Microsoft ยกเลิกการใช้งาน MSIX ms-appinstaller protocol handler อีกครั้ง หลังพบความเกี่ยวข้องกับหลายกลุ่ม hacker ที่นำไปใช้ในทางที่ผิด โดยการแพร่กระจายมัลแวร์ลงบนเครื่องของผู้ใช้งาน Windows
กลุ่มแฮ็กเกอร์ใช้วิธีการโจมตีผ่านช่องโหว่ CVE-2021-43890 Windows AppX installer spoofing เพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยที่ป้องกันผู้ใช้ Windows จากมัลแวร์ เช่น Defender SmartScreen สำหรับป้องกันการ phishing และป้องกันมัลแวร์ และการแจ้งเตือนบนเบราว์เซอร์ ที่แจ้งเตือนผู้ใช้เมื่อมีการดาวน์โหลดไฟล์ executable
Microsoft ระบุเพิ่มเติมอีกว่า แฮ็กเกอร์ใช้วิธีการโฆษณาเพื่อแพร่กระจาย malware ผ่านซอฟท์แวร์ที่ได้รับความนิยม และข้อความฟิชชิ่งของ Microsoft Teams เพื่อส่งแพ็คเกจ MSIX application ที่เป็นอันตราย
ตั้งแต่กลางเดือนพฤศจิกายน 2023 Microsoft Threat Intelligence ระบุว่า พบกลุ่มแฮ็กเกอร์ที่มีแรงจูงใจทางด้านการเงิน เช่น Storm-0569, Storm-1113, Sangria Tempest และ Storm-1674 กำลังใช้งาน ms-appinstaller URI scheme (App Installer) ในการแพร่กระจายมัลแวร์เช่นกัน
จากการติดตามพฤติกรรมของกลุ่มแฮ็กเกอร์ นักวิจัยพบว่ามีการใช้งาน ms-appinstaller protocol handler เป็น access vector หรือเป็นช่องทางในการส่งมัลแวร์ไปที่เหยื่อ ซึ่งสามารถนำไปสู่การแพร่กระจายของ ransomware ได้ และยังมีกลุ่มแฮ็กเกอร์อีกหลายกลุ่มกำลังขาย malware kit ที่ใช้รูปแบบไฟล์ MSIX และ ms-app installer protocol handler อีกด้วย
กลุ่ม Sangria Tempest หรืออีกชื่อคือ FIN7 ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่มีแรงจูงใจทางด้านการเงิน ที่เคยถูกเชื่อมโยงว่ามีส่วนเกี่ยวข้องกับ REvil และ Maze ransomware หลังจากที่มีส่วนร่วมในปฏิบัติการของ BlackMatter และ DarkSide ransomware ที่ปัจจุบันยุติปฏิบัติการไปแล้ว
รายงานของ Microsoft ยังพบว่ากลุ่ม FIN7 มีส่วนเกี่ยวข้องกับการโจมตีที่มุ่งเป้าไปที่ PaperCut printing servers กับกลุ่มก่อการร้าย Clop ransomware ด้วยเช่นกัน
การโจมตีของมัลแวร์ Emotet และ BazarLoader
ในรายงานของ BleepingComputer เมื่อ 2 ปีก่อนในเดือนธันวาคม 2021 ระบุว่า กลุ่ม Emotet ใช้งาน AppX Installer packages ของ Windows ในการปลอมตัวว่าเป็นซอฟท์แวร์ Adobe PDF เพื่อแพร่กระจายมัลแวร์ไปยัง Windows 10 และ Windows 11
ยิ่งไปกว่านั้นช่องโหว่ AppX Installer spoofing ยังถูกใช้งานในการแพร่กระจายมัลแวร์ของ BazarLoader โดยใช้ packages ที่มีการติดตั้งอยู่บน Microsoft Azure ผ่าน *.web.core.windows.net URLs
ทำให้ Microsoft ปิดการใช้งาน ms-appinstaller protocol handler ในเดือนกุมภาพันธ์ 2022 เพื่อป้องกันการโจมตีของ Emotet
เนื่องจากอุปกรณ์ที่ถูกโจมตีล้วนมีความเสี่ยงที่จะเป็นเป้าหมายของ ransomware ต่อไปได้ ทำให้ Microsoft ปิดการใช้งาน ms-appinstaller protocol handler อีกครั้งเมื่อช่วงต้นเดือนธันวาคม 2023
แม้ว่า Microsoft จะระบุว่ามีการปิดการใช้งานโดยค่าเริ่มต้นในวันที่ 28 ธันวาคม 2023 แต่ผู้ใช้งานอื่น ๆ รายงานว่าการปิดการใช้งานเริ่มต้นเมื่อต้นเดือนธันวาคม 2023 อย่างไรก็ตามยังไม่ชัดเจนว่าเพราะเหตุใด Microsoft จึงกลับมาเปิดใช้งาน Windows App Installer อีกครั้งในช่วงระหว่างเดือนกุมภาพันธ์ 2022 ถึงธันวาคม 2023
คำแนะนำ จาก Microsoft
- แนะนำให้อัปเดต patch App Installer เวอร์ชัน 1.21.3421.0 หรือสูงกว่าเพื่อป้องกันการโจมตีผ่านช่องโหว่ดังกล่าว
- หากยังไม่สามารถใช้งาน App Installer เวอร์ชันล่าสุดได้ ให้ปิดการใช้งาน protocol โดยการตั้งค่า Group Policy EnableMSAppInstallerProtocol ให้เป็น Disabled ก่อน
ที่มา:.bleepingcomputer.com
You must be logged in to post a comment.