รู้หรือไม่ว่าจากรายงาน Cybersecurity Ventures ว่า Ransomware สร้างความเสียหายให้กับองค์กรทั่วโลกในปี 2021 โดยมีการคาดการณ์ว่ามีมูลค่าความเสียหายถึง 2 หมื่นล้านดอลล่าห์ หรือแปลงเป็นเงินไทยเกือบ 7 แสนล้านบาทเลยทีเดียว และยิ่งไปกว่านั้นคาดการณ์กันว่ามูลค่าความเสียหายจะไปถึงมากกว่า 2 แสนล้านดอลล่าห์หากถึงปี 2031
ทีนี้เรามาดูประวัติ computer virus กันโดยต้องย้อนกลับไปเมื่อปี 1971 หรือประมาณ 52 ปีที่แล้ว Virus ตัวแรกของโลกที่ชื่อ Creeper ได้ถือกำหนดขึ้นโดยผู้พัฒนาชื่อ Bob Thomas ทั้งนี้ Virus ดังกล่าวไม่ได้สร้างขึ้นเพื่อทำลายระบบ แต่เพื่อไว้สำหรับการศึกษาถึงการจำลองการคัดลอกตัวเองไปยังระบบอื่นๆว่าสามารถเป็นไปได้
ผมเชื่อว่าทุกคนที่ตั้งแต่ใช้งานคอมพิวเตอร์มาต้องเคยเจอประสบการ์การถูก virus หรือ malware โจมตีเครื่องกันมาบ้างไม่มากก็น้อย ส่วนความรุนแรงก็ขึ้นอยู่กับสถานการณ์หรือรูปแบบของการถูกโจมตี อย่างส่วนตัวผู้เขียนในฐานะที่เคยเป็น Consult ในหลายองค์กรมาก่อนก็จะเจอลูกค้าที่ถูกโจมตีโดย Malware ในระดับความเสียหายที่แตกต่างกันไปตั้งแต่โดนในวงจำกัดเช่น เครื่อง หรือสองเครื่องในองค์กร หรือไล่ไปจนถึงระดับความเสียหายทั้งองค์กร เช่นทั้งเครื่อง Server ทั้งหมดที่มีรวมถึง client ถูกเข้ารหัสโดย Ransomware เป็นต้น
จากที่ได้กล่าวไปข้างต้นแล้วนั้น จะเห็นว่าความน่ากลัวของ Malware หรือ Virus ร้ายแรงขนาดไหน ทีนี้เรามากันว่าใน Q1 ของ ปี 2023 มี Malware ประเภทไหนที่ติดอันดับ Top 10 กันบ้าง
อันดับที่ 1 SessionManager2
โดย SessionManager2 เป็น Malicious ที่โจมตี Internet Information Services หรือ IIS ซึ่งเป็น Web services ของ Windows Server ในลักษณะ Module ซึ่งจะทำให้เกิด Backdoor ขึ้น โดยจะมี MD5 Hashes ดังนี้
5FFC31841EB3B77F41F0ACE61BECD8FD 84B20E95D52F38BB4F6C998719660C35 4EE3FB2ABA3B82171E6409E253BDDDB5 2410D0D7C20597D9B65F237F9C4CE6C9
อันดับที่ 2 CoinMiner
CoinMiner ตัวนี้เป็น Cryptocurrency miner หรือที่เราๆรู้จักกันชื่อที่เรียกติดปากก็คือ Malware ขุดบิท นั่นเอง โดย MD5 Hashes คือ
90db8de2457032f78c81c440e25bc753
และ IPs
199[.]247[.]27[.]41
อันดับที่ 3 Agent Tesla
Agent Tesla คือ Malware ประเภท RAT หรือ Remote Access Trojan ซึ่งจะโจมตีระบบปฏิบัติการ Windows ซึ่งตัวนี้จะสามารถหาซื้อได้ และเป็นรูปแบบของ Malware as a Service (MaaS) ถ้ามีโอกาศจะมาขยายด้านมืดของการขายในรูปแบบนี้ในโอกาศต่อไป โดยมีรายละเอียดของ Malware ดังนี้
Domains
Mail[.]euroinkchemical[.]ro mail[.]nobilenergysolar[.]com
SHA256 Hashes
Initial Infection File 7f7323ef90321761d5d058a3da7f2fb622823993a221a8653a170fe8735f6a45
XLL Droppers fbc94ba5952a58e9dfa6b74fc59c21d830ed4e021d47559040926b8b96a937d0 7a6f8590d4be989faccb34cd393e713fd80fa17e92d7613f33061d647d0e6d12
Final Agent Tesla Payload
12a978875dc90e03cbb76d024222abfdc8296ed675fca2e17ca6447ce7bf0080
5d555eddfc23183dd821432fd2a4a04a543c8c1907b636440eb6e7d21829576c
อันดับที่ 4 NanoCore
NanoCore เป็น Malware ประเภท RAT เช่นกัน และแพร่กระจาย ลักษณะไฟล์แนบเช่น Excel XLS โดยจะสามารถรับคำสั่งการ execute รวมถึงการเพิ่ม Registry keys อีกด้วย
Domains
nanoboss[.]duckdns[.]org justinalwhitedd554[.]duckdns[.]org shahzad73[.]casacam[.]net shahzad73[.]ddns[.]net power22[.]myftp[.]org
SHA256 Hashes
c8c69f36f89061f4ce86b108c0ff12ade49d665eace2d60ba179a2341bd54c40
dfdb008304c3c2a5ec1528fe113e26088b6118c27e27e5d456ff39d300076451
ff66be4a8df7bd09427a53d2983e693489fbe494edd0244053b29b9f048df136
7257729274b6ab5c1a605900fa40b2a76f386b3dbb3c0f4ab29e85b780eaef73
959484bfe98d39321a877e976a7cde13c9e2d0667a155dda17aeade58b68391c
988c1b9c99f74739edaf4e80ecaba04407e0ca7284f3dbd13c87a506bf0e97b7
อันดับที่ 5 Gh0st
Gh0st เป็น Malware ประเภท RAT ใช้สำหรับการควบคุมระบบปลายทาง โดยถูกใช้งานจาก malware ตัวอื่นในการสร้าง backdoor เพื่อให้ผู้ไม่หวังดีเข้าโจมตีอุปกรณ์ปลายทาง
MD5 Hashes
77bd9926a4b41c14259e20c1f90e22aa
อันดับที่ 6 ZeuS
ZeuS เป็น Trojan ประเภทหนึ่งที่มีความเก่าแก่โดยถูกพบครั้งแรกเมื่อปี 2011 โดยลักษณะการทำงานเป็นแบบ keystroke logging โดยจะดักจับ Credential ของเหยื่อ เมื่อเข้าใช้งานธนาคารบางแห่งโดย malware บางตัวได้ดัดแปลงหรือนำ code บางส่วนมาใช้สำหรับของตัวเอง
Domains
cylt01cloudsim01[.]safebreach[.]net
MD5 Hashes
2db9ee63581f0297d8ca118850685602
416cfb5badf096eef29731ee3bcba7ce
ae6cdc2be9207880528e784fc54501ed
8ad4fb848a323b62036ea463fcf58993
อันดับที่ 7 Ursnif
Ursnif หรือเรียกอีกชื่อหนึ่งว่า Gozi หรือ Dreambot เป็น banking trojan ซึ่งเป็นประเภทเดียวกับ ZeuS ถือว่าเป็น Trojan ที่อันตรายเพราะเป้าหมายคือใช้เพื่อขโมยเงินจากบัญชีธนาคารของผู้ใช้ โดยการนำเอาข้อมูลส่วนตัวรวมไปถึงรหัสผ่านประเภทต่างๆ ไปใช้งาน โดย Ursnif จะคอยขโมยข้อมูลจำพวก Cookies, Login pages และ web form ต่างๆ Usnifs จะใช้เทคนิคการฝัง web injection พร้อมกับ TLS ในการป้องกันจากบรรดา anti-malware ทั้งหลาย
อีกทั้งตัวสายพันธ์ล่าสุดยังสามารถใช้คำสั่ง shell command เพื่อควบคุมจากภายนอกตลอดจนสามารถตวบคุมการปล่อย malware เพิ่มเติมเช่น Ransomware ได้อีกด้วย
Domains
Gameindikdowd[.]ru Iujdhsndjfks[.]ru Jhgfdlkjhaoiu[.]su reggy506[.]ru renewbleenergey[.]ru uelcoskdi[.]ru
IPs
185[.]189[.]151[.]38
185[.]189[.]151[.]61
194[.]58[.]102[.]187
194[.]76[.]224[.]95
194[.]76[.]227[.]159
31[.]214[.]157[.]31
45[.]11[.]182[.]30
79[.]132[.]128[.]228
91[.]241[.]93[.]111
94[.]198[.]54[.]97
อันดับที่ 8 Laplas
Laplas เป็น malware ประเภท Clipper ที่ทำงานเกี่ยวข้องกับการ copy และ paste ของเครื่องคอมพิวเตอร์โดยส่วนใหญ่มุ่งเน้นไปใช้กับผู้ใช้งาน cryptocurrency ในการเปลี่ยนแปลงที่อยู่ของกระเป๋า Crypto ของผู้ใช้งานเป็นหลัก
Domains
Clipper[.]guru
IPs
185[.]223[.]93[.]251 188[.]34[.]207[.]137 45[.]159[.]189[.]105 79[.]137[.]199[.]252
อันดับที่ 9 ViperSoftX
ViperSoftX เป็น multi-stage cryptocurrency โดยการแพร่กระจายผ่านข่องทาง torrent file หรือบรรดา file sharing website ต่างๆ อาจจะมาในรูปการฝังมากับไฟล์ crack ต่างๆ โดยเป้าหมายของ ViperSoftX จะเกี่ยวข้องกับการขโมยข้อมูลในรูปแบบ password ต่างๆ เช่น password manager อย่างเช่น 1Password อีกทั้งยังมุ่งโจมตีผู้ใช้งาน cryptocurrency อีกด้วย
Domains
apzgt[.]com apzlkg[.]com argxztbe[.]com arrowlchat[.]com arykd[.]com awoeru[.]com bmyfz[.]com byzvp[.]com bzepuq[.]com cdlxgun[.]com chatgigi2[.]com cikuwqhrg[.]com coeuzxk[.]com craje[.]com dtoabvxl[.]com dxwoi[.]com eafxp[.]com efsidlop[.]com elipjo[.]com eoishgc[.]com eovykq[.]com fbtcidr[.]com ficrolun[.]com fitbh[.]com fjvezin[.]com fvzgab[.]com fyuncsv[.]com gcvhixt[.]com hjizca[.]com hmtsiqcf[.]com huict[.]com iqsxetmug[.]com iqwcrpyn[.]com ironz[.]com iudobjg[.]com iwaqzhtxj[.]com jesucwp[.]com jfgqwxt[.]com jfumw[.]com jmzqrhdi[.]com juobngtm[.]com jvxbn[.]com jwxvktr[.]com jxkfr[.]com kqidl[.]com kzvure[.]com lchtne[.]com leqxyw[.]com ljusxki[.]com lmfho[.]com lpohvzyd[.]com lurpk[.]com mpcnliydb[.]com msjwl[.]com njtgwcha[.]com nlkxzgm[.]com nmvprzdhf[.]com nqzpcudae[.]com ocluhxgpy[.]com ofxdyqc[.]com ohkfzawnj[.]com ondxgiz[.]com pfxqh[.]com pstyx[.]com pzguloqb[.]com qogrzu[.]com rcbxmzu[.]com rimfugvz[.]com rjcfoabns[.]com segin[.]com sgtuxbhz[.]com sitdrjouq[.]com suclfpbnw[.]com tlnikcyqd[.]com tvrcuohz[.]com tzsxbynvr[.]com ugxqj[.]com umnfw[.]com uwfmz[.]com vewga[.]com vqjumd[.]com wopsyqi[.]com xcakdisve[.]com xsdmcy[.]com xvfnhw[.]com yjghwcxel[.]com ysawrbi[.]com zcdkjqwgn[.]com zeiyusv[.]com zjyhc[.]com zqiwma[.]com zrhcnxva[.]com
อันดับที่ 10 Neshta
Neshta เป็น malware ที่ทำลายไฟล์ของเรารวมถึงการขโมยข้อมูลของเราผ่านการ execute file , Network shares และบรรดา removable storage ทั้งหลายไม่ว่าจะเป็น USB disk, External Harddisk หรืออื่นๆ
SHA256 Hashes
29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00 c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75
จะเห็นได้ว่าจาก 10 อันดับ Malware ล้วนมีความอันตรายต่อข้อมูลของเราทั้งสิ้น ซึ่งเราก็ควรมีวิธีป้องกันที่ดี โดยขั้นพื้นฐานที่สุดคือการมี Anti-Malware ติดตั้งไว้พร้อมการ update อย่างสม่ำเสมอ หรือถ้าในระดับองค์กรก็ควรจะมีอุปกรณ์หรือ Solution ต่างๆไม่ว่าจะเป็น Firewall, EDR,XDR Software ,Sandbox หรืออื่นๆอีกมากมายซึ่งมันจะสามารถลดความเสี่ยงที่จะเกิดขึ้นได้หากผู้อ่านสนใจ Security Solution ใด สามารถติดต่อเราเข้ามาเพื่อขอคำปรึกษาในการจะใช้งานเพื่อให้เหมาะสมกับองค์กรของท่าน โดยเรามีทีมงานพร้อมให้คำปรึกษาการติดตั้งระบบต่างๆ ทางเรายินดีและมีทีมงานพร้อมและครบวงจรไม่ว่าจะเป็น Software Developers , Database administrator , DevOps Engineer, System & Network Engineer รวมถึง Cybersecurity Expert ที่มีประสบกาณ์มากกว่า 10 ปีในวงการ IT พร้อมให้คำปรึกษาได้ที่เบอร์โทรศัพท์ 02-513-9415-6 ติดต่อทีมขาย หรือที่ E-Mail : sales@tkl.co.th
Site Reference: https://www.cisecurity.org/insights/blog/top-10-malware-q1-2023
#ITSecurity, #Antivirus, #antimalware, #EDR, #XDR, #virus, #firewall ,#sandbox ,#malware , #Neshta , #SessionManager2 , #ViperSoftX , #Laplas , #Ursnif, #ZeuS, #NanoCore ,#Gh0st, #AgentTesla , #CoinMiner, #ที่ปรึกษาด้านIT, #ITOutsource, #ดูแลระบบIT, #MAระบบIT , #ITOutsource