กลุ่ม APT37 หรือที่รู้จักกันในชื่อ Red Eye หรือ ScarCruft ซึ่งเป็นกลุ่มแฮกเกอร์จากเกาหลีเหนือ กำลังใช้มัลแวร์ในลักษณะ steganography ที่ชื่อ 'M2RAT' ในการโจมตีเพื่อรวบรวมข้อมูลข่าวกรองที่สำคัญต่อรัฐบาลเกาหลีเหนือ
ตัวอย่างเช่น การใช้ backdoor บนโทรศัพท์ที่ชื่อว่า 'Dolphin' ในการติดตั้ง remote access trojan (RAT) อย่าง 'Konni' เพื่อมุ่งเป้าในการขโมยข้อมูลจากองค์กรในสหภาพยุโรป และใช้มัลแวร์ที่ชื่อว่า 'Goldbackdoor' เพื่อขโมยข้อมูลจากผู้สื่อข่าวในสหรัฐอเมริกา เป็นต้น
โดยในรายงานล่าสุดจาก AhnLab Security Emergency response Center (ASEC) นักวิจัยระบุว่า APT37 ใช้มัลแวร์สายพันธุ์ใหม่ที่เรียกว่า 'M2RAT' แบ่งการใช้งาน memory ร่วมกันระหว่างการสั่งการ และการขโมยข้อมูล โดยจะทิ้งร่องรอยการทำงานไว้น้อยมากบนเครื่องของเหยื่อ
ลักษณะการทำงาน
การโจมตีล่าสุดที่ตรวจพบโดย ASEC ถูกพบในเดือนมกราคม 2566 โดยกลุ่มแฮกเกอร์จะใช้การส่งอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายไปยังเป้าหมาย
เมื่อมีการเปิดไฟล์แนบจะทำให้เกิดการโจมตีโดยใช้ประโยชน์จากช่องโหว่ EPS (CVE-2017-8291) ในโปรแกรม Hangul word processor ซึ่งนิยมใช้กันทั่วไปในเกาหลีใต้ ซึ่งช่องโหว่นี้จะทำให้ shellcode เริ่มทำงานบนคอมพิวเตอร์ของเหยื่อ และทำการดาวน์โหลด และเรียกใช้โปรแกรมที่เป็นอันตรายซึ่งถูกเก็บไว้ภายในไฟล์ภาพ JPEG
โดยไฟล์ภาพ JPG จะใช้เทคนิค steganography ซึ่งทำให้สามารถซ่อนโค้ดภายในไฟล์ได้ เพื่อทำให้ M2RAT ("lskdjfei.exe") ถูกติดตั้ง และ inject ตัวเองลงใน "explorer.exe" ได้
เพื่อให้สามารถแฝงตัวอยู่ในระบบได้ต่อไป มัลแวร์จะเพิ่มค่า "RyPO" ใหม่ในคำสั่ง "Run" ใน Registry key พร้อมคำสั่งเรียกใช้สคริปต์ PowerShell ผ่าน "cmd.exe" ซึ่งคำสั่งในลักษณะดังกล่าว เคยถูกพบในรายงานจาก Kaspersky ในปี 2021 ที่มีความเกี่ยวข้องกับ APT37 เช่นเดียวกัน
M2RAT backdoor จะทำหน้าที่เป็น remote access trojan ในการดำเนินการเก็บข้อมูล keylogging, ขโมยข้อมูล, การเรียกใช้งานคำสั่ง และการถ่ายภาพหน้าจอจากเดสก์ท็อปบนเครื่องเหยื่อ
ฟังก์ชัน screenshot-snapping จะถูกเปิดใช้งาน และทำงานโดยอัตโนมัติโดยไม่ต้องผ่านการควบคุม โดยมัลแวร์จะรองรับคำสั่งดังต่อไปนี้ เพื่อรวบรวมข้อมูลจากอุปกรณ์ของเหยื่อ แล้วส่งกลับไปยัง C2 เซิร์ฟเวอร์ เพื่อให้แฮกเกอร์สามารถตรวจสอบได้
โดยมัลแวร์ยังมีความสามารถในการสแกนหาอุปกรณ์พกพาที่ทำการเชื่อมต่อกับคอมพิวเตอร์ Windows เช่น สมาร์ทโฟน หรือแท็บเล็ต
หากตรวจพบอุปกรณ์พกพา มันจะทำการสแกนอุปกรณ์เพื่อค้นหาเอกสาร และไฟล์บันทึกเสียง หากพบ มันจะทำการคัดลอกไปยังคอมพิวเตอร์ เพื่อส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของผู้โจมตี ก่อนที่จะทำการส่งข้อมูลออกไป ข้อมูลจะถูกบีบอัดในรูปแบบ RAR ที่ป้องกันด้วยรหัสผ่าน และสำเนาภายในเครื่องจะถูกลบออกจากหน่วยความจำเพื่อกำจัดร่องรอยที่เกิดขึ้น
คุณสมบัติที่น่าสนใจอีกอย่างหนึ่งของ M2RAT คือ การใช้ memory ร่วมกันสำหรับการสั่งการจาก command and control (C2), การขโมยข้อมูล และการถ่ายโอนข้อมูลที่ถูกขโมยออกไปยัง C2 โดยไม่เก็บไว้ในระบบของเหยื่อ
การใช้หน่วยความจำบน Host สำหรับฟังก์ชันดังกล่าว ช่วยลดการเชื่อมต่อในการแลกเปลี่ยนข้อมูลกับ C2 และทำให้การวิเคราะห์ทำได้ยากขึ้น เนื่องจากนักวิจัยด้านความปลอดภัยต้องวิเคราะห์หน่วยความจำของอุปกรณ์ที่ถูกโจมตีเพื่อตรวจสอบคำสั่ง และข้อมูลที่ถูกใช้โดยมัลแวร์
สรุปแล้ว APT37 ยังคงมีการอัปเดต custom tool ด้วยมัลแวร์ที่มีความสามารถในการหลีกเลี่ยง และยากต่อการตรวจจับ และวิเคราะห์ โดยเฉพาะอย่างยิ่งเมื่อมีเป้าหมายเป็นตัวบุคคล เช่น ในเหตุการณ์ล่าสุดที่ ASEC ค้นพบ ซึ่งทำให้ขาดข้อมูลที่จะได้จากอุปกรณ์ตรวจจับภัยคุกคามหากเกิดขึ้นกับองค์กรขนาดใหญ่
IOC ที่เกี่ยวข้อง
ที่มา : bleepingcomputer, kcm.trellix
You must be logged in to post a comment.