นักวิจัยจาก ESET แจ้งเตือนแคมเปญการโจมตีของกลุ่ม Arid Viper ที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android ซึ่งแคมเปญเหล่านี้จะแพร่กระจายมัลแวร์ผ่านเว็บไซต์ที่เหยื่อสามารถดาวน์โหลด และติดตั้งแอปพลิเคชัน Android ได้ด้วยตนเอง
สามแอปพลิเคชันที่ให้บริการบนเว็บไซต์เหล่านี้เป็นแอปพลิเคชันที่ถูกต้อง แต่ถูกเพิ่มโค้ดที่เป็นอันตรายซึ่งเรียกว่า "AridSpy" ซึ่งมีวัตถุประสงค์เพื่อการสอดแนมผู้ใช้งาน
AridSpy ถูกพบครั้งแรกโดย Zimperium ในปี 2021 ในช่วงเวลานั้นมัลแวร์ยังมีเพียงขั้นตอนเดียว โดยมีโค้ดที่เป็นอันตรายทั้งหมดอยู่ในแอปพลิเคชันที่ถูกฝังโทรจันเข้าไป
ถัดมาในครั้งที่สอง นักวิจัยจาก ESET พบการใช้งานในปี 2022 (และต่อมาถูกวิเคราะห์โดย 360 Beacon Labs ในเดือนธันวาคม 2022) โดยผู้ไม่หวังดีได้มุ่งเป้าไปที่งาน FIFA World Cup ในกาตาร์ โดยแคมเปญนี้ใช้แอปพลิเคชัน Kora442 ที่มี AridSpy ฝังอยู่ โดยปลอมเป็นหนึ่งในแอป Kora หลายแอป เช่นเดียวกับตัวอย่างที่วิเคราะห์โดย Zimperium มัลแวร์ยังคงมีเพียงขั้นตอนเดียวในขณะนั้น
ในเดือนมีนาคม 2023 ทีมนักวิจัยจาก 360 Beacon Labs ได้วิเคราะห์แคมเปญ Android อีกหนึ่งแคมเปญที่ดำเนินการโดยกลุ่ม Arid Viper และพบความเชื่อมโยงระหว่างแคมเปญ Kora442 กับกลุ่ม Arid Viper โดยอ้างอิงจากการใช้ไฟล์ myScript.js
ในเดือนสิงหาคม 2023 นักวิจัยจาก ESET พบ AridSpy ในระบบการตรวจจับ และได้ทำการวิเคราะห์เพิ่มเติม โดยมีเป้าหมายที่อยู่ในปาเลสไตน์ และอียิปต์ สิ่งใหม่ในแคมเปญการโจมตีเหล่านี้คือ AridSpy ถูกเปลี่ยนเป็นโทรจันแบบหลายขั้นตอน โดยมีการดาวน์โหลด payload เพิ่มเติมจาก C2 Server โดยแอปพลิเคชันที่ถูกฝังโทรจันในขั้นตอนแรก
ในระหว่างที่เผยแพร่บทความนี้ สามในห้าแคมเปญที่ถูกค้นพบยังคงมีการดำเนินการอยู่ แคมเปญเหล่านี้ใช้เว็บไซต์เฉพาะในการแพร่กระจายแอปพลิเคชันที่มีมัลแวร์ โดยปลอมเป็นแอป NortirChat, LapizaChat, ReblyChat, تطبيق المشغل (แอปพลิเคชันหางาน), และ السجل المدني الفلسطيني (แอปพลิเคชันทะเบียนราษฎร์ปาเลสไตน์) นักวิจัยพบเว็บไซต์ดังต่อไปนี้ผ่านระบบตรวจจับ, VirusTotal, และการตรวจสอบ myScript.js ที่ใช้ร่วมกันโดยใช้เครื่องมือค้นหา FOFA
- lapizachat[.]com
- reblychat[.]com
- nortirchats[.]com
- pariberychat[.]com (inactive)
- renatchat[.]com (inactive)
ระหว่างการวิเคราะห์ ทีมวิจัย FOFA ได้เผยแพร่บทความที่ระบุถึงการค้นพบเว็บไซต์ที่แพร่กระจายแอปพลิเคชันจำนวนเจ็ดแห่งที่มีไฟล์ JavaScript myScript.js ซึ่งทำหน้าที่ในการดึง path ดาวน์โหลดสำหรับ payload ของ Arid Viper สี่ในเจ็ดเว็บไซต์เหล่านี้แพร่กระจาย AridSpy ในหลายเวอร์ชัน ซึ่งมีสองเว็บไซต์ที่ไม่เคยถูกพบมาก่อน ได้แก่
- clemochat[.]com
- voevanil[.]com
แอปพลิเคชันที่เป็นอันตรายเหล่านี้ไม่เคยถูกอัปโหลดเข้าสู่ Google Play แต่จะถูกดาวน์โหลดผ่านทางเว็บไซต์ ดังนั้นเพื่อที่จะติดตั้งแอปพลิเคชันเหล่านี้ เหยื่อจะถูกขอให้เปิดใช้งานตัวเลือกบน Android ที่อนุญาตให้สามารถติดตั้งแอปจากแหล่งที่ไม่รู้จักได้
การวิเคราะห์เหยื่อ
ESET พบ AridSpy หกครั้งในระบบตรวจจับจากปาเลสไตน์ และอียิปต์ โดยส่วนใหญ่ของสปายแวร์ที่ตรวจพบในปาเลสไตน์เป็นแอปพลิเคชันทะเบียนราษฎร์ปาเลสไตน์ที่เป็นอันตราย โดยมีการตรวจพบอีกหนึ่งครั้งที่ไม่เป็นส่วนหนึ่งของแคมเปญที่กล่าวถึงในข้างต้น นอกจากนี้ยังพบ payload ขั้นตอนแรกแบบเดียวกัน แต่มีชื่อแพ็กเกจที่แตกต่างกันในอียิปต์ อีกทั้งยังมี payload ขั้นตอนแรกอีกหนึ่งตัวที่ตรวจพบในอียิปต์ ซึ่งใช้ C2 Server เดียวกันกับตัวอย่างในแคมเปญ LapizaChat และแอปพลิเคชันหางาน
การระบุแหล่งที่มา
ESET ได้ระบุว่า AridSpy เกี่ยวข้องกับกลุ่ม Arid Viper อย่างมีนัยสำคัญ โดยอ้างอิงตามตัวบ่งชี้เหล่านี้
- AridSpy มุ่งเป้าไปที่องค์กรในปาเลสไตน์ และอียิปต์ ซึ่งสอดคล้องกับกลุ่มเป้าหมายของ Arid Viper
- เว็บไซต์ที่ใช้แพร่กระจาย AridSpy หลายแห่งใช้ไฟล์ JavaScript ที่เป็นอันตรายชื่อ "myScript.js" ซึ่งก่อนหน้านี้ถูกเชื่อมโยงกับ Arid Viper โดย 360 Beacon Labs และ FOFA
ไฟล์ myScript.js ถูกพบว่าเกี่ยวข้องกับ Arid Viper ครั้งแรกในวันที่ 30 มีนาคม 2023 โดยการวิเคราะห์ของ 360 Beacon Labs ซึ่งเป็นแคมเปญอื่นที่ดำเนินการโดย Arid Viper โค้ด Android ที่เป็นอันตราย (ซึ่งไม่มีชื่อ) ที่ใช้ในแคมเปญนั้นถูกระบุว่าเป็นของกลุ่ม Arid Viper ก่อนหน้านี้ ไฟล์ myScript.js ถูกพบในหนึ่งในเว็บไซต์ที่ใช้ในแคมเปญดังกล่าว วัตถุประสงค์ของ JavaScript คือการดาวน์โหลดแอปพลิเคชัน Android ที่เป็นอันตราย ที่โฮสต์อยู่บนเซิร์ฟเวอร์สำหรับแพร่กระจายมัลแวร์
ส่วนหนึ่งของโค้ดที่ลงทะเบียน handler สำหรับการคลิกบนปุ่มดาวน์โหลดของเว็บไซต์ และโค้ด JavaScript ที่สร้างเส้นทางไฟล์เพื่อดาวน์โหลดแอปพลิเคชันที่เป็นอันตราย
ตามที่ 360 Beacon Labs แสดงให้เห็นโค้ด JavaScript เดียวกันนี้ถูกใช้ในแคมเปญที่มุ่งเป้าไปที่ FIFA World Cup ในกาตาร์ด้วย AridSpy เวอร์ชันก่อนหน้านี้ ซึ่งได้รายงานในปี 2022 ในทั้งสองแคมเปญ เว็บไซต์ที่ใช้สำหรับแพร่กระจายมัลแวร์มีการใช้สคริปต์ myScript.js ในการดึงแอปพลิเคชันที่เป็นอันตรายจากเซิร์ฟเวอร์ แม้ว่า payload สุดท้ายจะแตกต่างกันก็ตาม
สุดท้าย นักวิจัยพบโค้ด JavaScript ที่คล้ายกันบนเว็บไซต์แพร่กระจายมัลแวร์ ซึ่งคือแอปพลิเคชัน NortirChat, LapizaChat, และ ReblyChat โดยระหว่างการวิเคราะห์ความเกี่ยวข้องได้รับการยืนยันจากทีมวิจัยของ FOFA search engine ซึ่งพบเว็บไซต์แพร่กระจายมัลแวร์เจ็ดแห่งที่มีไฟล์ myScript.js ที่ทำหน้าที่ในการดาวน์โหลด AridSpy บน Android และเชื่อมโยงมัลแวร์นี้กับ Arid Viper
นักวิจัยไม่สามารถเชื่อมโยงโค้ด JavaScript ที่ใช้ในแคมเปญเหล่านี้กับโครงการที่ถูกต้อง หรือโครงการโอเพนซอร์สใด ๆ ซึ่งทำให้เชื่อว่าสคริปต์นี้เป็นสคริปต์เฉพาะสำหรับแคมเปญต่าง ๆ ของ Arid Viper ที่แพร่กระจายมัลแวร์ Android
เป็นไปได้ว่า Arid Viper ใช้วิธีการแพร่กระจายนี้ซ้ำ แต่เปลี่ยนไปใช้เครื่องมือใหม่ คือ AridSpy สำหรับแคมเปญใหม่ เนื่องจากมัลแวร์ที่กลุ่มนี้ใช้ก่อนหน้านี้ถูกเปิดเผย และวิเคราะห์โดยนักวิจัย และบริษัทความปลอดภัยหลายแห่ง
ที่น่าสนใจคือ นักวิจัยยังค้นพบเวอร์ชันที่แตกต่างกันของ myScript.js บนเว็บไซต์แพร่กระจายมัลแวร์ AridSpy ซึ่งแอบอ้างเป็นแอปทะเบียนราษฎร์ปาเลสไตน์ ในกรณีนี้ สคริปต์มีวัตถุประสงค์เดียวกันแต่โค้ด JavaScript ไม่เหมือนกัน แทนที่จะดาวน์โหลด AridSpy สคริปต์นี้กลับคืนค่าลิงก์ที่ฝังอยู่ไปยัง AridSpy
เวอร์ชันนี้ของสคริปต์อิงจากสคริปต์ที่มีอยู่บนออนไลน์ ตรงกันข้ามกับเวอร์ชันก่อนหน้าที่ดูเหมือนจะใช้ไฟล์ myScript.js ที่พัฒนาขึ้นเอง เมื่อเวอร์ชันก่อนหน้าของ myScript.js ถูกเปิดเผย และเชื่อมโยงกับ Arid Viper ผู้โจมตีส่วนใหญ่จะเปลี่ยนโค้ดเพื่อหลีกเลี่ยงการเชื่อมโยงโค้ดใหม่กับกลุ่มนี้
Indicators of Compromise (IOCs)
Files
Network
MITRE ATT&CK techniques
This table was built using version 15 of the MITRE ATT&CK framework.
ที่มา : welivesecurity
You must be logged in to post a comment.