Revamped DLL side-load attack hits Myanmar

Sophos ออกรายงานการโจมตีทางไซเบอร์ในพม่า ใช้โปรแกรมของ Windows Defender ทำ "DLL side-loading" ในการโจมตี

Sophos ออกรายงานแจ้งเตือนพฤติกรรมการโจมตีโดยกลุ่ม APT จีนในพม่า พุ่งเป้าโจมตีบริษัทเอกชนและด้านการค้าในประเทศพม่า จุดน่าสนใจของการโจมตีอยู่ที่การใช้เทคนิคการโจมตีซึ่งถูกค้นพบในปี 2013 ในชื่อ DLL side-loading เพื่อหลอกให้ระบบเมื่อมีการเอ็กซีคิวต์โปรแกรมใดๆ แล้ว ให้เรียกใช้ DLL ปลอมซึ่งเป็นอันตรายแทน DLL จริง

ในกรณีของการโจมตีที่ตรวจพบ แฮกเกอร์จีนมีการใช้โปรแกรม MsMpEng.exe ซึ่งเป็นส่วนของซอฟต์แวร์ Windows Defender ในการโหลดไฟล์ DLL อันตรายที่อยู่ในไดเรกทอรีเดียวกันขึ้นมา เมื่อ DLL ที่เป็นอันตรายถูกโหลด มันจะทำการโหลดไฟล์ Groza_1.dat ซึ่งเป็น payload ของมัลแวร์ซึ่งถูกเข้ารหัสไว้เพื่อทำการถอดรหัสอีกทีหนึ่งด้วยการใช้ XOR นอกเหนือจาก MsMpEng.exe แฮกเกอร์ยังมีการใช้ DISM.exe และโปรแกรมของ Adobe ด้วย

ในมุมมองของทีม Intelligent Response การโจมตีในลักษณะนี้สามารถถูกเรียกได้ว่าเป็นการใช้เทคนิค Living off the land เพียงแต่แฮกเกอร์ไม่ได้มีการใช้ไบนารีที่มีอยู่แล้ว แต่มีการนำไบนารีที่ปลอดภัยมาเองและเรียกใช้เพื่อโหลดโปรแกรมอันตรายขึ้นมาเอง ในบางกรณีวิธีการของผู้โจมตีอาจสามารถหลบหลีกการตรวจจับได้หากการตรวจจับเทคนิค Living off the land นั้นอ้างอิงเฉพาะไฟล์โปรแกรมที่มีอยู่ในระบบเพียงอย่างเดียว

ที่มา: theregister