กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่ชื่อว่า Konni (หรือเป็นที่รู้จักในชื่อ Opal Sleet, TA406) กำลังใช้มัลแวร์ PowerShell ที่สร้างขึ้นโดย AI เพื่อมุ่งเป้าโจมตีนักพัฒนา และวิศวกรในวงการ Blockchain

เชื่อกันว่ากลุ่ม Konni มีความเชื่อมโยงกับกลุ่ม APT37 และ Kimsuky โดยกลุ่มนี้มีการเคลื่อนไหวมาตั้งแต่อย่างน้อยปี 2014 และถูกตรวจพบว่าได้มุ่งเป้าโจมตีองค์กรต่าง ๆ ในเกาหลีใต้, รัสเซีย, ยูเครน และหลาย ๆ ประเทศในยุโรป

จากการวิเคราะห์ตัวอย่างโดยนักวิจัยของ Check Point พบว่าแคมเปญล่าสุดของกลุ่มผู้ไม่หวังดีเน้นเป้าหมายไปที่ภูมิภาคเอเชียแปซิฟิก เนื่องจากมีการส่งตัวอย่างมัลแวร์ดังกล่าวเข้ามาตรวจสอบจากประเทศญี่ปุ่น, ออสเตรเลีย และอินเดีย

การโจมตีเริ่มต้นเมื่อเหยื่อได้รับลิงก์ที่ฝากไว้บน Discord ซึ่งจะส่งไฟล์ ZIP ที่ภายในประกอบด้วยไฟล์ PDF สำหรับล่อลวง และไฟล์ LNK shortcut (.LNK) ที่เป็นอันตราย

ไฟล์ LNK ดังกล่าวจะสั่งทำงานตัว PowerShell loader ที่ฝังอยู่ เพื่อแตกไฟล์เอกสาร DOCX และไฟล์ CAB archive ออกมา โดยภายในประกอบด้วย PowerShell Backdoor, ไฟล์ Batch สองไฟล์ และไฟล์ Executable สำหรับหลบเลี่ยงระบบ UAC (User Account Control)

เมื่อเปิดไฟล์ shortcut เอกสาร DOCX จะถูกเปิดขึ้นพร้อมกับการสั่งรันไฟล์ Batch หนึ่งไฟล์ที่รวมอยู่ในไฟล์ Cabinet นั้น

เอกสาร DOCX ที่ใช้หลอกลวง แสดงให้เห็นเจตนาว่าแฮ็กเกอร์ต้องการโจมตีเข้าสู่ development environments ซึ่งจะช่วยให้พวกเขาสามารถเข้าถึง Assets ที่สำคัญ ได้แก่ โครงสร้างพื้นฐาน, ข้อมูล API credentials, การเข้าถึง Wallet และท้ายที่สุดคือเหรียญ Cryptocurrency ที่ถือครองอยู่"

ไฟล์ Batch ไฟล์แรกจะสร้าง Staging Directory สำหรับตัว Backdoor และไฟล์ Batch ไฟล์ที่สอง จะสร้าง Scheduled Task ให้ทำงานทุกชั่วโมง โดยอำพรางตัวเป็น Startup Task ของ OneDrive

Task ดังกล่าวจะอ่านสคริปต์ PowerShell ที่ถูกเข้ารหัสแบบ XOR จาก Disk และทำการถอดรหัสเพื่อสั่งประมวลผลภายในหน่วยความจำ จากนั้นในขั้นตอนสุดท้าย มันจะลบตัวเองทิ้งเพื่อกำจัดร่องรอยของการติดมัลแวร์

Backdoor ที่ถูกสร้างขึ้นโดย AI

ตัว PowerShell backdoor ดัวกล่าวจะถูกอำพรางไว้อย่างซับซ้อน โดยอาศัยการเข้ารหัส String ที่อิงตามหลัก Arithmetic การสร้าง String ขึ้นใหม่ในขณะที่โปรแกรมกำลังทำงาน และการสั่งทำงาน Logic ส่วนสุดท้ายผ่านคำสั่ง ‘Invoke-Expression’

นักวิจัยระบุว่ามัลแวร์ PowerShell ตัวนี้ แสดงให้เห็นอย่างชัดเจนว่าถูกพัฒนาขึ้นโดยมี AI เข้ามาช่วยเหลือ มากกว่าจะเป็นมัลแวร์ที่เขียนขึ้นโดย Operator ตามวิธีแบบดั้งเดิม

หลักฐานที่นำไปสู่ข้อสรุปดังกล่าว ได้แก่ การมีส่วนเอกสารกำกับที่ชัดเจน และเป็นโครงสร้างอยู่ที่ส่วนบนของสคริปต์ ซึ่งถือเป็นเรื่องที่ผิดปกติสำหรับการพัฒนามัลแวร์ รวมไปถึงการจัดวางรูปแบบโค้ดที่เป็นระเบียบแบ่งเป็นสัดส่วน และการปรากฏอยู่ของคอมเมนต์ที่เขียนว่า “# <– your permanent project UUID”

Check Point อธิบายว่า "การใช้ถ้อยคำเช่นนี้เป็นลักษณะเด่นอย่างมากของโค้ดที่สร้างขึ้นโดย LLM (Large Language Model) ซึ่งตัวโมเดลจะระบุคำแนะนำแก่ผู้ใช้อย่างชัดเจนถึงวิธีการปรับแก้ค่าที่เว้นว่างไว้ (Placeholder value)"

"คอมเมนต์ลักษณะนี้มักพบได้ทั่วไปในสคริปต์ และบทเรียนสอนเขียนโค้ดที่สร้างขึ้นโดย AI"

ก่อนที่จะเริ่มทำงาน มัลแวร์จะทำการตรวจสอบ Hardware, Software และกิจกรรมของผู้ใช้ เพื่อให้มั่นใจว่ามันไม่ได้กำลังถูกรันอยู่ในสภาพแวดล้อมสำหรับการวิเคราะห์ จากนั้นจึงจะสร้าง Host ID ที่ไม่ซ้ำกันขึ้นมา

ลำดับถัดไป ขึ้นอยู่กับระดับสิทธิ์การสั่งการ ที่ตัวมัลแวร์มีอยู่บนเครื่องที่ถูกโจมตีระบบ มัลแวร์จะเลือกดำเนินการตามเส้นทางที่แตกต่างกัน ดังที่แสดงในแผนภาพต่อไปนี้

เมื่อ Backdoor ทำงานอย่างสมบูรณ์บนอุปกรณ์ที่ติดมัลแวร์ มันจะติดต่อไปยังเซิร์ฟเวอร์ C2 เป็นระยะเพื่อส่งข้อมูล Metadata พื้นฐานของเครื่อง Host และส่ง Request ข้อมูลไปยังเซิร์ฟเวอร์ในช่วงเวลาแบบสุ่ม

หากการตอบกลับจาก C2 มีโค้ด PowerShell แนบมาด้วย มันจะแปลงโค้ดนั้นให้เป็น Script block และสั่งประมวลผลแบบ Asynchronously โดยอาศัยการทำงานอยู่เบื้องหลัง

ทาง Check Point ระบุว่า การโจมตีเหล่านี้เป็นฝีมือของกลุ่มผู้ไม่หวังดี Konni โดยอ้างอิงจากรูปแบบตัว Launcher ในอดีต ความซ้ำซ้อนของชื่อไฟล์หลอกลวง และชื่อสคริปต์ รวมถึงความคล้ายคลึงกันในโครงสร้าง Execution chain เมื่อเทียบกับการโจมตีก่อนหน้านี้

นักวิจัยได้เผยแพร่ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับแคมเปญล่าสุดนี้ เพื่อช่วยให้ฝ่ายป้องกันสามารถปกป้อง Assets ของตนได้

ที่มา : bleepingcomputer

พบแคมเปญที่มีความเชื่อมโยงกับรัสเซีย กำลังแพร่กระจายมัลแวร์ขโมยข้อมูล StealC V2 ผ่านไฟล์ Blender ที่เป็นอันตราย ซึ่งถูกอัปโหลดไปยังตลาดซื้อขาย 3D model เช่น CGTrader (more…)

พบแคมเปญการโจมตีใหม่ที่ใช้เทคนิค ClickFix โดยมีการโจมตีทั้งระบบปฏิบัติการ Windows และ Linux ผ่านคำสั่งที่ออกแบบมาให้สามารถติดมัลแวร์ได้บนทั้งสองระบบปฏิบัติการ (more…)

ตั้งแต่ต้นปีที่ผ่านมา กลุ่มแฮ็กเกอร์ ColdRiver ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ได้ใช้มัลแวร์ตัวใหม่ที่มีชื่อว่า LostKeys เพื่อขโมยไฟล์ข้อมูล โดยมีเป้าหมายเป็นรัฐบาลชาติตะวันตก, นักข่าว, ศูนย์วิจัยนโยบาย และองค์กรพัฒนาเอกชน (NGOs) (more…)

Microsoft ได้ปล่อยสคริปต์ PowerShell เพื่อช่วยให้ผู้ใช้งาน Windows และผู้ดูแลระบบอัปเดต bootable media ให้ใช้ certificate ใหม่ชื่อ "Windows UEFI CA 2023" ก่อนที่มาตรการป้องกัน BlackLotus UEFI bootkit จะมีผลบังคับใช้ภายในปลายปีนี้ (more…)

CRIL พบแคมเปญการโจมตีทางไซเบอร์หลายขั้นตอน โดยเริ่มต้นจากไฟล์ ZIP ที่มีไฟล์ shortcut (.lnk) ที่เป็นอันตราย ถึงแม้ว่าจะยังไม่ทราบแหล่งที่มาของไฟล์ ZIP นี้ แต่คาดว่าถูกเผยแพร่ผ่านอีเมลฟิชชิง โดยจากชื่อของไฟล์ LNK คาดว่าแคมเปญนี้มีเป้าหมายเป็นอุตสาหกรรมด้านการดูแลสุขภาพ (Healthcare) (more…)

ความเชี่ยวชาญด้าน Cloud Security, PowerShell กำลังจะกลายเป็นทักษะสำคัญของนักวิเคราะห์ความปลอดภัยทางไซเบอร์

นักวิเคราะห์ความปลอดภัยทางไซเบอร์ควรจะมีทักษะในหลาย ๆ ด้าน เช่น ทักษะการรับมือ และตอบสนองต่อภัยคุกคามทางไซเบอร์ (Incident handling and response), ทักษะการตรวจจับภัยคุกคามเชิงรุก (Threat hunting), ทักษะการจัดเก็บรวบรวม และวิเคราะห์หลักฐานทางดิจิตอล (Digital forensics), ทักษะการใช้งานภาษาคอมพิวเตอร์ทั้ง Python และ Bash scripting

(more…)

ในเดือนเมษายน 2017 นักวิจัยจาก CrowdStrike Falcon Intelligence รายงานถึงกลุ่มแฮ็กเกอร์ที่ไม่เคยถูกพบมาก่อน ซึ่งกำลังโจมตีกลุ่มผู้เชี่ยวชาญในสายงานต่าง ๆ ในสหรัฐฯ ที่มีความสัมพันธ์กับจีน การสืบสวนเพิ่มเติมทำให้พบแคมเปญการโจมตีที่ใหญ่กว่านั้น โดยแสดงให้เห็นถึงเทคนิคการโจมตีที่โดดเด่น ซึ่งกลุ่มดังกล่าวเป็นที่รู้จักจากการโจมตีองค์กรภาค NGOs อย่างกว้างขวาง

Mustang Panda เป็นกลุ่มอาชญากรทางไซเบอร์ที่มีฐานอยู่ในประเทศจีน ถูกพบครั้งแรกในปี 2017 แต่มีแนวโน้มว่าได้ปฏิบัติการมาตั้งแต่ปี 2014 โดยกลุ่มนี้ได้ทำการโจมตีหน่วยงานที่หลากหลาย เช่น องค์กรรัฐบาล, องค์กรไม่แสวงผลกำไร, สถาบันศาสนา และองค์กรนอกภาครัฐอื่น ๆ ในสหรัฐอเมริกา, ยุโรป, มองโกเลีย, เมียนมา, ปากีสถาน, เวียดนาม และภูมิภาคอื่น ๆ

ในแคมเปญที่ดำเนินการในเดือนพฤษภาคม 2024 กลุ่ม Mastang Panda ได้โจมตีหน่วยงานในประเทศเวียดนามโดยใช้เอกสารที่เกี่ยวกับ tax compliance โดยเมื่อสังเกตจากโครงสร้างพื้นฐานที่ใช้ในแคมเปญเดือนพฤษภาคม 2024 นักวิจัยได้ระบุแคมเปญอีกหนึ่งแคมเปญของเดือนเมษายน 2024 ซึ่งเป็นการโจมตีหน่วยงานด้านการศึกษา

ในทั้งสองแคมเปญ การติดมัลแวร์เริ่มต้นจากอีเมลสแปมที่มีไฟล์แนบ ซึ่งไฟล์แนบจะประกอบไปด้วยไฟล์ ZIP และ RAR ที่มีไฟล์ Windows shortcut (LNK) ที่เป็นอันตราย เพื่อเรียกใช้งานไฟล์ PowerShell, Mshta และ batch (bat) หลายไฟล์ ผลลัพธ์สุดท้ายคือไฟล์โหลด DLL ที่เป็นอันตราย ซึ่งจะทำการรัน shellcode ซึ่งสามารถดาวน์โหลด และรันไฟล์ที่อันตรายอื่น ๆ ลงในระบบได้เพิ่มเติม

รายละเอียดทางเทคนิค

CRIL พบหนึ่งแคมเปญในเดือนพฤษภาคม 2024 ที่ใช้ไฟล์ LNK ที่อันตรายชื่อ “Vanban_8647_cuong_che_thi_hanh_quyet_dinh.

CRIL พบการโจมตีโดยใช้ไฟล์ .LNK ที่เป็นอันตราย ซึ่งแฝงตัวเป็นไฟล์เอกสาร PDF ที่เมื่อผู้ใช้งานเปิดไฟล์ .LNK มันจะแสดงคำเชิญเข้าร่วมสัมมนาเกี่ยวกับสิทธิมนุษยชน ซึ่งแสดงให้เห็นว่าผู้โจมตีมุ่งเป้าหมายไปที่บุคคลที่มีความสนใจในประเด็นสิทธิมนุษยชน (more…)

หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเยอรมนี ออกมาแจ้งเตือนเมื่อวันอังคาร (26 มีนาคม 2024) ที่ผ่านมาว่า พบเซิร์ฟเวอร์ Microsoft Exchange อย่างน้อย 17,000 เครื่องในเยอรมนีที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และมีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งรายการ

ตามรายงานจากสำนักงานสหพันธรัฐเยอรมนีเพื่อความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (BSI) พบว่า เซิร์ฟเวอร์ Microsoft Exchange ประมาณ 45,000 เครื่องในเยอรมนีมี Outlook Web Access (OWA) เปิดใช้งาน และสามารถเข้าถึงได้จากอินเทอร์เน็ต

ประมาณ 12% ของเซิร์ฟเวอร์เหล่านี้ ยังคงใช้ Exchange เวอร์ชันเก่า (2010 หรือ 2013) ซึ่งไม่ได้รับการอัปเดตความปลอดภัยมาตั้งแต่เดือนตุลาคม 2020 และเมษายน 2023 ตามลำดับ

สำหรับเซิร์ฟเวอร์ Exchange 2016 หรือ 2019 ที่เข้าถึงได้จากอินเทอร์เน็ต ประมาณ 28% ไม่ได้รับการแพตช์มาอย่างน้อย 4 เดือน ทำให้มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งช่องโหว่ ทำให้สามารถถูกโจมตีในลักษณะ code execution ได้จากภายนอก

BSI เตือนว่า โดยรวมอย่างน้อย 37% ของเซิร์ฟเวอร์ Exchange ในเยอรมนี (และในหลายกรณี ยังรวมถึงเครือข่ายเบื้องหลังด้วย) มีช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งคิดเป็นจำนวนประมาณ 17,000 ระบบ โดยเฉพาะอย่างยิ่งสถาบันที่ได้รับผลกระทบเหล่านี้ ได้แก่ โรงเรียน, วิทยาลัย, คลินิก, สถานพยาบาล, บริการพยาบาลผู้ป่วยนอก, สถาบันทางการแพทย์อื่น ๆ, ทนายความ และที่ปรึกษาทางกฎหมาย, รัฐบาลท้องถิ่น และบริษัทขนาดกลาง

BSI เคยแจ้งเตือนไปแล้วหลายครั้งตั้งแต่ปี 2021 เกี่ยวกับการใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Microsoft Exchange และถือว่าเป็นสถานการณ์ความเสี่ยงด้านเทคโนโลยีสารสนเทศ อย่างไรก็ตามสถานการณ์ก็ยังไม่ดีขึ้นนับตั้งแต่ตอนนั้น เนื่องจากผู้ดูแลระบบเซิร์ฟเวอร์ Exchange จำนวนมากยังคงไม่ระมัดระวังมากพอ และไม่รีบทำการอัปเดตแพตซ์ด้านความปลอดภัย

 

BSI แนะนำให้ผู้ดูแลเซิร์ฟเวอร์ที่ยังไม่ได้รับการแพทช์ให้ใช้ Exchange เวอร์ชันล่าสุดเสมอ ติดตั้งอัปเดตความปลอดภัยทั้งหมดที่มีอยู่ และกำหนดค่าเซิร์ฟเวอร์ที่เปิดเผยออนไลน์อย่างปลอดภัย

เพื่อดำเนินการดังกล่าว ผู้ดูแลระบบจำเป็นต้องตรวจสอบระบบของตนเองเป็นประจำว่าได้ทำการอัปเดตแพตซ์ Microsoft Exchange ให้เป็นเวอร์ชันล่าสุดหรือไม่ รวมถึงทำการติดตั้งการอัปเดตความปลอดภัยประจำเดือนมีนาคม 2024 โดยเร็วที่สุด

Exchange Server 2019 CU14 Mar24SU (Build number 15.2.1544.9)
Exchange Server 2019 CU13 Mar24SU (build number 15.2.1258.32)
Exchange Server 2016 CU23 Mar24SU (build number 15.1.2507.37)

BSI ยังแนะนำให้จำกัดการเข้าถึงบริการเซิร์ฟเวอร์ Exchange ที่ใช้เว็บ เช่น Outlook Web Access เฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้น หรือ ใช้ VPN เพื่อเข้าถึงบริการเหล่านี้แทนการเปิดให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรง

นอกจากนี้เพื่อป้องกันการใช้ช่องโหว่ CVE-2024-21410 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ระดับ Critical ที่ Microsoft เปิดเผยออกมาเมื่อเดือนที่แล้ว ซึ่งต้องเปิดใช้ Extended Protection บนเซิร์ฟเวอร์ Exchange โดยใช้สคริปต์ PowerShell ที่ออกแบบมาเฉพาะ

ในเดือนกุมภาพันธ์ บริการตรวจสอบภัยคุกคาม Shadowserver แจ้งเตือนว่ามีเซิร์ฟเวอร์ Microsoft Exchange จำนวน 28,500 เครื่อง มีช่องโหว่ต่อการถูกโจมตีจากช่องโหว่ CVE-2024-21410 อย่างต่อเนื่อง นอกจากนี้ Shadowserver ยังยืนยันผลการวิจัยของ BSI โดยระบุว่ามีเซิร์ฟเวอร์มากถึง 97,000 เครื่อง ซึ่งรวมถึงกว่า 22,000 เครื่องในเยอรมนี อาจมีความเสี่ยงเนื่องจากไม่ได้เปิดใช้งาน Extended Protection

ตอนนี้ Microsoft ได้เปิดการใช้งาน Extended Protection อัตโนมัติบนเซิร์ฟเวอร์ Exchange หลังจากติดตั้งการอัปเดตประจำเดือนกุมภาพันธ์ 2024 H1 Cumulative Update (CU14)

Microsoft ยังแนะนำให้ผู้ดูแลระบบ Exchange ติดตั้งการอัปเดตความปลอดภัยอย่างเร่งด่วนบนเซิร์ฟเวอร์ on-premises เพื่อให้สามารถป้องกันการโจมตีที่อาจจะเกิดขึ้นได้

ที่มา : bleepingcomputer