นักวิจัยความปลอดภัยทางไซเบอร์จาก Mandiant ได้รายงานในวันอังคารที่ผ่านมาว่า Ars Technica ได้ถูกนำมาใช้ในการโจมตีด้วยมัลแวร์ใน Stage ที่สอง ในแคมเปญการโจมตีที่ยังไม่เคยถูกพบมาก่อน เพื่อหลีกเลี่ยงการตรวจจับได้อย่างชาญฉลาด
รูปภาพพิซซ่าที่ไม่เป็นอันตรายถูกอัปโหลดลงในเว็บไซต์ของ third-party จากนั้นเชื่อมโยงมายัง URL ที่อยู่ในหน้า 'about' ของผู้ใช้ Ars ที่มีการลงทะเบียนแล้ว ภายใน URL มีสตริงตัวอักษรที่ดูเหมือนเป็นการสุ่ม แต่จริง ๆ แล้วเป็น payload การโจมตีของแคมเปญนี้
นอกจากนี้แคมเปญดังกล่าวยังมุ่งเป้าหมายไปที่เว็บไซต์สำหรับแบ่งปันวิดีโออย่าง 'Vimeo' ซึ่งมีการอัปโหลดวิดีโอที่ดูไม่เป็นอันตราย และสตริงที่เป็นมัลแวร์ถูกใส่ไว้ในคำอธิบายของวิดีโอ สตริงถูกสร้างขึ้นโดยใช้เทคนิคที่เรียกว่า 'Base 64 encoding' ซึ่งแปลงข้อความเป็นรูปแบบ ASCII ที่สามารถแทนข้อมูลที่เป็นไบนารี
โดยอุปกรณ์ที่ติดมัลแวร์ใน Stage แรกในแคมเปญนี้ จะดึงข้อมูลสตริงเหล่านี้ และติดตั้งมัลแวร์ใน Stage ที่สองโดยอัตโนมัติ
Yash Gupta นักวิจัยจาก Mandiant ระบุว่า "วิธีนี้เป็นวิธีที่แตกต่าง และแปลกใหม่ ที่พบเห็นการใช้วิธีการที่ตรวจจับได้ยากมาก ซึ่งเราไม่ได้เห็นในมัลแวร์ตามปกติ มันน่าสนใจมาก และเป็นสิ่งที่เราต้องแจ้งเตือน"
รูปภาพที่โพสต์บน Ars ปรากฏใน about ของโปรไฟล์ผู้ใช้ที่สร้างบัญชีขึ้นเมื่อวันที่ 23 พฤศจิกายน ตัวแทนของ Ars ระบุว่า ภาพที่แสดงพิซซ่าพร้อมกับคำบรรยาย 'I love pizza' ถูกลบออกโดยเจ้าหน้าที่ของ Ars เมื่อวันที่ 16 ธันวาคม หลังจากที่ได้รับการแจ้งตือนจากอีเมลที่ไม่รู้จัก โดยโปรไฟล์ของ Ars นั้น ใช้ URL แบบฝังในรูปภาพ และรูปภาพนั้นถูกเพิ่มลงในหน้า about โดยอัตโนมัติ โดยสตริง base 64 encoding ที่เป็นมัลแวร์จะอยู่หลังจากส่วนที่ถูกต้องของ URL ของรูปภาพ ซึ่งสตริงนี้ไม่ส่งผลให้เกิด error หรือทำให้ไม่สามารถโหลดหน้าเว็บได้
นักวิจัย Mandiant ระบุว่าไม่มีผลกระทบใด ๆ เกิดขึ้นกับผู้ที่ดูภาพดังกล่าว ไม่ว่าจะเป็นที่แสดงบนหน้า Ars หรือบนเว็บไซต์ที่โฮสต์ภาพดังกล่าว ยังไม่ชัดเจนว่ามีผู้ใช้ Ars ได้เข้าชมหน้า about ดังกล่าวหรือไม่
อุปกรณ์ที่ติดมัลแวร์ใน Stage แรก จะเข้าถึงสตริงที่เป็นอันตรายที่ส่วนท้ายของ URL โดยอัตโนมัติ จากนั้นจะถูกติดตั้งมัลแวร์ใน Stage ที่สอง
วิดีโอบน Vimeo ทำงานในลักษณะเดียวกัน แตกต่างกันที่สตริงนั้นจะอยู่ในคำอธิบายวิดีโอ ตัวแทนของ Ars ยังไม่มีข้อมูลเพิ่มเติม เนื่องจากตัวแทนของ Vimeo ยังไม่ได้ตอบกลับอีเมลของพวกเขา
แคมเปญดังกล่าวมาจากผู้ไม่หวังดีที่ Mandiant ติดตามในชื่อ 'UNC4990' ซึ่งถูกพบมาอย่างน้อยตั้งแต่ปี 2020 และมีแรงจูงใจหลักทางด้านการเงิน กลุ่มนี้ได้ใช้เทคนิคที่แตกต่างออกไปเพื่อหลีกเลี่ยงการตรวจจับ เพื่อแพร่กระจายมัลแวร์ใน Stage ที่สองโดยใช้ text file ที่เบราว์เซอร์ และ text editors แสดงให้เห็นว่าเป็นไฟล์เปล่า
การเปิดไฟล์เดียวกันในโปรแกรม hex editor ซึ่งเป็นเครื่องมือสำหรับการวิเคราะห์ และตรวจสอบไฟล์ไบนารี จะแสดงให้เห็นว่าการจัดเรียงของแท็บ, ช่องว่าง และบรรทัดใหม่ถูกจัดเรียงในลักษณะเข้ารหัส code ที่สามารถ execute ได้ เหมือนกับเทคนิคที่ใช้กับ Ars และ Vimeo ซึ่งการใช้ไฟล์ในลักษณะดังกล่าวเป็นสิ่งที่นักวิจัย Mandiant ไม่เคยเห็นมาก่อน ซึ่งก่อนหน้านี้ UNC4990 เคยใช้ GitHub และ GitLab
ในขั้นตอนแรกของมัลแวร์ จะถูกใช้งานผ่าน USB drives ที่ติดมัลแวร์ โดยไดรฟ์ติดตั้ง payload ที่ Mandiant ตั้งชื่อว่า 'explorerps1' ซึ่งอุปกรณ์ที่ติดมัลแวร์จะเข้าถึงไฟล์ข้อความที่เป็นอันตรายโดยอัตโนมัติ หรือไปยัง URL ที่โพสต์บน Ars หรือวิดีโอที่โพสต์บน Vimeo
สตริง base 64 ใน URL ของภาพ หรือคำอธิบายของวิดีโอ ทำให้มัลแวร์ติดต่อไปยังเว็บไซต์ที่โฮสต์ใน Stage ที่สอง โดยใน Stage ที่สองของมัลแวร์ ซึ่งถูกติดตามในชื่อ 'Emptyspace' จะทำการดึงข้อมูลจาก command-and-control server อย่างต่อเนื่อง และเมื่อได้รับคำสั่ง จะดาวน์โหลด และดำเนินการใน Stage ที่สาม
Mandiant ได้สังเกตการติดตั้ง payload ใน Stage ที่สามเพียงหนึ่งเคสเท่านั้น ซึ่งขั้นตอนนี้ทำหน้าที่เป็น backdoor ซึ่งถูกติดตามในชื่อ 'Quietboard' ซึ่งในกรณีนี้ backdoor ยังได้ดำเนินการติดตั้ง cryptocurrency miner อีกด้วย
ที่มา : arstechnica.com
You must be logged in to post a comment.