RAT new malware attacking South Korean word processor

Cisco Talos แจ้งเตือนผู้ใช้งานในเกาหลีใต้หลังตรวจพบการโจมตีด้วย RAT ภายใต้ชื่อ ROKRAT
Cisco Talos ออกประกาศแจ้งเตือนผู้ใช้งานในเกาหลีใต้อีกครั้งหลังจากพบอัตราการเพิ่มขึ้นของ RAT หลังจากเคยมีการตรวจพบมาก่อนแล้วในเดือนกุมภาพันธ์ที่ผ่านมาซึ่งเคยมีการใช้เว็บไซต์ของหน่วยงานรัฐบาลในการแพร่กระจายมัลแวร์
การโจมตีครั้งล่าสุดที่ Cisco Talos มีการเผยแพร่เมื่อวันจันทร์นั้นได้มีการอธิบายว่าผู้โจมตียังคงอาศัยวิธีในการแพร่กระจายผ่านทางลักษณะของอีเมลที่มีไฟล์แนบเป็นไฟล์เอกสารของ Hangul Word Processor (HWP) ซึ่งมีการฝังเป็นโปรแกรม RAT ชื่อว่า ROKRAT และมีการใช้ช่องโหว่ของ PostScript (CVE-2013-0808) ในการปกปิดโปรแกรม RAT และสั่งการให้โปรแกรม RAT ทำงานอีกด้วย ROKRAT เมื่อมีการแพร่กระจายไปสู่ระบบของผู้ใช้งานจะมีการใช้ Twitter, Yandex และ Mediafire เป็นเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมรวมไปถึงรอรับไฟล์ที่ผู้โจมตีจะขโมยออกมาซึ่งส่งผลให้เป็นเรื่องยากที่จะมีการบล็อคบริการเหล่านี้ ROKRAT ยังมีความสามารถในการถ่ายภาพหน้าจอเพื่อเก็บข้อมูล ดักการพิมพ์ผ่านคีย์บอร์ดและการป้องกันตัวเองเมื่อถูกตรวจสอบโดยการใช้ sandbox หรือเมื่อถูกดีบั๊กเพื่อทำการวิเคราะห์อีกด้วย

ข้อมูลเพิ่มเติมสำหรับการป้องกัน รวมไปถึงค่าแฮชของมัลแวร์และพฤติกรรมอื่นๆ สามารถตรวจสอบได้จากลิงค์ที่มาของ Cisco Talos

ที่มา : theregister,Cisco Talos

 

Read more