กลุ่ม UAC-0184 ใช้ Python ในการโจมตีแบบ DLL Sideloading เพื่อแพร่กระจายมัลแวร์ XWORM

เมื่อไม่นานมานี้ CRIL พบแคมเปญมัลแวร์ที่มุ่งเป้าไปยังประเทศยูเครนโดยใช้ Remote Access Trojan (RAT) ชื่อ XWorm จากการตรวจสอบพบว่าแคมเปญนี้เกี่ยวข้องกับกลุ่ม UAT-0184 ซึ่งก่อนหน้านี้กลุ่ม UAC-0184 ได้มุ่งเป้าหมายไปยังหน่วยงานของยูเครนในประเทศฟินแลนด์ โดยใช้ Remcos RAT ในการโจมตี โดยใช้เทคนิคต่าง ๆ เช่น ไฟล์ steganographic image และ IDAT Loader (SHADOWLADDER, GHOSTPULSE) ในการแพร่กระจายมัลแวร์

ในช่วงปลายเดือนพฤษภาคม ทาง CRIL พบแคมเปญที่ผู้ไม่หวังดีใช้ไฟล์ที่ใช้ Python ซึ่งเป็นส่วนหนึ่งของเทคนิคในการหลบหลีกการตรวจจับ โดยวิธีการโจมตีในเบื้องต้นยังไม่ทราบแน่ชัด แต่มีความเป็นไปได้ว่าจะแพร่กระจายผ่านอีเมลฟิชชิง หรืออีเมลอันตรายที่มีไฟล์แนบ .ZIP

การตรวจสอบเริ่มต้นด้วยการวิเคราะห์ไฟล์ .lnk ที่พบในไฟล์ ZIP ซึ่งเมื่อดำเนินการ LNK shortcut จะเรียกใช้สคริปต์ PowerShell ที่ดาวน์โหลด ZIP file เพิ่มเติม และเอกสารปลอม ไฟล์ ZIP นี้จะมีหลายรายการ รวมถึง Python executable, Python DLL ที่เป็นอันตราย และไฟล์ไบนารี payload ที่ถูกเข้ารหัส เทคนิคการแพร่กระจายมัลแวร์นี้ใช้วิธีการ DLL sideloading และ Shadowloader เพื่อเรียกใช้ final payload ซึ่งถูกระบุว่าเป็น XWorm RAT

ภาพด้านล่างแสดง infection chain ของกลุ่ม UAC-0184 เพื่อเรียกใช้งาน XWorm payload

การวิเคราะห์ทางเทคนิค

เมือทำการแตกไฟล์ ZIP จะพบไฟล์ LNK shortcut ชื่อ "NewCopy.

หน่วยงานในเวียดนามตกเป็นเป้าหมายการจารกรรมทางไซเบอร์ของกลุ่ม Mustang Panda ที่เชื่อมโยงกับประเทศจีน

ในเดือนเมษายน 2017 นักวิจัยจาก CrowdStrike Falcon Intelligence รายงานถึงกลุ่มแฮ็กเกอร์ที่ไม่เคยถูกพบมาก่อน ซึ่งกำลังโจมตีกลุ่มผู้เชี่ยวชาญในสายงานต่าง ๆ ในสหรัฐฯ ที่มีความสัมพันธ์กับจีน การสืบสวนเพิ่มเติมทำให้พบแคมเปญการโจมตีที่ใหญ่กว่านั้น โดยแสดงให้เห็นถึงเทคนิคการโจมตีที่โดดเด่น ซึ่งกลุ่มดังกล่าวเป็นที่รู้จักจากการโจมตีองค์กรภาค NGOs อย่างกว้างขวาง

Mustang Panda เป็นกลุ่มอาชญากรทางไซเบอร์ที่มีฐานอยู่ในประเทศจีน ถูกพบครั้งแรกในปี 2017 แต่มีแนวโน้มว่าได้ปฏิบัติการมาตั้งแต่ปี 2014 โดยกลุ่มนี้ได้ทำการโจมตีหน่วยงานที่หลากหลาย เช่น องค์กรรัฐบาล, องค์กรไม่แสวงผลกำไร, สถาบันศาสนา และองค์กรนอกภาครัฐอื่น ๆ ในสหรัฐอเมริกา, ยุโรป, มองโกเลีย, เมียนมา, ปากีสถาน, เวียดนาม และภูมิภาคอื่น ๆ

ในแคมเปญที่ดำเนินการในเดือนพฤษภาคม 2024 กลุ่ม Mastang Panda ได้โจมตีหน่วยงานในประเทศเวียดนามโดยใช้เอกสารที่เกี่ยวกับ tax compliance โดยเมื่อสังเกตจากโครงสร้างพื้นฐานที่ใช้ในแคมเปญเดือนพฤษภาคม 2024 นักวิจัยได้ระบุแคมเปญอีกหนึ่งแคมเปญของเดือนเมษายน 2024 ซึ่งเป็นการโจมตีหน่วยงานด้านการศึกษา

ในทั้งสองแคมเปญ การติดมัลแวร์เริ่มต้นจากอีเมลสแปมที่มีไฟล์แนบ ซึ่งไฟล์แนบจะประกอบไปด้วยไฟล์ ZIP และ RAR ที่มีไฟล์ Windows shortcut (LNK) ที่เป็นอันตราย เพื่อเรียกใช้งานไฟล์ PowerShell, Mshta และ batch (bat) หลายไฟล์ ผลลัพธ์สุดท้ายคือไฟล์โหลด DLL ที่เป็นอันตราย ซึ่งจะทำการรัน shellcode ซึ่งสามารถดาวน์โหลด และรันไฟล์ที่อันตรายอื่น ๆ ลงในระบบได้เพิ่มเติม

รายละเอียดทางเทคนิค

CRIL พบหนึ่งแคมเปญในเดือนพฤษภาคม 2024 ที่ใช้ไฟล์ LNK ที่อันตรายชื่อ “Vanban_8647_cuong_che_thi_hanh_quyet_dinh.

มัลแวร์ขโมยข้อมูล ViperSoftX กำหนดเป้าหมายไปที่แอปพลิเคชัน Password Manager

มัลแวร์ขโมยข้อมูล ViperSoftX เวอร์ชันใหม่ถูกค้นพบว่ามีเป้าหมายที่หลากหลายมากขึ้น รวมถึงการกำหนดเป้าหมายไปยังแอปพลิเคชัน password manager อย่าง KeePass และ 1Password

รายงานดังกล่าวมาจากนักวิจัยที่ Trend Micro ซึ่งระบุว่า ViperSoftX มุ่งเป้าไปที่กระเป๋าเงินคริปโตเคอเรนซีมากขึ้น โดยสามารถขโมยข้อมูลจากเบราว์เซอร์ต่าง ๆ นอกเหนือจาก Chrome ได้มากขึ้น และยังเริ่มกำหนดเป้าหมายไปยังแอปพลิเคชัน Password Manager

มัลแวร์ขโมยข้อมูลเวอร์ชันใหม่ล่าสุดมีการเข้ารหัสรหัสที่รัดกุมยิ่งขึ้น และมีคุณสมบัติในการหลีกเลี่ยงการตรวจจับโดยซอฟต์แวร์รักษาความปลอดภัย (more…)