top of page

10 อันดับ Malware ของ Q1 ปี 2023



รู้หรือไม่ว่าจากรายงาน Cybersecurity Ventures ว่า Ransomware สร้างความเสียหายให้กับองค์กรทั่วโลกในปี 2021 โดยมีการคาดการณ์ว่ามีมูลค่าความเสียหายถึง 2 หมื่นล้านดอลล่าห์ หรือแปลงเป็นเงินไทยเกือบ 7 แสนล้านบาทเลยทีเดียว และยิ่งไปกว่านั้นคาดการณ์กันว่ามูลค่าความเสียหายจะไปถึงมากกว่า 2 แสนล้านดอลล่าห์หากถึงปี 2031

ทีนี้เรามาดูประวัติ computer virus กันโดยต้องย้อนกลับไปเมื่อปี 1971 หรือประมาณ 52 ปีที่แล้ว Virus ตัวแรกของโลกที่ชื่อ Creeper ได้ถือกำหนดขึ้นโดยผู้พัฒนาชื่อ Bob Thomas ทั้งนี้ Virus ดังกล่าวไม่ได้สร้างขึ้นเพื่อทำลายระบบ แต่เพื่อไว้สำหรับการศึกษาถึงการจำลองการคัดลอกตัวเองไปยังระบบอื่นๆว่าสามารถเป็นไปได้

ผมเชื่อว่าทุกคนที่ตั้งแต่ใช้งานคอมพิวเตอร์มาต้องเคยเจอประสบการ์การถูก virus หรือ malware โจมตีเครื่องกันมาบ้างไม่มากก็น้อย ส่วนความรุนแรงก็ขึ้นอยู่กับสถานการณ์หรือรูปแบบของการถูกโจมตี อย่างส่วนตัวผู้เขียนในฐานะที่เคยเป็น Consult ในหลายองค์กรมาก่อนก็จะเจอลูกค้าที่ถูกโจมตีโดย Malware ในระดับความเสียหายที่แตกต่างกันไปตั้งแต่โดนในวงจำกัดเช่น เครื่อง หรือสองเครื่องในองค์กร หรือไล่ไปจนถึงระดับความเสียหายทั้งองค์กร เช่นทั้งเครื่อง Server ทั้งหมดที่มีรวมถึง client ถูกเข้ารหัสโดย Ransomware เป็นต้น

จากที่ได้กล่าวไปข้างต้นแล้วนั้น จะเห็นว่าความน่ากลัวของ Malware หรือ Virus ร้ายแรงขนาดไหน ทีนี้เรามากันว่าใน Q1 ของ ปี 2023 มี Malware ประเภทไหนที่ติดอันดับ Top 10 กันบ้าง


อันดับที่ 1 SessionManager2

โดย SessionManager2 เป็น Malicious ที่โจมตี Internet Information Services หรือ IIS ซึ่งเป็น Web services ของ Windows Server ในลักษณะ Module ซึ่งจะทำให้เกิด Backdoor ขึ้น โดยจะมี MD5 Hashes ดังนี้

5FFC31841EB3B77F41F0ACE61BECD8FD 84B20E95D52F38BB4F6C998719660C35 4EE3FB2ABA3B82171E6409E253BDDDB5 2410D0D7C20597D9B65F237F9C4CE6C9


อันดับที่ 2 CoinMiner

CoinMiner ตัวนี้เป็น Cryptocurrency miner หรือที่เราๆรู้จักกันชื่อที่เรียกติดปากก็คือ Malware ขุดบิท นั่นเอง โดย MD5 Hashes คือ

90db8de2457032f78c81c440e25bc753

และ IPs

199[.]247[.]27[.]41


อันดับที่ 3 Agent Tesla

Agent Tesla คือ Malware ประเภท RAT หรือ Remote Access Trojan ซึ่งจะโจมตีระบบปฏิบัติการ Windows ซึ่งตัวนี้จะสามารถหาซื้อได้ และเป็นรูปแบบของ Malware as a Service (MaaS) ถ้ามีโอกาศจะมาขยายด้านมืดของการขายในรูปแบบนี้ในโอกาศต่อไป โดยมีรายละเอียดของ Malware ดังนี้

Domains

Mail[.]euroinkchemical[.]ro mail[.]nobilenergysolar[.]com

SHA256 Hashes

Initial Infection File 7f7323ef90321761d5d058a3da7f2fb622823993a221a8653a170fe8735f6a45

XLL Droppers fbc94ba5952a58e9dfa6b74fc59c21d830ed4e021d47559040926b8b96a937d0 7a6f8590d4be989faccb34cd393e713fd80fa17e92d7613f33061d647d0e6d12

Final Agent Tesla Payload

12a978875dc90e03cbb76d024222abfdc8296ed675fca2e17ca6447ce7bf0080

5d555eddfc23183dd821432fd2a4a04a543c8c1907b636440eb6e7d21829576c


อันดับที่ 4 NanoCore

NanoCore เป็น Malware ประเภท RAT เช่นกัน และแพร่กระจาย ลักษณะไฟล์แนบเช่น Excel XLS โดยจะสามารถรับคำสั่งการ execute รวมถึงการเพิ่ม Registry keys อีกด้วย

Domains

nanoboss[.]duckdns[.]org justinalwhitedd554[.]duckdns[.]org shahzad73[.]casacam[.]net shahzad73[.]ddns[.]net power22[.]myftp[.]org

SHA256 Hashes

c8c69f36f89061f4ce86b108c0ff12ade49d665eace2d60ba179a2341bd54c40

dfdb008304c3c2a5ec1528fe113e26088b6118c27e27e5d456ff39d300076451

ff66be4a8df7bd09427a53d2983e693489fbe494edd0244053b29b9f048df136

7257729274b6ab5c1a605900fa40b2a76f386b3dbb3c0f4ab29e85b780eaef73

959484bfe98d39321a877e976a7cde13c9e2d0667a155dda17aeade58b68391c

988c1b9c99f74739edaf4e80ecaba04407e0ca7284f3dbd13c87a506bf0e97b7


อันดับที่ 5 Gh0st

Gh0st เป็น Malware ประเภท RAT ใช้สำหรับการควบคุมระบบปลายทาง โดยถูกใช้งานจาก malware ตัวอื่นในการสร้าง backdoor เพื่อให้ผู้ไม่หวังดีเข้าโจมตีอุปกรณ์ปลายทาง

MD5 Hashes

77bd9926a4b41c14259e20c1f90e22aa


อันดับที่ 6 ZeuS

ZeuS เป็น Trojan ประเภทหนึ่งที่มีความเก่าแก่โดยถูกพบครั้งแรกเมื่อปี 2011 โดยลักษณะการทำงานเป็นแบบ keystroke logging โดยจะดักจับ Credential ของเหยื่อ เมื่อเข้าใช้งานธนาคารบางแห่งโดย malware บางตัวได้ดัดแปลงหรือนำ code บางส่วนมาใช้สำหรับของตัวเอง


Domains

cylt01cloudsim01[.]safebreach[.]net

MD5 Hashes

2db9ee63581f0297d8ca118850685602

416cfb5badf096eef29731ee3bcba7ce

ae6cdc2be9207880528e784fc54501ed

8ad4fb848a323b62036ea463fcf58993


อันดับที่ 7 Ursnif

Ursnif หรือเรียกอีกชื่อหนึ่งว่า Gozi หรือ Dreambot เป็น banking trojan ซึ่งเป็นประเภทเดียวกับ ZeuS ถือว่าเป็น Trojan ที่อันตรายเพราะเป้าหมายคือใช้เพื่อขโมยเงินจากบัญชีธนาคารของผู้ใช้ โดยการนำเอาข้อมูลส่วนตัวรวมไปถึงรหัสผ่านประเภทต่างๆ ไปใช้งาน โดย Ursnif จะคอยขโมยข้อมูลจำพวก Cookies, Login pages และ web form ต่างๆ Usnifs จะใช้เทคนิคการฝัง web injection พร้อมกับ TLS ในการป้องกันจากบรรดา anti-malware ทั้งหลาย

อีกทั้งตัวสายพันธ์ล่าสุดยังสามารถใช้คำสั่ง shell command เพื่อควบคุมจากภายนอกตลอดจนสามารถตวบคุมการปล่อย malware เพิ่มเติมเช่น Ransomware ได้อีกด้วย

Domains

Gameindikdowd[.]ru Iujdhsndjfks[.]ru Jhgfdlkjhaoiu[.]su reggy506[.]ru renewbleenergey[.]ru uelcoskdi[.]ru

IPs

185[.]189[.]151[.]38

185[.]189[.]151[.]61

194[.]58[.]102[.]187

194[.]76[.]224[.]95

194[.]76[.]227[.]159

31[.]214[.]157[.]31

45[.]11[.]182[.]30

79[.]132[.]128[.]228

91[.]241[.]93[.]111

94[.]198[.]54[.]97


อันดับที่ 8 Laplas

Laplas เป็น malware ประเภท Clipper ที่ทำงานเกี่ยวข้องกับการ copy และ paste ของเครื่องคอมพิวเตอร์โดยส่วนใหญ่มุ่งเน้นไปใช้กับผู้ใช้งาน cryptocurrency ในการเปลี่ยนแปลงที่อยู่ของกระเป๋า Crypto ของผู้ใช้งานเป็นหลัก

Domains

Clipper[.]guru

IPs

185[.]223[.]93[.]251 188[.]34[.]207[.]137 45[.]159[.]189[.]105 79[.]137[.]199[.]252


อันดับที่ 9 ViperSoftX

ViperSoftX เป็น multi-stage cryptocurrency โดยการแพร่กระจายผ่านข่องทาง torrent file หรือบรรดา file sharing website ต่างๆ อาจจะมาในรูปการฝังมากับไฟล์ crack ต่างๆ โดยเป้าหมายของ ViperSoftX จะเกี่ยวข้องกับการขโมยข้อมูลในรูปแบบ password ต่างๆ เช่น password manager อย่างเช่น 1Password อีกทั้งยังมุ่งโจมตีผู้ใช้งาน cryptocurrency อีกด้วย


Domains

apzgt[.]com apzlkg[.]com argxztbe[.]com arrowlchat[.]com arykd[.]com awoeru[.]com bmyfz[.]com byzvp[.]com bzepuq[.]com cdlxgun[.]com chatgigi2[.]com cikuwqhrg[.]com coeuzxk[.]com craje[.]com dtoabvxl[.]com dxwoi[.]com eafxp[.]com efsidlop[.]com elipjo[.]com eoishgc[.]com eovykq[.]com fbtcidr[.]com ficrolun[.]com fitbh[.]com fjvezin[.]com fvzgab[.]com fyuncsv[.]com gcvhixt[.]com hjizca[.]com hmtsiqcf[.]com huict[.]com iqsxetmug[.]com iqwcrpyn[.]com ironz[.]com iudobjg[.]com iwaqzhtxj[.]com jesucwp[.]com jfgqwxt[.]com jfumw[.]com jmzqrhdi[.]com juobngtm[.]com jvxbn[.]com jwxvktr[.]com jxkfr[.]com kqidl[.]com kzvure[.]com lchtne[.]com leqxyw[.]com ljusxki[.]com lmfho[.]com lpohvzyd[.]com lurpk[.]com mpcnliydb[.]com msjwl[.]com njtgwcha[.]com nlkxzgm[.]com nmvprzdhf[.]com nqzpcudae[.]com ocluhxgpy[.]com ofxdyqc[.]com ohkfzawnj[.]com ondxgiz[.]com pfxqh[.]com pstyx[.]com pzguloqb[.]com qogrzu[.]com rcbxmzu[.]com rimfugvz[.]com rjcfoabns[.]com segin[.]com sgtuxbhz[.]com sitdrjouq[.]com suclfpbnw[.]com tlnikcyqd[.]com tvrcuohz[.]com tzsxbynvr[.]com ugxqj[.]com umnfw[.]com uwfmz[.]com vewga[.]com vqjumd[.]com wopsyqi[.]com xcakdisve[.]com xsdmcy[.]com xvfnhw[.]com yjghwcxel[.]com ysawrbi[.]com zcdkjqwgn[.]com zeiyusv[.]com zjyhc[.]com zqiwma[.]com zrhcnxva[.]com


อันดับที่ 10 Neshta

Neshta เป็น malware ที่ทำลายไฟล์ของเรารวมถึงการขโมยข้อมูลของเราผ่านการ execute file , Network shares และบรรดา removable storage ทั้งหลายไม่ว่าจะเป็น USB disk, External Harddisk หรืออื่นๆ

SHA256 Hashes

29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00 c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75


จะเห็นได้ว่าจาก 10 อันดับ Malware ล้วนมีความอันตรายต่อข้อมูลของเราทั้งสิ้น ซึ่งเราก็ควรมีวิธีป้องกันที่ดี โดยขั้นพื้นฐานที่สุดคือการมี Anti-Malware ติดตั้งไว้พร้อมการ update อย่างสม่ำเสมอ หรือถ้าในระดับองค์กรก็ควรจะมีอุปกรณ์หรือ Solution ต่างๆไม่ว่าจะเป็น Firewall, EDR,XDR Software ,Sandbox หรืออื่นๆอีกมากมายซึ่งมันจะสามารถลดความเสี่ยงที่จะเกิดขึ้นได้หากผู้อ่านสนใจ Security Solution ใด สามารถติดต่อเราเข้ามาเพื่อขอคำปรึกษาในการจะใช้งานเพื่อให้เหมาะสมกับองค์กรของท่าน โดยเรามีทีมงานพร้อมให้คำปรึกษาการติดตั้งระบบต่างๆ ทางเรายินดีและมีทีมงานพร้อมและครบวงจรไม่ว่าจะเป็น Software Developers , Database administrator , DevOps Engineer, System & Network Engineer รวมถึง Cybersecurity Expert ที่มีประสบกาณ์มากกว่า 10 ปีในวงการ IT พร้อมให้คำปรึกษาได้ที่เบอร์โทรศัพท์ 02-513-9415-6 ติดต่อทีมขาย หรือที่ E-Mail : sales@tkl.co.th



#ITSecurity, #Antivirus, #antimalware, #EDR, #XDR, #virus, #firewall ,#sandbox ,#malware , #Neshta , #SessionManager2 , #ViperSoftX , #Laplas , #Ursnif, #ZeuS, #NanoCore ,#Gh0st, #AgentTesla , #CoinMiner, #ที่ปรึกษาด้านIT, #ITOutsource, #ดูแลระบบIT, #MAระบบIT , #ITOutsource

ดู 391 ครั้ง0 ความคิดเห็น
bottom of page