นักวิจัยด้านความปลอดภัยทางไซเบอร์พบ Advanced Backdoor ที่ยังไม่เคยมีการบันทึกไว้มาก่อนที่ถูกเรียกว่า "Deadglyph" ซึ่งถูกใช้โดยผู้โจมตีที่รู้จักกันในชื่อ "Stealth Falcon"

ESET ระบุในรายงานใหม่ที่แชร์กับ The Hacker News ว่า "โครงสร้างของ Deadglyph เป็นโครงสร้างที่ค่อนข้างผิดปกติ เนื่องจากประกอบด้วยส่วนประกอบที่ทำงานร่วมกัน - ส่วนหนึ่งเป็น x64 binary และอีกส่วนหนึ่งคือ .NET assembly"

การรวมกันลักษณะนี้เป็นเรื่องผิดปกติ เนื่องจากมัลแวร์โดยทั่วไปจะใช้เพียงภาษาโปรแกรมเดียวสำหรับส่วนประกอบต่าง ๆ ความแตกต่างนี้อาจเป็นการบ่งชี้ถึงการพัฒนาส่วนประกอบทั้งสองนี้แยกกัน ในขณะเดียวกันก็ใช้ประโยชน์จากคุณสมบัติเฉพาะของภาษาโปรแกรมที่แตกต่างกัน

การใช้ภาษาโปรแกรมที่แตกต่างกันยังถูกสงสัยว่าเป็นกลยุทธ์ที่จงใจเพื่อป้องกันการวิเคราะห์ ทำให้มีความยากลำบากมากขึ้นในการตรวจสอบ และแก้ไขช่องโหว่

ต่างจาก Backdoor แบบดั้งเดิมที่มีลักษณะคล้ายกัน Backdoor Deadglyph จะรับคำสั่งจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมในรูปแบบของโมดูลเพิ่มเติมที่ช่วยให้สร้าง process ใหม่ อ่านไฟล์ และรวบรวมข้อมูลจากระบบที่ถูกบุกรุก

Stealth Falcon (aka FruityArmor) เป็นกลุ่มอาชญากรทางไซเบอร์ที่เชื่อว่ามีรัฐบาลสนับสนุน กลุ่มนี้ถูกพบครั้งแรกโดย Citizen Lab ในปี 2016 โดยเชื่อมโยงกับสปายแวร์แบบที่มุ่งเป้าหมายไปยังประเทศในตะวันออกกลาง โดยมีเป้าหมายเป็นนักข่าว นักเคลื่อนไหว และผู้เห็นต่างในสหรัฐอาหรับเอมิเรตส์

การสืบสวนครั้งต่อมาที่ดำเนินการโดย Reuters ในปี 2019 ได้เปิดเผยการปฏิบัติการลับชื่อ Project Raven ซึ่งเกี่ยวข้องกับกลุ่มอดีตเจ้าหน้าที่ข่าวกรองสหรัฐฯ ที่ได้รับการว่าจ้างจากบริษัทด้านความปลอดภัยไซเบอร์ชื่อ DarkMatter เพื่อสอดแนมเป้าหมายที่วิจารณ์สถาบันกษัตริย์อาหรับ

Stealth Falcon และ Project Raven ถูกเชื่อว่าเป็นกลุ่มเดียวกัน เนื่องจากมีความเชื่อมโยงกันในด้านเทคนิคการโจมตี และเป้าหมาย

กลุ่ม Stealth Falcon ได้ถูกเชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่แบบ zero-day ใน Windows เช่น CVE-2018-8611 และ CVE-2019-0797 โดย Mandiant ระบุในเดือนเมษายน 2020 ว่ากลุ่มผู้โจมตีนี้ "ใช้ช่องโหว่แบบ zero-day ในการโจมตีมากกว่ากลุ่มอื่น ๆ" ในช่วงปี 2016 ถึง 2019

ในช่วงเวลาเดียวกัน ESET ได้อธิบายถึงการใช้ Backdoor ที่มีชื่อว่า Win32/StealthFalcon ซึ่งพบว่าใช้ Windows Background Intelligent Transfer Service (BITS) สำหรับการสื่อสารกับ C2 server และเพื่อให้ได้สิทธิ์ควบคุมอุปกรณ์ปลายทางอย่างสมบูรณ์

ตามรายงานระบุว่า Deadglyph เป็น Backdoor ล่าสุดที่กลุ่ม Stealth Falcon ใช้ โดยได้วิเคราะห์จากการโจมตีหน่วยงานรัฐบาลที่ไม่ระบุชื่อในตะวันออกกลาง

วิธีที่ใช้ในการฝังมัลแวร์ไปยังเป้าหมาย ยังไม่เป็นที่ทราบแน่ชัด แต่ส่วนประกอบเริ่มต้นที่ใช้ในการเริ่มการดำเนินงานของมันคือโปรแกรม loader ของ shellcode ที่ถูกแยก และโหลด shellcode จาก Registry Windows ซึ่งจากนั้นจะเรียกใช้งาน Deadglyph's native x64 module ที่เรียกว่า Executor ของ Deadglyph

จากนั้น Executor จะดำเนินการโหลดส่วนประกอบ .NET ที่เรียกว่า Orchestrator ซึ่งจะสื่อสาร C2 server เพื่อรอรับคำสั่งเพิ่มเติม มัลแวร์ยังมีวิธีการเพื่อหลีกเลี่ยงการตรวจจับ ซึ่งรวมถึงความสามารถในการถอนการติดตั้งตัวเอง

คำสั่งที่ได้รับจากเซิร์ฟเวอร์จะถูกเรียงลำดับไว้เพื่อรอการดำเนินการ และสามารถแบ่งออกเป็นสามประเภท ได้แก่ Orchestrator tasks, Executor tasks และ Upload tasks

ESET รายงานว่า Executor tasks ช่วยให้สามารถจัดการกับ backdoor และเรียกใช้โมดูลเพิ่มเติมได้, Orchestrator tasks ช่วยให้สามารถจัดการการกำหนดค่าของโมดูล Network และ Timer และยังสามารถยกเลิก tasks ที่ค้างอยู่ได้

Executor tasks บางส่วนที่ระบุไว้ประกอบด้วยการสร้าง process การเข้าถึงไฟล์ และการรวบรวม metadata ของระบบ, โมดูล Timer ถูกใช้ในการตรวจสอบเซิร์ฟเวอร์ C2 โดยใช้ร่วมกับโมดูล Network ซึ่งใช้การสื่อสาร C2 โดยใช้การ request ผ่าน HTTPS POST

ส่วน Upload tasks คือการให้สิทธิ์ให้ backdoor สามารถอัปโหลดผลลัพธ์จากคำสั่ง และข้อผิดพลาดได้

ESET รายงานว่าสามารถระบุหน้าจอควบคุม (Control Panel, CPL) ที่ถูกอัปโหลดไปยัง VirusTotal จากประเทศกาตาร์ ซึ่งรายงานว่ามันเป็นจุดเริ่มต้นของการโจมตี multi-stage chain ซึ่งนำไปสู่การดาวน์โหลด shellcode ที่มีความคล้ายกับ Deadglyph

แม้ลักษณะของ shellcode ที่ดึงมาจากเซิร์ฟเวอร์ C2 ยังคงไม่ชัดเจน แต่มีการสรุปว่าอาจจะใช้เป็นตัวติดตั้งสำหรับมัลแวร์ Deadglyph

"Deadglyph ได้รับชื่อมาจากข้อมูลที่พบในตัว backdoor (hexadecimal IDs 0xDEADB001 และ 0xDEADB101 สำหรับโมดูล Timer และการกำหนดค่า) ร่วมกับการใช้การโจมตี homoglyph ที่ปลอมตัวเป็น Microsoft ("Microsoft Corporation") ใน Registry shellcode loader's VERSIONINFO resource.

นักวิจัยจาก Elastic Security Labs บริษัทด้านความปลอดภัยทางไซเบอร์ เผยแพร่รายงานการค้นพบพบมัลแวร์ตัวใหม่ในชื่อ NAPLISTENER ที่ถูกเขียนขึ้นด้วยภาษา C# มีความสามารถในการดักจับข้อมูลผ่าน HTTP รวมถึงสามารถหลีกเลี่ยงการตรวจจับจากอุปกรณ์รักษาความปลอดภัยบนเครือข่าย ซึ่งถูกใช้โดยกลุ่ม REF2924 ในการโจมตี โดยมุ่งเป้าไปที่หน่วยงานในเอเชียใต้ และเอเชียตะวันออกเฉียงใต้
REF2924 เป็นกลุ่ม Hacker ที่มีความเชื่อมโยงกับเหตุการณ์การโจมตีหน่วยงานในอัฟกานิสถาน และสำนักงานกิจการต่างประเทศของสมาชิกอาเซียนในปี 2565 ซึ่งวิธีในการโจมตีของ REF2924 มีความคล้ายคลึงกับ ChamelGang ที่ถูกค้นพบโดย Positive Technologies บริษัทด้านความปลอดภัยทางไซเบอร์ของรัสเซีย ในเดือนตุลาคม 2021

การโจมตีของกลุ่ม REF2924
การโจมตีจะเริ่มขึ้นจากการโจมตีช่องโหว่ของ Microsoft Exchange servers เพื่อติดตั้ง backdoor malware ได้แก่ DOORME, SIESTAGRAPH และ ShadowPad
DOORME เป็นแบ็คดอร์ของ Internet Information Services ( IIS ) ที่สามารถเรียกใช้คำสั่งจากระยะไกล และดาวน์โหลดเครื่องมือ และมัลแวร์เพิ่มเติม
SIESTAGRAPH เป็นแบ็คดอร์ที่ใช้ Graph API ของ Microsoft สำหรับเรียกใช้คำสั่งควบคุมผ่าน Outlook และ OneDrive, การเรียกใช้คำสั่งที่กำหนดเองผ่าน Command Prompt รวมถึงอัปโหลด และดาวน์โหลดไฟล์ไปยัง OneDrive และบันทึกภาพหน้าจอ
ShadowPad เป็นแบ็คดอร์ที่เป็นรุ่นพัฒนาต่อจาก PlugX ทำให้ Hacker สามารถแฝงตัวอยู่ในเครื่องเป้าหมายอย่างต่อเนื่อง และเรียกใช้คำสั่ง shell command รวมถึงเพย์โหลดอันตรายในเครื่องเป้าหมาย โดย ShadowPad มีความเกี่ยวข้องกับกลุ่ม Hacker สัญชาติจีน

การโจมตีของ NAPLISTENER
NAPLISTENER ("wmdtc.

นักวิจัยของ ESET ได้เผยแพร่การค้นพบ backdoor malware ตัวใหม่ในชื่อ MQsTTang ที่ถูกสร้างขึ้นโดย Mustang Panda กลุ่ม Hacker ชาวจีน โดยเริ่มพบการโจมตีในเดือน มกราคม 2023 จนถึงปัจจุบัน โดยมีเป้าหมายการโจมตีไปยังรัฐบาล และองค์กรทางการเมืองในยุโรป และเอเชีย โดยเน้นไปที่ไต้หวัน และยูเครน

Mustang Panda เป็นกลุ่มภัยคุกคามระดับสูง Advanced Persistent Threat (APT) ซึ่งเป็นที่รู้จักจากการใช้มัลแวร์ PlugX ที่ปรับปรุงใหม่เพื่อใช้ในการโจรกรรมข้อมูล โดยกลุ่ม Hacker ดังกล่าวยังเป็นที่รู้จักกันในชื่อ TA416 และ Bronze President

โดยก่อนหน้านี้ Trend Micro เคยพบการโจมตีครั้งล่าสุดของ Mustang Panda ในเดือนมีนาคมถึงตุลาคม 2022 โดยในแคมเปญดังกล่าว กลุ่ม Mustang Panda ได้ใช้มัลแวร์สามสายพันธุ์ ได้แก่ PubLoad, ToneIns และ ToneShell และพบว่ามีการกำหนดเป้าหมายไปยัง ออสเตรเลีย ญี่ปุ่น ไต้หวัน และฟิลิปปินส์

MQsTTang backdoor

จากการวิเคราะห์ของ ESET พบว่า MQsTTang backdoor ไม่ได้มีต้นแบบจากมัลแวร์ตัวใดมาก่อน ซึ่งบ่งชี้ได้ว่า backdoor ดังกล่าวได้ถูกสร้างขึ้นมาเพื่อให้สามารถหลบเลี่ยงการตรวจจับ และทำให้สามารถระบุแหล่งที่มาได้ยากขึ้น

การโจมตีจะเริ่มจาก Phishing Email ที่มีการฝังเพย์โหลดที่เป็นอันตราย เมื่อเป้าหมายทำการเปิดอีเมล จะมีดาวน์โหลดมัลแวร์จาก GitHub repositories เพื่อเริ่มการโจมตี โดยตัวมัลแวร์จะเป็นไฟล์ที่อยู่ภายในไฟล์ RAR archives โดยตั้งชื่อตามหนังสือทางการทูต เช่น การสแกนหนังสือเดินทางของสมาชิกคณะผู้แทนทางการทูต บันทึกของสถานทูต เป็นต้น

โดย MQsTTang นั้นถือเป็น “barebones backdoor” (แบ็คดอร์ที่ได้รับการออกแบบให้เรียบง่ายที่สุดเท่าที่จะเป็นไปได้ ทำให้ตรวจจับได้ยากขึ้น) ที่มีความสามารถในการเรียกใช้งานคำสั่งได้จากระยะไกล และส่งข้อมูลกลับมายัง C2 (Command & Control) รวมถึงการแฝงตัวอยู่บนระบบ (Persistence)

ซึ่งการแฝงตัวอยู่บนระบบโดยการเพิ่มคีย์รีจิสทรีใหม่ภายใต้ HKCK\Software\Microsoft\Windows\CurrentVersion\Run โดยจะทำให้ระบบเรียกใช้มัลแวร์ทุกครั้งเมื่อมีการ Restart โดยจะมีเพียงการเชื่อมต่อผ่าน C2 (Command & Control) เท่านั้น

MQsTTang จะทำงานภายใต้ MQTT protocol สำหรับคำสั่งการ และการควบคุมการเชื่อมต่อผ่าน C2 ซึ่งทำให้ช่วยในการปกปิดร่องรอยการเชื่อมต่อผ่าน C2 รวมถึงการโจมตี ทำให้มีโอกาสน้อยที่จะถูกตรวจจับได้

รวมไปถึง MQsTTang จะทำการตรวจสอบการ debug หรือ monitoring tools ที่อยู่บนเครื่องเหยื่อตลอดเวลา เมื่อพบก็จะเปลี่ยนลักษณะการทำงาน เพื่อหลีกเลี่ยงการถูกตรวจจับอีกด้วย

 

ที่มา : bleepingcomputer