พบโทรจันใช้ TeamViewer เจาะระบบเข้าเครือข่ายรัฐบาลในหลายประเทศ!
ผู้เชี่ยวชาญจาก Check Point ได้ออกเปิดมาเผยข้อมูลว่ามีการตรวจพบแฮคเกอร์แอบใช้โปรแกรมรีโมตหน้าจอที่ชื่อ TeamViewer ในการเจาะระบบเข้าสู่เครือข่ายรัฐบาลในหลายประเทศอันได้แก่ เนปาล กายอานา เคนย่า อิตาลี ไลบีเรีย เบอร์มิวดา และ เลบานอน
โดยใช้เทคนิค DLL Side-loading ด้วยการปลอมแปลงเอกสาร XLSM ให้เป็นเอกสารลับสุดยอดของสหรัฐอเมริกามีโลโก้ของกระทรวงการต่างประเทศสหรัฐฯ และถูกทำเครื่องหมายเป็นความลับสุดยอด ที่ฝัง Embedded Macro และส่งเป็น Spam Email โดยใช้ชื่อหัวข้อเรื่องอีเมลว่า Military Financing Program เพื่อล่อลวงให้เหยื่อหลงเชื่อ
และเมื่อเปิดไฟล์เอกสาร และ Enable Macro จะมีการไป Extract ไฟล์มาเพิ่ม 2 ตัวคือ AutoHotkeyU32.exe ซึ่งเป็นโปรแกรมที่ถูกต้องปกติ และอีกตัวคือ AutoHotkeyU32.ahk ที่เป็นสคิร์ปต์ไว้ใช้คุยกับเซิร์ฟเวอร์ C&C เพื่อดาวน์โหลดสคิร์ปต์อื่นๆ เข้ามาปฏิบัติการเพิ่มเติมในการดาวน์โหลดและดำเนินการตรวจสอบการวิจัยด้านความปลอดภัยจุดของการค้นพบ
หลังจากนั้นแฮ็กเกอร์จะทำการโหลดสคิร์ปต์ .ahk 3 ตัว ได้แก่ hscreen.ahk ที่ทำหน้าที่จับภาพหน้าจอเหยื่อและอัปโหลดข้อมูลกลับไปหาเซิร์ฟเวอร์ hinfo.ahk ทำหน้าที่ส่ง Username และข้อมูลเครื่องเหยื่อกลับไปหาเซิร์ฟเวอร์ และ htv.ahk ทำหน้าที่โหลด TeamViewer เวอร์ชันอันตราย รวมถึง Execute และส่ง Credential Login กลับไปหาเซิร์ฟเวอร์
เพียงเท่านี้ก็ทำให้แฮ็กเกอร์สามารถเข้าถึงเครือข่ายรัฐบาลได้แล้ว แต่ด้วยเทคนิค DLL side-loading แฮ็กเกอร์ยังสามารถเพิ่มความสามารถให้ TeamViewer ได้อีกด้วย เช่น ซ่อนหน้าอินเทอร์เฟสของแอพพลิเคชันจากผู้ใช้งาน บันทึก Credentials ของเซสชันปัจจุบันไปยังไฟล์ Text และอนุญาตการย้ายและ Execute ไฟล์ exe และ dll อื่นๆ
อย่างไรก็ตาม การโจมตีนี้ดูเหมือนจะเป็นการโจมตีที่คิดเอาไว้อย่างดี ซึ่งเลือกเหยื่อผู้เคราะห์ร้ายจำนวนหนึ่งอย่างระมัดระวัง และใช้เนื้อหาล่อที่ออกแบบมาให้เหมาะสมกับผลประโยชน์ของกลุ่มเป้าหมาย ซึ่งคาดว่าน่าจะเป็นฝีมือของแฮ็กเกอร์รัสเซีย
อีกทั้งเจ้า DLL เป็นอันตรายมากมันสามารถช่วยให้ผู้โจมตีสามารถส่งข้อมูลเพิ่มเติมไปยังเครื่องที่ถูกบุกรุกและเรียกใช้งานจากระยะไกลได้ เนื่องจากเราไม่สามารถหาส่วนของข้อมูลดังกล่าวและรู้ว่ามันมีฟังก์ชั่นอื่น ๆ นอกเหนือจากที่มีอยู่ใน DLL และก็ไม่ทราบความตั้งใจที่แท้จริงของการโจมตีในครั้งนี้ด้วย เบื้องต้นจากการสอบสวนเหยื่อคาดว่าผู้โจมตีมีแรงจูงใจในเรื่องของการเงิน
Credit : checkpoint
You may also like
ค้นหาข่าวสารที่คุณสนใจได้ที่นี่
เรื่องล่าสุด
- ระวัง! “Nudify” แอป AI ลบเสื้อผ้าได้ ใช้เปลื้องผ้าผู้คนจากภาพถ่าย!! 29 ธันวาคม, 2023
- หลังจาก YouTube แบน Ad Blocker หลายคน Uninstall แต่หลายคน Install เยอะขึ้น 21 พฤศจิกายน, 2023
- Apple กำลังพัฒนา Search Engine เป็นของตัวเอง จะสู้ Google ได้หรือไม่! 5 ตุลาคม, 2023
- Facebook เปิดตัวโลโก้ใหม่ เปลี่ยนจนที่ใครๆต้องร้องว้าว! 25 กันยายน, 2023
- YouTube บล็อคไม่ให้เล่นคลิปแล้ว หากใช้ Ad Blocker กีดกันโฆษณาบนเบราว์เซอร์ 18 กันยายน, 2023
Facebook Comments