แฮกเกอร์ใช้สคริปท์ Microsoft Management Console เพื่อฝังมัลแวร์ MysterySnail RAT ลงบนระบบ Windows
MMC หรือ Microsoft Management Console เป็นเครื่องมือที่เรียกว่าสร้างความสะดวกให้กับผู้ดูแลระบบ ให้สามารถจัดการในส่วนของการควบคุมระบบ และเซิร์ฟเวอร์ได้อย่างง่ายดายยิ่งขึ้น แต่เครื่องมือที่ดูสารพัดประโยชน์นี้ก็มักจะถูกนำไปใช้งานในการกระจายมัลแวร์อยู่เสมอเช่นเดียวกัน
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการที่แฮกเกอร์ได้ค้นพบช่องโหว่บนเครื่องมือ MMC ที่สามารถนำมาใช้งานเพื่อรันสคริปท์ ฝังมัลแวร์ประเภทเข้าควบคุมระบบจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า MysterySnailRAT โดยทางทีมวิจัยจาก Kaspersky บริษัทผู้พัฒนาเครื่องมือแอนตี้ไวรัสยอดนิยม
โดยการแพร่กระจายของมัลแวร์ดังกล่าวนั้นเป็นฝีมือของกลุ่มแฮกเกอร์จากจีนที่มีชื่อว่า IronHusky โดยการโจมตีที่ทางทีมวิจัยยกตัวอย่างมานั้นเป็นการโจมตีที่เกิดขึ้นในประเทศมองโกเลีย ซึ่งจะเริ่มต้นจากการที่แฮกเกอร์ส่งอีเมลแบบ Phishing พร้อมไฟล์สคริปท์ MMC ปลอมตัวเป็นเอกสารที่แอบอ้างว่ามาจากกรมที่ดินแห่งประเทศมองโกเลีย (Mongolia’s National Land Agency หรือ ALAMGAC) ซึ่งถ้าเหยื่อเผลอกดรันไฟล์ดังกล่าว ก็จะนำไปสู่การฝังมัลแวร์ลงเครื่องโดยการอาศัยขั้นตอนหลายชั้น (Multi-Stage Infection) โดยเริ่มจากการดาวน์โหลดไฟล์ .Zip ที่ภายในมีไฟล์ติดตั้งมัลแวร์ (Payload) ตัวที่ 2 ลงมาจาก file[.]io พร้อมกับไฟล์ .DOCX ของจริงที่ทำหน้าที่เป็นตัวล่อลวงเหยื่อว่าไม่มีอะไรพิเศษเกิดขึ้น ซึ่งการคลายไฟล์นั้น ตัวไฟล์จะตกไปอยู่ในโฟลเดอร์ที่ถูกกำหนดโดยมัลแวร์มาก่อนแล้ว อย่างเช่น
%AppData%CiscoPluginsX86binetcUpdate
หลังจากนั้นตัวมัลแวร์จะทำการรันแอปที่มีชื่อว่า CiscoCollabHost.exe ซึ่งเป็นแอปพลิเคขันสำหรับการจัดการโฮสต์ของ Cisco ขึ้นมาทำการรันไฟล์ DLL ที่ถูกดาวน์โหลดตามมาภายหลัง (DLL Sideloading) โดย DLL นี้ภายในจะเป็นตัวมัลแวร์ ซึ่งตัว DLL จะมีชื่อที่สอดคล้องกับตัวแอป นั่นคือ CiscoSparkLauncher.dll ซึ่งหลังจากที่ฝังมัลแวร์ลงได้สำเร็จแล้ว ตัวมัลแวร์จะทำการดัดแปลงในส่วนของ Registry เพื่อรับประกันว่า ตัวมัลแวร์จะสามารถคงทนทำงานอยู่บนตัวระบบได้ตลอดเวลา (Persistence) ในขณะเดียวกัน ตัวมัลแวร์จะทำการเปิดไฟล์เอกสารปลอมขึ้นมาอย่างอัตโนมัติ เพื่อให้เหยื่อชะล่าใจ
ในส่วนของการทำงานของมัลแวร์นั้น ทางทีมวิจัยยังได้พบถึงวิธีการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่ถูกตั้งอยู่ที่j https://ppng[.]io ด้วยวิธีการเปิดประตูหลังของระบบ (Backdoor) แล้วใช้งานเครื่องมือ Open Source ที่ถูกเรียกว่า เป็นการติดต่อด้วยระบบท่อสู่เซิร์ฟเวอร์ (Pipping-Server) ในส่วนของ Backdoor นี้เอง ทางทีมวิจัยยังตรวจพบระบบการป้องกันการถูกวิเคราะห์ (Anti-Analysis) โดยในส่วนนี้จะมีการบรรจุข้อมูลของ Windows API ไว้บนไฟล์ต่างหากที่มีชื่อว่า logMYFC.log ซึ่งจะถูกเข้ารหัสไว้ด้วยเทคนิคแบบ XOR Cipher โดยตัวไฟล์จะถูกมัลแวร์เปิดขึ้นมาใช้งานทุกครั้งในช่วงที่มัลแวร์กำลังทำงาน (Runtime)
นอกจากนั้นแล้วทางทีมวิจัยยังได้เปิดเผยถึง คำสั่งที่เซิร์ฟเวอร์ C2 ใช้ในการสั่งงานมัลแวร์ดังส่วน ดังต่อไปนี้
- RCOMM: รัน command shells.
- FSEND: ดาวน์โหลดไฟล์จาก from C2.
- FRECV: อัปโหลดไฟล์ไปยัง C2.
- FEXEC: สร้าง process ใหม่
- FDELE: ลบไฟล์
คำสั่งเหล่านี้ถึงจำนวนจะดูเล็กน้อย แต่ก็เป็นพัฒนาการที่เปลี่ยนแปลงไปจากเวอร์ชันดั้งเดิมที่ออกมาในช่วง ค.ศ. 2021 (พ.ศ. 2564) ที่ในเวอร์ชันดังกล่าวมัลแวร์จะเป็นตัวมัลแวร์เดี่ยว ที่มีการใช้งานคำสั่งถึง 40 คำสั่ง แต่เวอร์ชันปัจจุบันนั้นกลับเป็นการทำงานในรูปแบบโมดูล (Module) ที่ตัวมัลแวร์จะทยอยดาวน์โหลดไฟล์ DLL ที่ทำหน้าที่เป็นโมดูลในการทำงานต่าง ๆ ของมัลแวร์ลงมา อย่างเช่น
- BasicMod.dll: สำหรับการจัดการรายชื่อไดร์ฟ, จัดการการลบไฟล์, และ จัดการระบบตรวจสอบลายนิ้วมือ (System Fingerprinting)
- ExplorerMoudleDll.dll: จัดการด้านการอ่านไฟล์, การดูแลจัดการบริการ (Service) ต่าง ๆ, และ การสร้าง Process
- Process.dll: ระบุรายชื่อและปิดการทำงานของ process ต่าง ๆ ที่กำลังรันอยู่.
- cmd.dll: สร้าง Process และ Command Shells.
- tcptran.dll: จัดการด้านการติดต่อกับเครือข่าย
➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv