- ความพยายาม
- อีเมล
- ปลายทาง
- ปลายทาง
- ว่าจ้าง
- ชั้นเยี่ยม
- หน่วยงาน
- เอกลักษณ์
- การจารกรรม
- สร้าง
- อีเธอร์ (ETH)
- ในทวีปยุโรป
- ประเทศในยุโรป
- ทุกๆ
- ดำเนินการ
- อธิบาย
- การกินอาหาร
- เนื้อไม่มีมัน
- ให้เงิน
- สำหรับ
- ราคาเริ่มต้นที่
- รวบรวม
- ให้
- กำหนด
- รัฐบาล
- บัญชีกลุ่ม
- กลุ่ม
- ยาก
- มี
- he
- จุดสูง
- หน้าแรก
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- if
- ส่งผลกระทบ
- in
- แสดง
- บุคคล
- อุตสาหกรรม
- การติดเชื้อ
- การติดเชื้อ
- แรกเริ่ม
- ข้อมูลเชิงลึก
- ตัวอย่าง
- แทน
- Intelligence
- น่าสนใจ
- ผลประโยชน์
- เข้าไป
- ชาวอิสราเอล
- IT
- ITS
- JavaScript
- jpg
- เพียงแค่
- ที่รู้จักกัน
- แล็ปท็อป
- ที่มีขนาดใหญ่
- นำ
- loader
- ที่ตั้งอยู่
- ที่ตั้ง
- วันหยุด
- เครื่อง
- มัลแวร์
- การจัดการ
- หลาย
- อาจ..
- ภาพบรรยากาศ
- ทหาร
- ข้อมูลเพิ่มเติม
- มากที่สุด
- แรงบันดาลใจ
- แรงจูงใจ
- การเคลื่อนไหว
- หลาย
- ชื่อ
- เนชั่น
- ธรรมชาติ
- ปม
- วัตถุประสงค์
- สังเกต
- เกิดขึ้น
- of
- มักจะ
- on
- การดำเนินการ
- การดำเนินงาน
- or
- organizacja
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ออก
- ส่วนหนึ่ง
- ในสิ่งที่สนใจ
- รูปแบบ
- กายภาพ
- ทางร่างกาย
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- ทางการเมือง
- ตำแหน่ง
- เป็นไปได้
- อาจ
- ที่มีศักยภาพ
- ประถม
- ความน่าจะเป็น
- ransomware
- เมื่อเร็ว ๆ นี้
- ลงทะเบียน
- ที่เกี่ยวข้อง
- รายงาน
- แสดง
- การวิจัย
- นักวิจัย
- ผล
- รัสเซีย
- s
- เดียวกัน
- พูดว่า
- การสแกน
- สแกน
- วินาที
- ภาค
- ความปลอดภัย
- เห็น
- แสวงหา
- ส่ง
- ระดับอาวุโส
- มีความละเอียดอ่อน
- ลำดับ
- บริการ
- หลาย
- เดียว
- So
- สังคม
- วิศวกรรมทางสังคม
- บาง
- โดยเฉพาะ
- เริ่มต้น
- เก็บไว้
- สายพันธุ์
- ความสำเร็จ
- อย่างเช่น
- ผ่าตัด
- การเฝ้าระวัง
- ระบบ
- ระบบ
- ใช้เวลา
- เป้า
- กำหนดเป้าหมาย
- เป้าหมาย
- ทีม
- วิชาการ
- บอก
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- พวกเขา
- นี้
- ในสัปดาห์นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- เวลา
- ครั้ง
- ไปยัง
- การติดตาม
- ตามธรรมเนียม
- การเดินทาง
- ผลัดกัน
- ในที่สุด
- เปิด
- หน่วย
- ไม่ทราบ
- จนกระทั่ง
- ไม่ได้ใช้
- us
- ใช้
- มือสอง
- ใช้
- มีคุณค่า
- ต่างๆ
- ผู้ที่ตกเป็นเหยื่อ
- ต้องการ
- สัปดาห์
- เมื่อ
- ว่า
- ที่
- ในขณะที่
- WHO
- ทำไม
- Wi-Fi
- กว้าง
- จะ
- หน้าต่าง
- กับ
- ภายใน
- ผู้ปฏิบัติงาน
- จะ
- จะให้
- ลมทะเล
- รหัสไปรษณีย์