กลุ่มแฮกเกอร์ CrazyHunter ใช้เครื่องมือโอเพ่นซอร์สจาก GitHub เพื่อโจมตีองค์กรต่างๆ
กลุ่มแฮกเกอร์ CrazyHunter ใช้เครื่องมือโอเพ่นซอร์สจาก GitHub เพื่อโจมตีองค์กรต่างๆ
กลุ่มแฮ็กเกอร์ที่รู้จักในนาม “CrazyHunter” กำลังเป็นภัยคุกคามที่เพิ่มขึ้นต่อองค์กร โดยเฉพาะในภาคโครงสร้างพื้นฐานที่สำคัญของไต้หวัน กลุ่มนี้ได้เริ่มปฏิบัติการโจมตีตั้งแต่ต้นปี 2025 โดยมุ่งเป้าไปยังโรงพยาบาล สถาบันการศึกษา และองค์กรอุตสาหกรรมผ่านการโจมตีแบบ ransomware ซึ่งใช้เครื่องมือโอเพนซอร์สจาก GitHub ที่หาได้ง่ายและถูกดัดแปลงเพิ่มความสามารถให้เหมาะกับโจมตี
ในเชิงเทคนิค CrazyHunter ใช้วิธี “Bring Your Own Vulnerable Driver (BYOVD)” เพื่อข้ามผ่านมาตรการป้องกันความปลอดภัยในระบบ โดยโจมตีโดยใช้ไดรเวอร์ที่มีจุดอ่อนอยู่แล้วในเครื่องเพื่อปิดการทำงานของโปรแกรมรักษาความปลอดภัย จากนั้นจึงปล่อยแรนซัมแวร์เข้าระบบอย่างราบรื่น หลังจากเข้าถึงระบบได้แล้ว ทีมโจมตีจะดำเนินการด้วยการติดตั้งสคริปต์เพื่อปิดการทำงานของโปรเซสที่สำคัญและเคลื่อนที่ภายในเครือข่ายให้สะดวกต่อการติดตั้งและรันแรนซัมแวร์ ซึ่งจะเข้ารหัสไฟล์ต่าง ๆ โดยเพิ่มส่วนขยาย “.Hunter” พร้อมทั้งเปลี่ยนภาพพื้นหลังของเดสก์ท็อปเพื่อแสดงข้อความเรียกร้องค่าไถ่และแนบไฟล์ “Decryption Instructions.txt” ไว้ให้กับเหยื่อ
อีกทั้งการวิเคราะห์พบว่าประมาณ 80% ของชุดเครื่องมือที่ใช้ในการโจมตีของกลุ่ม CrazyHunter นั้นมาจากซอฟต์แวร์โอเพนซอร์สบน GitHub ที่ถูกดัดแปลงขึ้นให้มีความสามารถเฉพาะตัวมากขึ้น การวางแผนโจมตีของกลุ่มแฮ็กเกอร์นี้มีความสลับซับซ้อนและมีขั้นตอนที่ชัดเจน ตั้งแต่การเข้าถึงระบบ การปิดกั้นและฆ่าโปรเซสความปลอดภัย ไปจนถึงการติดตั้งแรนซัมแวร์อย่างต่อเนื่องแม้ว่าจะมีมาตรการสกัดกั้นในขั้นตอนแรกก็ตาม ซึ่งแสดงให้เห็นถึงความชาญฉลาดและการเตรียมแผนสำรองที่แน่นหนา
เตือนให้องค์กรต่าง ๆ โดยเฉพาะในไต้หวันต้องตั้งรับกับภัยคุกคามไซเบอร์ที่มีความซับซ้อน และแรงสนับสนุนเทคโนโลยีที่มาจากภายนอกที่สามารถนำมาปรับใช้โจมตีได้อย่างมีประสิทธิภาพ องค์กรจึงควรปรับปรุงและอัปเดตมาตรการรักษาความปลอดภัย รวมถึงวางแผนรับการโจมตีแบบตอบโต้และมีมาตรการสกัดกั้นที่พร้อมต่อการรับมือกับภัยคุกคามในอนาคต
ที่มา: Cybersecuritynews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
เหตุใดทีม SOC ชั้นนำจึงหันมาใช้ Network Detection and Response
แพ็กเกจ npm ปลอมเลียนแบบ Telegram Bot API เพื่อฝัง SSH Backdoors บนระบบ Linux
ผู้หลอกลวงใช้ Google OAuth เพื่อปลอมตัวเป็น Google ในการโจมตี DKIM แบบรีเพลย์
Wine Lure ของ Cozy Bear ปล่อยมัลแวร์ WineLoader ลงบนนักการทูตสหภาพยุโรป
Microsoft กำหนดให้บัญชีใหม่ทั้งหมดไม่มีรหัสผ่านเป็นค่าเริ่มต้น
