14/11/2565

กลุ่มผู้ไม่ประสงค์ดีชื่อ "Worok" ซ่อน Malware ภายในรูปภาพ PNG เพื่อแพร่กระจาย และขโมยข้อมูลจากเครื่องของเหยื่อ โดยไม่ทำให้ถูกตรวจจับได้จากซอฟแวร์ด้านความปลอดภัย

 

    เหตุการณ์ดังกล่าวได้รับการยืนยันจากผู้เชี่ยวชาญด้านความปลอดภัยของ Avast ซึ่งนำข้อมูลอ้างอิงที่ได้จากการค้นพบ Malware ครั้งแรกเมื่อต้นเดือนกันยายน 2022 โดย ESET เคยเตือนว่ากลุ่ม Worok มุ่งเป้าไปยังเหยื่อระดับสูง ซึ่งรวมถึงหน่วยงานของรัฐบาลในตะวันออกกลาง เอเชียตะวันออกเฉียงใต้ และแอฟริกาใต้
รายงานของ Avast ซึ่งอ้างอิงจากหลักฐานที่ได้จากการวิเคราะห์การโจมตีของกลุ่ม Worok ซึ่งยืนยันสมมติฐานของ ESET เกี่ยวกับพฤติกรรมของการใช้ไฟล์ PNG และข้อมูลใหม่ของ Malware เพย์โหลด รวมไปถึงวิธีการในการขโมยข้อมูลออกไป

การซ่อน Malware ในไฟล์ PNG
    แม้ยังไม่ทราบถึงวิธีการในการเจาะเข้าสู่เครือข่าย แต่ Avast เชื่อว่า Worok มีแนวโน้มที่จะใช้วิธีการ DLL sideloading เพื่อรัน Malware CLRLoader ลงในหน่วยความจำ อ้างอิงจากหลักฐานจากเครื่องที่ถูกโจมตี ซึ่งผู้เชี่ยวชาญด้านความปลอดภัยของ Avast พบ DLL สี่ตัวที่มีรหัส CLRLoader ถัดมา CLRLoader จะทำการโหลด DLL ถัดไป (PNGLoader) ซึ่งถูกแยกส่วน และฝังอยู่ในไฟล์ PNG จากนั้นจะนำไปสู่การเรียกใช้งานไฟล์ติดตั้ง 2 ไฟล์


การซ่อน Payload ใน PNGs
    teganography คือการซ่อนโค้ดภายในไฟล์ภาพที่ดูเหมือนปกติเมื่อถูกเปิดในโปรแกรมดูรูปภาพ ในเคสของ Worok, Avast ระบุว่าผู้โจมตีใช้เทคนิคที่เรียกว่า "least significant bit (LSB) encoding" ซึ่งใช้การฝัง code ที่เป็นอันตรายขนาดเล็กลงในบิตที่มีความสำคัญน้อยที่สุดในพิกเซลของภาพ


   Payload แรกที่แยกจากบิตเหล่านั้นโดย PNGLoader คือ PowerShell script ที่ทั้ง ESET และ Avast ไม่สามารถดึงข้อมูลออกมาได้
  Payload ที่สองที่ซ่อนอยู่ในไฟล์ PNG คือ .NET C# info-stealer (DropBoxControl) ที่ถูกสร้างขึ้นเอง และใช้ DropBox เป็น C2 server, เก็บข้อมูลที่ถูกขโมยออกมา และอื่น ๆ


คำสั่งที่กำหนดไว้มีดังนี้:
  • เรียกใช้ "cmd /c" ด้วยพารามิเตอร์ที่กำหนด
  • ดำเนินการ หรือรันด้วยพารามิเตอร์ที่กำหนด
  • ดาวน์โหลดข้อมูลจาก DropBox ไปยังอุปกรณ์
  • อัปโหลดข้อมูลจากอุปกรณ์ไปยัง DropBox
  • ลบข้อมูลในระบบของเหยื่อ
  • เปลี่ยนชื่อข้อมูลในระบบของเหยื่อ
  • แยกข้อมูลไฟล์จากไดเร็กทอรีที่กำหนด
  • ตั้งค่าไดเร็กทอรีใหม่สำหรับแบ็คดอร์
  • ดึงข้อมูลระบบ
  • อัปเดตการตั้งค่าของแบ็คดอร์
  Function เหล่านี้บ่งชี้ว่า Worok เป็นกลุ่มอาชญากรทางอินเทอร์เน็ตที่เน้นไปที่การขโมยข้อมูล และพยายามเจาะไปยังระบบอื่น ๆ บนเครือข่ายของเหยื่อ และแอบแฝงตัวอยู่บนระบบที่ถูกโจมตี
  Avast ระบุว่าเครื่องมือที่ถูกใช้โดย Worok นั้นไม่ได้ถูกนำมาใช้อย่างแพร่หลาย ดังนั้นจึงมีแนวโน้มว่าเครื่องมือเหล่านี้จะถูกสร้างขึ้นมา และนำใช้ภายในกลุ่มดังกล่าวเท่านั้น

ที่
ป้ายกำกับ: ,

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)