เมนู

EMOTET โจมตีเป้าหมายด้วยชุดคำสั่ง PowerShell ในไฟล์ Shortcut

Emotet(1040)

EMOTET โจมตีเป้าหมายด้วยชุดคำสั่ง PowerShell ในไฟล์ Shortcut

 28 เมษายน 2565

💻 EMOTET เปลี่ยนมาใช้ไฟล์ (.LNK) ซึ่งบรรจุชุดคำสั่ง PowerShell ทำการโจมตีไปยังเครื่องคอมพิวเตอร์ต่างๆ แทนการใช้คำสั่ง Macro ของ Microsoft Office ซึ่งถูกปิด (Disable) การใช้งานเป็นค่าเริ่มต้น 🔁
 
📂 ในการใช้ไฟล์ที่เป็น .LNK ไม่ใช่เรื่องที่แปลกใหม่ เพราะนอกจากกลุ่ม EMOTET ก่อนหน้านี้ก็เคยมีการนำมาใช้งานร่วมกับโค้ด Visual Basic Script (VBS) เพื่อเป็นการสร้างไฟล์คำสั่งที่ใช้ในการติดตั้งหรือดาวน์โหลด แต่ในการทำงานครั้งนี้เป็นการรันคำสั่งโดยตรงผ่าน Windows Shortcut 🎞
 
🤔 อย่างไรก็ตามในขณะที่ไฟล์ Shortcut ที่แพร่กระจายออกไปมีชื่อไฟล์ที่แตกต่างกัน ทำให้เกิดความล้มเหลวในการสร้างไฟล์ VBS ได้อย่างถูกต้อง ซึ่งได้รับการแก้ไขนี้ไปเมื่อวาน
 
⏰ จึงเปลี่ยนไปคำสั่ง PowerShell ที่แนบมากับไฟล์เพื่อใช้ในการดาวน์โหลด และรันสคริปต์ผ่านเครื่องคอมพิวเตอร์ที่ถูกโจมตี รวมถึงเพิ่มช่องว่างต่อท้ายไฟล์ (.LNK) เพื่อทำให้เกิดความสับสน และไม่ตกเป็นเป้าหมายของกล่องตรวจจับ
 
⏳EMOTET ได้เปลี่ยนไปใช้เทคนิคในการโจมตีรูปแบบใหม่ โดยใช้คำสั่ง PowerShell ที่แนบไปกับไฟล์ LNK ที่จะดาวน์โหลดและรันสคริปต์คำสั่งบนเครื่องเป้าหมาย โดยทำให้เกิดความสับสนและเห็นเป็นค่าว่างซึ่งจะไม่แสดงในช่อง Target (รูปประกอบ) ของ File’s Properties
 
🚫 ในส่วนของไฟล์ (.LNK) ที่เป็นอันตรายจะมีการเพิ่ม URL ของเว็บไซต์ต่างๆที่ถูกบุกรุก เพื่อใช้ในการรันสคริปต์ PowerShell หากพบว่าอยู่ในรายการ หรือตำแหน่งที่กำหนดไว้แล้วจะถูกดาวน์โหลดไปยังโฟลเดอร์ชั่วคราวในรูปแบบ PowerShell พร้อมใช้ไฟล์ชื่อแบบสุ่ม
 
🧑‍💻 กลุ่มนักวิจัย Cryptolaemus ได้มีการติดตามกิจกรรม EMOTET อย่างต่อเนื่องรวมถึงสังเกตุการทำงานใหม่ๆ เพื่อเป็นป้องกัน และเฝ้าระวังรวมถึงการตรวจจับโดยอัตโนมัติ
 
🕵️‍♀️ท้ายที่สุด ESET ได้ออกมาเปิดเผยว่าประเทศที่ได้รับผลกระทบจาก EMOTET ได้แก่ แม๊กซิโก อิตาลี่ ญี่ปุ่น ตุรกี และแคนาดา