เตือนผู้ใช้ Windows ให้ระวังแคมเปญ Dead#Vax โจมตีระบบด้วยมัลแวร์แบบ Fileless

เตือนผู้ใช้ Windows ให้ระวังแคมเปญ Dead#Vax โจมตีระบบด้วยมัลแวร์แบบ Fileless

การโจมตีแบบ Fileless หรือ การโจมตีแบบไร้ไฟล์ คือ การโหลดมัลแวร์ลงไปในหน่วยความจำโดยตรง (In-Memory) ทำให้เครื่องมือตรวจจับมัลแวร์ส่วนใหญ่ไม่สามารถตรวจจับได้นั้น ได้กลายมาเป็นที่นิยมมากขึ้นในปัจจุบัน ทำให้โลกไซเบอร์นั้นเรียกได้ว่ามีอันตรายมากกว่าที่เคยเป็น และนี่ก็เป็นอีกแคมเปญหนึ่งที่ควรระวังอย่างยิ่งเนื่องจากได้มีการนำเอาวิธีการดังกล่าวเข้ามาใช้งาน

จากรายงานโดยเว็บไซต์ Siliconangle ได้กล่าวถึงการที่ทางทีมวิจัยจากบริษัท Securonix Inc. ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ได้ตรวจพบแคมเปญ Dead#Vax ซึ่งเป็นแคมเปญการปล่อยมัลแวร์ที่มีการประสานกลยุทธ์หลายอย่างเข้าด้วยกันไม่ว่าจะเป็น การใช้วิธีการหลอกลวงแบบการทำวิศวกรรมทางสังคม (Social Engineering), การใช้ไฟล์ Disc Image ในเชิงลบ และการโหลดไฟล์มัลแวร์ (Payload) ลงบนหน่วยความจำโดยตรง ซึ่งทั้งหมดนี้จะนำพาไปสู่การปล่อย Payload ตัวสุดท้ายเป็นมัลแวร์สำหรับการเข้าควบคุมระบบจากระยะไกล (RAT หรือ Remote Access Trojan) ที่มีชื่อว่า AsyncRAT ลงบนเครื่องของเหยื่อ

ซึ่งแคมเปญการโจมตีจะเริ่มต้นจากการส่งอีเมลหลอกลวงเหยื่อแบบ Phishing ที่มีการหลอกลวงเหยื่อให้ไว้วางใจกดลิงก์ที่แฮกเกอร์ส่งมาให้ ซึ่งลิงก์ดังกล่าวนั้นจะนำไปสู่การดาวน์โหลดไฟล์จำลองฮาร์ดดิสก์ (Virtual Hard Disk) ที่ถูกโฮสต์ไว้บนระบบของ InterPlanetary File System (IPFS) โดยการใช้ไฟล์ในรูปแบบดังกล่าวนั้นจะช่วยให้ไฟล์มัลแวร์สามารถเล็ดลอดระบบการกลั่นกรองอีเมล (Email Gateway) ไปได้อย่างง่ายดาย ซึ่งหลังจากที่เหยื่อได้ดาวน์โหลด และทำการเชื่อมต่อไฟล์จำลองดังกล่าวกับระบบ (Mount) ตัวไฟล์ Image ดังกล่าวก็จะมีสภาพเหมือนกับไดร์ฟบนเครื่อง (Local Drive) ทำให้สามารถเล็ดลอดระบบป้องกันแบบ Mark-of-the-Web (MOTW หรือฟีเจอร์ป้องกันไฟล์ที่ดาวน์โหลดมาจากแหล่งที่ไม่น่าเชื่อถือ)

หลังจากที่เหยื่อได้ทำการเปิดไดร์ฟจำลองดังกล่าวขึ้นมา ก็จะนำไปสู่ห่วงโซ่ของการฝังตัวของมัลแวร์ (Infection Chain) ที่ทุกขั้นตอนนั้นมีการออกแบบไว้อย่างดีเพื่อให้ดูไม่มีพิษมีภัย และตรวจจับได้ยาก ในขณะที่สคริปท์ต่าง ๆ ที่อยู่ภายในพยายามที่จะประกอบโค้ดขึ้นเป็น Payload (Reconstruction) ทีละตัวขึ้นมาอย่างเงียบ ๆ โดยเริ่มต้นจากสคริปท์ของ Windows ในรูปแบบไฟล์ Batch (.Bat) ที่มีการใช้ตรรกะการประมวลผลด้วยตนเอง (Self-Parsing Logic) ด้วยการอ่านไฟล์ที่เกี่ยวข้องเพื่อถอดรหัส (Decryption) ออกมาด้วยตนเอง ในขณะที่สคริปท์ PowerShell ใช้การตีรวนระบบแบบหลายชั้น (Multi-Layers Obfuscation) เพื่อก่อกวนระบบตรวจจับ ด้วยวิธีการต่าง ๆ เช่น การใช้โค้ดแบบ Unicode สร้างมลพิษ (Unicode Pollution), การเข้ารหัสแบบ Base64, การสลับตัวอักษร (Character Shifting) เพื่อซ่อนค่าสตริงที่สำคัญเป็นต้น

และในขั้นตอนท้ายสุด ตัวมัลแวร์นกต่อ (Loader) ก็จะใช้เครื่องมือที่อยู่บน Windows (Native Windows Application) เช่น OpenProcess, VirtualAllocEx, และ CreateRemoteThread เพื่อทำการยิง (Inject) Shellcode ที่ถูกเข้ารหัสแบบ x64 เข้าไปยัง Process ที่มีความน่าเชื่อถือ เช่น OneDrive.exe หรือ RuntimeBroker.exe ซึ่งถือว่าเป็นการยิงโค้ดลงบนหน่วยความจำโดยตรงโดยไม่ทิ้งร่องรอยไว้บนฮาร์ดดิสก์ทำให้สามารถถูกตรวจจับได้ยาก หลังจากนั้นโค้ดดังกล่าวก็จะถูกถอดรหัสออกมาเป็นมัลแวร์ AsyncRAT ในท้ายที่สุด

สำหรับมัลแวร์ AsyncRAT นั้น เป็นมัลแวร์ที่มีความสามารถที่หลากหลาย ไม่ว่าจะเป็นการขโมยรหัสผ่านต่าง ๆ, ความสามารถในการสอดแนมเครื่องของเหยื่อ, ความสามารถในการลักลอบขโมยข้อมูล (Data Exfiltration) และการปล่อยมัลแวร์ตัวอื่น ๆ ลงมาบนเครื่องของเหยื่อ