นักวิจัยจาก Securonix พบผู้ไม่หวังดีที่ยังไม่ทราบตัวตนที่แน่ชัด พยายามหลอกให้ผู้ใช้งาน Windows เรียกใช้งาน Linux virtual machine (VM) เวอร์ชันที่ถูกปรับแต่งขึ้นมาเป็นพิเศษ และมีการตั้งค่า backdoor ไว้
รายละเอียดแคมเปญ
นักวิจัยเชื่อว่าการโจมตีเริ่มต้นจากอีเมลฟิชชิ่ง แต่ยังไม่สามารถระบุเป้าหมายของการโจมตีได้
อีเมลดังกล่าวมีลิงก์ไปยังไฟล์ ZIP ขนาดใหญ่ผิดปกติ (285 MB) ซึ่งมีชื่อไฟล์ว่า "OneAmerica Survey.zip" แสดงให้เห็นถึงความน่าสนใจ เนื่องจากชื่อไฟล์แสดงถึงแบบสำรวจจากบริษัท OneAmerica Financial ซึ่งเป็นบริษัทในสหรัฐฯ ที่ให้บริการด้านการเงิน
นักวิจัยอธิบายว่า เมื่อผู้ใช้งานทำการแตกไฟล์ ZIP จะพบไฟล์ shortcut ไฟล์เดียวที่ชื่อว่า "OneAmerica Survey" และโฟลเดอร์ data ซึ่งมีไดเรกทอรีสำหรับติดตั้ง QEMU (Quick Emulator)
หากผู้ใช้งานคลิกไฟล์ shortcut มันจะเริ่มกระบวนการดังนี้
- ไฟล์ ZIP จะถูกแตกออก และเนื้อหาของมันจะถูกใส่ไว้ในไดเรกทอรี่โปรไฟล์ของผู้ใช้งานในโฟลเดอร์ที่ชื่อ "datax"
- ไฟล์ batch (BAT) จะถูกเรียกใช้งาน และแสดงรูปภาพปลอมพร้อมกับข้อความว่า "Internal Server Error" ขณะเดียวกันในเบื้องหลังจะมีการเรียกใช้งาน QEMU process (ที่ถูกเปลี่ยนชื่อ) และคำสั่ง command line เพื่อเริ่มการจำลองสภาพแวดล้อม Tiny Core Linux
Linux VM ที่ถูกปรับแต่งมาได้รับการออกแบบให้สร้าง shell สำหรับทำการโต้ตอบ (ซึ่งเป็น backdoor) บนเครื่องโฮสต์ โดยเริ่มการเชื่อมต่อ SSH ซึ่งทำให้ผู้ไม่หวังดีสามารถ
- ดาวน์โหลดเพย์โหลดที่เป็นอันตรายเพิ่มเติม
- ติดตั้งเครื่องมือเพิ่มเติมบนเครื่อง
- เปลี่ยนชื่อไฟล์
- แก้ไขการกำหนดค่าของระบบ
- ตรวจสอบข้อมูลของระบบ และระบุชื่อผู้ใช้งาน
- ขโมยข้อมูลออกจากระบบ
นักวิจัยระบุว่า "เหมือนกับการเล่นหมากรุก ผู้ไม่หวังดีเตรียมสภาพแวดล้อมโดยคำนึงถึงกลยุทธ์เป็นหลัก พวกเขาติดตั้ง, ทดสอบ และเรียกใช้งานเพย์โหลด และตั้งค่าหลายรายการอย่างเป็นระบบ โดยแต่ละขั้นตอนจะเป็นการเตรียมพร้อมสำหรับขั้นตอนถัดไป
การใช้ bootlocal.sh และ SSH keys แสดงให้เห็นว่าผู้ไม่หวังดีจะมีการเตรียมการแฝงตัวอยู่บนระบบ จะมีการดาวน์โหลดไฟล์ crondx หลายครั้ง ซึ่งเป็น Chisel clients ที่ตั้งค่าไว้ล่วงหน้าจาก URL ต่าง ๆ สาเหตุของการดาวน์โหลดเหล่านี้ยังไม่สามารถทราบได้แน่ชัด แต่สันนิษฐานว่าอาจเป็นการปรับแต่งเพย์โหลดจนกว่าจะทำงานได้ตามที่ต้องการ
Chisel client มาพร้อมกับการตั้งค่าเบื้องต้นเพื่อเชื่อมต่อกับ C2 Server ที่กำหนดไว้ผ่าน websockets โดยอัตโนมัติ ซึ่งจะเปิด backdoor ให้ผู้ไม่หวังดีสามารถเข้าถึงเครื่องที่ถูกโจมตีได้
การหลีกเลี่ยงการตรวจจับ
โซลูชันแอนตี้ไวรัสแบบดั้งเดิมโดยทั่วไปไม่สามารถ (หรือไม่ได้เป็นค่าเริ่มต้น) สแกนไฟล์ขนาดใหญ่ และยังไม่สามารถตรวจสอบเหตุการณ์ที่เกิดขึ้นใน Linux environment ที่ถูกจำลองขึ้นมาได้
นักวิจัยระบุว่า "การออกแบบของ Chisel ทำให้มีประสิทธิภาพเพิ่มขึ้น โดยเฉพาะการสร้างช่องทางการติดต่อสื่อสารลับ และการเจาะผ่านไฟร์วอลล์ ซึ่งจะทำให้สามารถหลีกเลี่ยงการตรวจจับของเครื่องมือเฝ้าระวังบนเครือข่าย"
การที่ผู้ไม่หวังดีใช้งานซอฟต์แวร์ที่ถูกลิขสิทธิ์ เช่น QEMU และ Chisel จะเพิ่มการหลีกเลี่ยงการตรวจจับอีกชั้นหนึ่ง เนื่องจากเครื่องมือเหล่านี้ไม่ทำให้เกิดการแจ้งเตือนในหลาย ๆ สภาพแวดล้อม
Securonix ได้แชร์สัญญาณของการถูกโจมตีที่เกี่ยวข้องกับแคมเปญนี้ และแนะนำให้องค์กรเฝ้าระวังไดเรกทอรีที่ใช้ในการเตรียมการโจมตี, ตรวจสอบการเรียกใช้ซอฟต์แวร์ที่ถูกลิขสิทธิ์จากแหล่งที่ไม่รู้จัก และใช้การบันทึกข้อมูลจาก endpoint ที่มีความปลอดภัยเพื่อช่วยในการตรวจจับ PowerShell
ที่มา : helpnetsecurity
You must be logged in to post a comment.