กลุ่มแฮ็กเกอร์ที่ถูกติดตามในชื่อ Storm-2561 กำลังเผยแพร่โปรแกรม enterprise VPN ปลอม ที่แอบอ้างว่าเป็นของ Ivanti, Cisco และ Fortinet เพื่อขโมยข้อมูล Credential ของ VPN จากผู้ใช้ที่ไม่ทันระวังตัว
ผู้โจมตีใช้วิธีควบคุม และบิดเบือนผลการค้นหาสำหรับคำค้นหาทั่วไป เช่น “Pulse VPN download” หรือ “Pulse Secure client” เพื่อหลอก Redirect พาเหยื่อไปยังเว็บไซต์ผู้ให้บริการ VPN ปลอม ที่ทำหน้าตาเลียนแบบซอฟต์แวร์ VPN จากผู้พัฒนาตัวจริงได้อย่างแนบเนียน
หลังจากตรวจสอบการโจมตี และโครงสร้างพื้นฐานใน Command-and-control (C2) นักวิจัยของ Microsoft พบว่า แคมเปญโจมตีเดียวกันนี้มีการใช้ Domain ที่เกี่ยวข้องกับ Sophos, Sonicwall, Ivanti, Check Point, Cisco, WatchGuard และอื่น ๆ ซึ่งเป็นการมุ่งเป้าไปยังผู้ใช้งานผลิตภัณฑ์ VPN สำหรับองค์กรหลากหลายยี่ห้อ
ในการโจมตีที่ตรวจพบ Microsoft พบว่าเว็บไซต์ปลอมดังกล่าวมีการเชื่อมโยงไปยัง GitHub repository (ซึ่งปัจจุบันถูกนำออกไปแล้ว) ที่ใช้สำหรับเก็บ Host ของไฟล์ ZIP ซึ่งภายในมีตัวติดตั้งโปรแกรม VPN ปลอมในรูปแบบไฟล์ MSI เอาไว้
เมื่อถูกเรียกใช้งาน ไฟล์ดังกล่าวจะทำการติดตั้งโปรแกรม ‘Pulse.exe’ ลงใน %CommonFiles%\Pulse Secure จากนั้นจะทำการสร้าง และปล่อยโปรแกรม Loader ที่ชื่อ dwmapi.dll รวมถึงมัลแวร์ Infostealer สายพันธุ์หนึ่งของ Hyrax ที่ชื่อ inspector.dll
โปรแกรม VPN ปลอมจะแสดงหน้าต่างเข้าสู่ระบบที่หน้าตาเหมือนของจริง เพื่อหลอกให้เหยื่อกรอกข้อมูล Credential ซึ่งข้อมูลเหล่านี้จะถูกดักจับ และลักลอบส่งออกไปยังโครงสร้างพื้นฐานของผู้โจมตี
มัลแวร์ดังกล่าว มี Digital Signature ที่ถูกต้อง ซึ่งปัจจุบันถูกเพิกถอนไปแล้วจากบริษัท Taiyuan Lihua Near Information Technology Co., Ltd. และยังได้ทำการขโมยข้อมูลการตั้งค่า VPN ที่เก็บไว้ในไฟล์ connectionsstore.dat จาก Directory ของโปรแกรมที่ถูกต้องอีกด้วย
เพื่อไม่ให้เหยื่อเกิดความสงสัย โปรแกรม VPN ปลอมจะแสดงข้อความแจ้งเตือน Error ในการติดตั้งหลังจากที่ขโมยข้อมูล Credential สำเร็จแล้ว และจะ Redirect พาเหยื่อไปยังเว็บไซต์จริงของผู้ให้บริการ เพื่อให้ดาวน์โหลดโปรแกรม VPN ที่ถูกต้องมาใช้งานแทน
Microsoft อธิบายว่า “หากผู้ใช้งานสามารถติดตั้ง และใช้งานซอฟต์แวร์ VPN ที่ถูกต้องได้ในภายหลัง และการเชื่อมต่อ VPN สามารถทำงานได้ตามปกติ ก็จะไม่มีสัญญาณใด ๆ ให้ผู้ใช้ทราบเลยว่าเครื่องถูกโจมตี ซึ่งพวกเขามักจะคิดไปเองว่า Error ในการติดตั้งครั้งแรกนั้นเกิดจากปัญหาทางด้านเทคนิค ไม่ใช่มัลแวร์”
ในขณะเดียวกัน ที่ระบบเบื้องหลัง มัลแวร์ Infostealer จะสร้างกลไกการฝังตัวให้กับไฟล์ Pulse.exe ผ่านทาง Windows RunOnce registry key เพื่อให้มั่นใจว่าตัวมัลแวร์จะยังคงกลับมาทำงานได้เสมอแม้จะมีการ Reboot ระบบใหม่ก็ตาม
นักวิจัยแนะนำให้ผู้ดูแลระบบเปิดใช้งาน Cloud-delivered protection ใน Microsoft Defender, ตั้งค่าให้ระบบ EDR ทำงานในโหมด Block, บังคับใช้การยืนยันตัวตนแบบ Multi-factor authentication (MFA) และเลือกใช้ Browser ที่มีฟีเจอร์ SmartScreen
นอกจากนี้ Microsoft ยังได้เปิดเผยข้อมูล Indicators of Compromise (IoCs) พร้อมทั้งคำแนะนำในการตรวจสอบ และค้นหาภัยคุกคาม เพื่อช่วยให้หน่วยงานต่าง ๆ สามารถตรวจจับ และบล็อกแคมเปญการโจมตีนี้ได้ตั้งแต่เนิ่น ๆ
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.