กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือซึ่งเป็นที่รู้จักในชื่อ APT37 ได้แพร่กระจาย backdoor ตัวใหม่ชื่อ "VeilShell" สิ่งที่น่าสนใจคือเป้าหมายของการโจมตีนี้ เนื่องจากโดยปกติแล้ว APT กลุ่มต่าง ๆ จากเกาหลีเหนือส่วนใหญ่จะโจมตีองค์กรในเกาหลีใต้ หรือญี่ปุ่น แต่ในแคมเปญล่าสุดของ APT37 ได้พุ่งเป้าไปที่ประเทศกัมพูชา ซึ่งเป็นประเทศที่ Kim Jong-Un มีความสัมพันธ์ที่มากกว่าปกติ
แม้ว่าเกาหลีเหนือยังคงมีสถานทูตในกรุงพนมเปญ และทั้งสองประเทศมีประวัติศาสตร์ร่วมกัน จากความสัมพันธ์ภายใต้สหภาพโซเวียตในภูมิภาคนี้ แต่ความสัมพันธ์ในยุคปัจจุบันระหว่างทั้งสองประเทศเหมือนจะไม่ค่อยดีเท่าที่ควร โดยผู้สังเกตการณ์ในภูมิภาคนี้ได้ชี้แจงว่า โครงการอาวุธนิวเคลียร์ของเกาหลีเหนือ, การทดสอบขีปนาวุธที่กำลังดำเนินการอยู่อย่างต่อเนื่อง, กิจกรรมทางไซเบอร์ และการรุกรานต่อประเทศเพื่อนบ้าน เป็นเรื่องที่ขัดแย้งกับจุดยืนของกัมพูชาเกี่ยวกับอาวุธทำลายล้างสูง (WMD) และการเรียกร้องให้มีการเจรจาทางการทูตระหว่างทุกประเทศในภูมิภาค
Securonix ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับกลุ่มเป้าหมายที่ถูกโจมตี แต่ APT37 (หรือที่รู้จักในชื่อ InkSquid, RedEyes, BadRAT, Reaper, ScarCruft และ Ricochet Chollima) ได้ใช้วิธีสแปมอีเมลที่เป็นอันตรายซึ่งมีหัวข้อเกี่ยวกับเรื่องราวในกัมพูชา โดยใช้ภาษาเขมรเป็นหลัก ตัวอย่างหัวข้อหนึ่งที่ใช้ในแคมเปญนี้คือการให้เหยื่อเข้าถึงสเปรดชีตที่เกี่ยวกับรายได้ประจำปีภายในประเทศ ซึ่งครอบคลุมหลายภาคส่วนในประเทศ เช่น งานสังคมสงเคราะห์, การศึกษา, สุขภาพ และการเกษตร
ภายในอีเมลเหล่านี้มีไฟล์ shortcut ที่ถูกสร้างขึ้นเพื่อซ่อน backdoor ที่ใช้สำหรับการแฝงตัวอยู่อย่างเงียบ ๆ ในเครื่อข่ายที่ถูกโจมตี
Shrouded#Sleep's Stealthy Shortcuts
การติดมัลแวร์ Shrouded#Sleep เริ่มต้นเหมือนกับการโจมตีอื่น ๆ คือ มีไฟล์ .ZIP ที่มีไฟล์ Windows shortcut (.LNK) อยู่ภายใน
เป็นเรื่องปกติที่พบได้บ่อย เนื่องจากมันง่าย และมีประสิทธิภาพ และยังเข้ากันได้ดีกับการโจมตีด้วยอีเมลฟิชชิ่ง และยังซ่อนไฟล์ได้ง่ายอีกด้วย
Windows จะซ่อนไฟล์ .LNK เป็นค่าเริ่มต้น โดยจะแทนที่ด้วยลูกศรเล็ก ๆ ที่มุมด้านล่างซ้ายของไอคอนไฟล์ ทำให้อินเทอร์เฟซของผู้ใช้โดยรวมสะอาดตาขึ้น ผลที่ตามมาคือผู้ไม่หวังดีอย่าง APT37 สามารถเปลี่ยนไอคอนเริ่มต้นของไฟล์ .LNK เป็นไอคอนอื่น ๆ ได้ และใช้วิธีเพิ่มนามสกุลไฟล์เป็นสองชั้นเพื่อปกปิดลักษณะของไฟล์ที่แท้จริง
APT37 จะใช้ไอคอนไฟล์ shortcut เป็นไอคอน PDF และ Excel โดยตั้งชื่อไฟล์เป็นสองชั้น เช่น ".pdf.lnk" หรือ ".xls.lnk" ทำให้ผู้ใช้งานเห็นเพียงส่วนที่เป็น .PDF และ .XLS เท่านั้น
ในท้ายที่สุด Peck ระบุว่า "ถ้าไม่ได้สังเกตลูกศรเล็ก ๆ ที่ไมโครซอฟท์เพิ่มในไฟล์ shortcut ก็มีโอกาสที่จะไม่สังเกตเห็น" ซึ่งภายในขนาดของไฟล์เหล่านี้ จะมีเพย์โหลดที่เป็นอันตรายของ APT37 ซึ่ง Securonix ตั้งชื่อว่า "VeilShell"
VeilShell's Patient Persistence
แคมเปญ SHROUDED#SLEEP โดดเด่นเรื่องการผสมผสานเครื่องมือที่ล้ำสมัย รวมถึงฟังก์ชันการแฝงตัวบนระบบ และการหลีกเลี่ยงการตรวจจับ
จากการวิเคราะห์ของ Securonix “การดำเนินการที่ซับซ้อน โดยมีเป้าหมายในเอเชียตะวันออกเฉียงใต้ โดยใช้ประโยชน์จากการดำเนินการหลายขั้นตอน, กลไกการแฝงตัว และ backdoor RAT โดยใช้ PowerShell เพื่อให้บรรลุวัตถุประสงค์การควบคุมระบบที่ถูกโจมตีได้นานขึ้น ตลอดการตรวจสอบ แสดงให้เห็นว่าผู้โจมตีได้สร้างเพย์โหลดอย่างเป็นระบบ และใช้การผสมผสานที่น่าสนใจระหว่างเครื่องมือ และเทคนิคเพื่อหลีกเลี่ยงการป้องกัน และรักษาการเข้าถึงเป้าหมายของพวกเขา"
โดยเฉพาะ APT37 ยังสามารถสร้างการแฝงตัวบนระบบได้โดยการแทรกโค้ดที่เป็นอันตรายเข้าสู่แอปพลิเคชัน .NET ผ่านวิธีการ AppDomainManager ซึ่งเป็นเทคนิคที่พบได้ไม่บ่อย
ฟังก์ชัน และเทคนิคที่เป็นอันตรายเหล่านี้อาจทำให้เกิดความผิดปกติบนระบบที่ถูกโจมตีได้ APT37 จึงใช้เทคนิคบางอย่างเพื่อหลีกเลี่ยงการตรวจจับ เช่น ใช้ตัวจับเวลาให้ มัลแวร์ sleep เป็นระยะเวลาหนึ่ง เพื่อแบ่งช่วงต่าง ๆ ในการโจมตี
ตามที่ Peck ระบุไว้ “ผู้โจมตีมีความอดทนอย่างมาก, ใช้เวลา และเป็นระบบ พวกเขาใช้ตัวจับเวลาเพื่อให้มัลแวร์ sleep เป็นระยะหนึ่ง ซึ่งใช้เวลาประมาณ 6,000 วินาทีระหว่างช่วงต่าง ๆ ของการโจมตี และเป้าหมายหลักของไฟล์ shortcut คือการเตรียมการ ซึ่งไม่ได้ทำการรันมัลแวร์จริง ๆ แต่จะ drop ไฟล์ลงในตำแหน่งที่สามารถทำงานได้เองเมื่อระบบรีบูตใหม่ ซึ่งการรีบูตใหม่อาจเกิดขึ้นในวันเดียวกัน หรือในอีกหนึ่งสัปดาห์ ขึ้นอยู่กับผู้ใช้งานอุปกรณ์"
ที่มา : darkreading.com
You must be logged in to post a comment.