Lazarus Group กลับมาพร้อม กับมัลแวร์ RemotePE เล็งเข้าโจมตีบรรษัทการเงินทั่วโลก

Lazarus Group กลับมาพร้อม กับมัลแวร์ RemotePE เล็งเข้าโจมตีบรรษัทการเงินทั่วโลก

จากรายงานโดยเว็บไซต์ SCWorld ได้กล่าวถึงการตรวจพบการกลับมาของกลุ่มแฮกเกอร์จากประเทศเกาหลีเหนือ Lazarus Group พร้อมกับมัลแวร์ตัวใหม่ RemotePE ซึ่งเป็นมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) โดยทีมวิจัย Fox-IT ซึ่งเป็นส่วนหนึ่งของบริษัทด้านความปลอดภัยไซเบอร์ระดับชั้นนำ NCC Group ทางทีมวิจัยได้ระบุว่า แคมเปญของกลุ่ม Lazarus Group ในครั้งนี้นั้นได้มุ่งเน้นการโจมตีไปยังธุรกิจกลุ่มบรรษัทการเงิน และ กลุ่มบริษัทด้านคริปโตเคอร์เรนซีเป็นพิเศษ

สำหรับในขั้นตอนการแพร่กระจายตัวมัลแวร์เข้าสู่ระบบนั้น จะใช้วิธีการฝังตัวแบบหลากชั้น (Multi-Stages Infection) ด้วยการใช้งานมัลแวร์นกต่อ (Loader) ถึง 2 ตัว นั่นคือ DPAPILoader และ RemotePELoader โดยตัว DPAPILoader นั้น จะใช้ในการถอดรหัส (Decryption) และ โหลดตัวมัลแวร์ RemotePELoader อีกทีด้วยการใช้งาน Windows Data Protection API ซึ่งหลังจากที่มัลแวร์ RemotePELoader ได้ถูกโหลดขึ้นมาแล้ว ตัวมัลแวร์ก็จะติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อดาวน์โหลดมัลแวร์ตัวจริง RemotePE ลงมารันบนหน่วยความจำโดยตรง (In-Memory Execution)

ความสามารถของตัวมัลแวร์ตัวนี้นั้นเรียกได้ว่าหลากหลายมาก เพราะสามารถรับคำสั่ง (Command) หลากประเภทจากเซิร์ฟเวอร์ C2 โดยครอบคลุมตั้งแต่ การจัดการไฟล์บนเครื่องของเหยื่อ (File Operation), การเข้าครอบงำ Process (Process Manipulation), และ การจัดการตัวเอง (Self-Management) ไม่เพียงเท่านั้นตัวมัลแวร์ยังมีฟีเจอร์ในการใช้วิธีการลบไฟล์หลากหลายรูปแบบ เช่น การเขียนทับไฟล์เดิมหลาย ๆ ครั้งก่อนที่จะลบไฟล์ อีกด้วย นอกจากนั้นตัวมัลแวร์ยังใช้หลากเทคนิคในการหลบเลี่ยงการตรวจจับ เช่น การแพทช์ฟีเจอร์ติดตามเหตุการณ์ของตัว Windows หรือ Event Tracing for Windows (ETW) ทำให้ไม่สามารถติดตามความเคลื่อนไหวของมัลแวร์บนระบบได้ และ การใช้เทคนิค Hell's Gate เพื่อหลบเลี่ยงระบบการตรวจจับบนเครื่องมือปลายทาง (EDR หรือ Endpoint Detection and Response) อีกด้วย