นักวิจัยด้านความปลอดภัยจาก Sophos พบว่ากลุ่ม APT (Advanced Persistent Threat) ในชื่อ "Dragon Breath," "Golden Eye Dog" หรือ "APT-Q-27" ได้ใช้เทคนิคการโจมตีแบบ DLL sideloading ที่ซับซ้อนมากขึ้นในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย
โดยการโจมตีส่วนใหญ่เริ่มต้นจากการใช้แอปพลิเคชันที่ดูปกติเช่น Telegram ที่จะเรียกใช้งาน payload ขั้นที่สอง ซึ่งในบางครั้งก็ยังเป็นการใช้งานตามปกติอยู่ แล้วจึงใช้วิธีการโหลด DLL ที่เป็นอันตรายในขั้นตอนถัดไป โดยแอปที่มักถูกนำมาใช้ในการโจมตีได้แก่ Telegram, LetsVPN, WhatsApp ทั้งใน Android, iOS หรือ Windows ซึ่ง support ภาษาจีน โดยคาดว่าแอปพลิเคชันที่ถูกฝังโทรจันน่าจะมาจากโฆษณาที่ถูกโปรโมตโดย BlackSEO หรือ Malvertizing
โดยเป้าหมายหลักของการโจมตีอยู่ในกลุ่มผู้ใช้งาน Windows ที่ใช้ภาษาจีนในประเทศจีน, ญี่ปุ่น, ไต้หวัน, สิงคโปร์, ฮ่องกง และฟิลิปปินส์
Double DLL sideloading
DLL sideloading เป็นการเทคนิคการโจมตีที่ถูกพบตั้งแต่ปี 2010 ซึ่งโจมตีไปยัง Windows โดยการโหลดไฟล์ DLL (Dynamic Link Library) ที่เป็นอันตราย โดยใช้ประโยชน์จากกลไกในลำดับการค้นหา และเรียกใช้งาน DLL ไฟล์บน Windows เพื่อวางไฟล์ DLL ที่เป็นอันตรายด้วยชื่อเดียวกันกับไฟล์ DLL ที่ถูกต้อง เพื่อทำให้เมื่อแอปพลิเคชันพยายามโหลดไฟล์ DLL แอปพลิเคชันจะโหลดไฟล์ DLL ที่เป็นอันตรายไปแทน ซึ่ง DLL ที่เป็นอันตราย สามารถให้สิทธิ์สูงแก่ Hacker หรือเรียกใช้คำสั่งบนเครื่องโฮสต์ โดยใช้แอปพลิเคชันที่กำลังรันคำสั่งอยู่
เมื่อผู้ใช้งานทำการติดตั้งแอปพลิเคชันอันตรายสำเร็จ มัลแวร์ก็จะทำการทิ้งส่วนประกอบต่าง ๆ ลงในระบบ และสร้าง shortcut บนเดสก์ท็อป และ startup ระบบ ซึ่งเมื่อเหยื่อทำการเรียกใช้ desktop shortcut แอปดังกล่าว คำสั่งต่อไปนี้จะถูกดำเนินการบนระบบ
โดยคำสั่งจะเรียกใช้ไฟล์ที่เปลี่ยนชื่อมาจาก 'regsvr32.exe' ที่ชื่อว่า 'appR.exe' เพื่อดำเนินการรันไฟล์ที่เปลี่ยนชื่อมาจาก 'scrobj.dll' ที่ชื่อว่า 'appR.dll' และไฟล์ DAT 'appR.dat' ซึ่งภายในมี JavaScript code ที่ใช้ดำเนินการไลบรารีโปรแกรมเรียกใช้สคริปต์ 'appR.dll' โดยจะทำการเปิดแอป Telegram ให้กับเหยื่อ แต่ในขณะเดียวกันก็ทำการติดตั้งส่วนประกอบ sideloading ต่างๆ ในระบบ
ถัดมาจะเป็นการเรียกใช้ 'libexpat.dll' เพื่อโหลดแอปพลิเคชันที่เป็นอันตรายในการโจมตีขั้นตอนต่อไป ซึ่งแอปพลิเคชัน "XLGame.exe" จะถูกเปลี่ยนชื่อเป็น "Application.exe" โดยได้รับการรับรองจาก Beijing Baidu Netcom Science and Technology Co., Ltd. และ "d3dim9.exe" ที่ได้รับการรับรองจาก HP Inc.
นอกจากนี้ยังพบ loader ในขั้นที่สองที่ชื่อ "KingdomTwoCrowns.exe" ซึ่งไม่มีการรับรอง โดยทาง Sophos ยังไม่สามารถระบุได้ว่ามีไว้ใช้ทำอะไร
ในขั้นตอนการโจมตีสุดท้าย DLL เพย์โหลดสุดท้ายจะถูกถอดรหัสจากไฟล์ txt ('templateX.txt') และดำเนินการบนระบบของเป้าหมาย เพื่อติดตั้ง backdoor ที่รองรับคำสั่งต่าง ๆ เช่น การรีบูตระบบ, การแก้ไขรีจิสตรีคีย์, การดึงไฟล์, การขโมยเนื้อหาคลิปบอร์ด, การดำเนินการคำสั่งในหน้าต่าง CMD ที่ซ่อนอยู่ และอื่น ๆ นอกจากนี้ยังกำหนดเป้าหมายไปที่ extension บน Chrome ของ MetaMask cryptocurrency wallet เพื่อขโมย cryptocurrency wallet จากเป้าหมาย
โดยเทคนิค "double DLL sideloading" จะทำให้เกิดความสับสน จึงทำให้สามารถหลบเลี่ยงการตรวจจับ รวมถึงฝังตัวในระบบได้ ทำให้เป้าหมายป้องกัน และตรวจจับการโจมตีได้ยากขึ้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.