เมนู

พบแฮกเกอรใช้ไฟล์ PowerPoint ในการงมัลแวร์ Graphite

PTT Full

ช่องโหว่ CVE-2021-40444 รันโค้ดแบบใหม่โดยอาศัยการเคลื่อนไหวของเมาส์บน Slide ที่ใช้ Presentในเรียกใช้สคริปต์ PowerShell ที่เป็นอันตราย

1 ตุลาคม 2565

จากข่าวที่ได้มีการอัพเดทเพิ่มเติมในวันที่ 29 กันยายน 2565 ที่ผ่านมา ทาง Microsoft ได้ทำการแก้ไขช่องโหว่ในปี 2564 เรื่องของช่องโหว่ CVE-2021-40444 ในการป้องกันผู้ที่ไม่หวังดีใช้ประโยชน์จาก PowerPoint เมื่อทำการติดตั้ง Windows Updates เพื่อให้อุปกรณ์ของผู้ใช้มีความปลอดภัยมากขึ้น ล่าสุดกลุ่มแฮกเกอร์ในรัสเซีย ได้ใช้วิธีการใหม่โดยการรันโค้ดผ่านการเคลื่อนไหวของเมาส์ระหว่างการนำเสนอ PowerPoint เพื่อเรียกใช้สคริปต์ PowerShell ที่เป็นอันตราย

รายงานจากกลุ่ม Cluster25 ได้ออกมาระบุว่า APT28 (‘Fancy Bear’) ซึ่งเป็นกลุ่มแฮกเกอร์จาก Russian GRU (Main Intelligence Directorate of the Russian General Staff) ใช้เทคนิคการในการส่งมัลแวร์ที่มีชื่อว่า Graphite เมื่อวันที่ 9 กันยายน ที่ผ่านมา

ในการโจมตีกลุ่มแฮกเกอร์ใช้ไฟล์ PowerPoint ที่มีความเชื่องโยงระหว่าง Organization for Economic Co-operation and Development (OECD) ซึ่งเป็นหน่วยงานที่ทำงานร่วมกับรัฐบาลในการกระตุ้นทางเศรษฐกิจ และการค้าทั่วโลก ภายในไฟล์ PowerPoint มีสองสไลด์มีคำแนะนำเป็นภาษาอังกฤษ และฝรั่งเศสสำหรับใช้งานการประชุมทางวิดีโอของ Zoom ภายในไฟล์จะมีไฮเปอร์ลิงก์ที่ทำหน้าที่เป็นทริกเกอร์สำหรับการเรียกใช้สคริปต์ PowerShell ที่เป็นอันตรายผ่าน SyncAppvPublishingServer

    

ซึ่งเทคนิคการทำงานในเวอร์ชั่นแรกๆ ที่ได้มีการบันทึกไว้ตั้งแต่เดือนมิถุนายน 2560 โดยมีคำอธิบายจากนักวิจัยหลายคนในเรื่องของการทำงานต่างๆ แต่ไม่พบการทำงานของมาโครในเอกสารที่ถูกบันทึก (1234)

ข้อมูลจาก Meta ที่พบใน Cluster25 กลุ่มแฮกเกอร์ได้ทำการเตรียมขั้นตอนต่างๆในช่วงระหว่างเดือนมกราคม ถึงเดือนกุมภาพันธ์ ถึงแม้จะมีการพบ URL ที่ใช้ในการโจมตีในช่วงเดือนสิงหาคม และกันยายนก็ตาม

นักวิจัยกล่าวว่ากลุ่มผู้โจมตีมุ่งเป้าหมายไปตามหน่วยงานรักษาความปลอดภัย และภาครัฐของประเทศต่างๆ ในสหภาพยุโรป และยุโรปตะวันออก

ลักษณะการทำงานเมื่อผู้ใช้งานเองทำการเปิดเอกสาร PowerPoint ที่ใช้ในโหมด presentation และลากเมาส์ผ่านไฮเปอร์ลิงก์สคริปต์ PowerShell จะเริ่มการทำงาน โดยการดาวน์โหลดไฟล์ JPEG (“DSC0002.jpeg”) จากบัญชี Microsoft OneDrive

ในไฟล์ JPED ที่ทำการดาวน์โหลดมานั้นจะเป็นไฟล์ DLL (lmapi2.dll) ที่ถูกถอดรหัส และวางไว้ในไดร์ ‘C:\ProgramData\’ ซึ่งจะถูก Execute ในภายหลังผ่าน rundll32.exe ยังทำการสร้าง Registry เพื่อให้สามารถแฝงตัวอยู่บนระบบ

หลังจากนั้น lmapi2.dll จะทำการดึงข้อมูล และถอดรหัสไฟล์ JPEG ไฟล์ที่สอง และดาวน์โหลดลงในหน่วยความจำ ที่ถูกสร้างใหม่โดย DLL ก่อนหน้านี้ โดยทาง Cluster25 ได้ให้รายละเอียดเพิ่มเติมว่าในแต่ละไฟล์ที่ถูกดึงมาต้องงการคีย์ XOR ที่แตกต่างกันเพื่อใช้สำหรับการถอดรหัสซอร์สโค้ด ผลลัพธ์ที่ได้คือมัลแวร์ Graphite ในรูปแบบ portable executable (PE) ที่ใช้ Microsoft Graph API และ OneDrive เพื่อติดต่อสื่อสารไปยัง C2 Server ทำให้ผู้โจมตีสามารถเข้าถึง Service ได้โดยใช้ Fix Client ID เพื่อรับโทเค็น OAuth2

โทเค็น OAuth2 ใหม่ที่ได้รับมาจะทำการ Query ไปยัง Microsoft GraphAPIs ในการออกตรวจสอบไฟล์ย่อยต่างๆ ที่อยู่ใน OneDrive  และถ้าหากมีการตรวจพบไฟล์ใหม่ ข้อมูลจะถูกดาวน์โหลด และถอดรหัสผ่านโดย AES-256-CBC และสามารถเรียกใช้คำสั่งผ่านระยะไกลได้ โดยสร้างพื้นที่ใหม่ใน memory และเรียกใช้ Shellcode

จากการอัพเดตเมื่อวันที่ 29 กันยายน 2565 ที่ผ่านมา

ทาง BleepingComputer ได้ยืนยันว่าทาง Microsoft ได้แก้ไขข้อผิดพลาดที่เกิดขึ้นของ PowerPoint ที่ได้มีการอธิบายไว้ในการโจมตีครั้งนี้ แต่ไม่มีใครระบุว่าเหตุการณ์ที่เกิดขึ้นได้รับการแก้ไขแล้ว

หลังจากเผยแพร่ข่าวนี้ได้ไม่นานทาง BleepingComputer ได้รับการติดต่อจาก Will Dormann ซึ่งได้พูดถึงเอกสารที่ได้ดาวน์โหลดจากอินเตอร์เน็ต หรือโปรแกรมที่ใช้สำหรับรับส่งอีเมลจะมีข้อความแสดงจากทาง Microsoft เมื่อเวลาเปิดเอกสารจะได้รับคำแจ้งเตือนเกี่ยวกับความปลอดภัยในการเลื่อนเมาส์

แม้ว่าจะยังไม่มีการชี้แจงจากทาง Microsoft ในการแก้ไขปัญหาที่เกิดขึ้น สำหรับการอัพเดทช่องโหว่ CVE-2021-40444 จะช่วยป้องกันไม่ให้เกิดปัญหาในเรื่องของการถูกใช้ URIS สำหรับช่องโหว่นี้ ดังนั้นถ้าเกิดผู้ใช้งานทำการอัพเดทความปลอดภัยของ Windows เรียบร้อยแล้วก็จะไม่ได้รับผลกระทบจากเหตุการณ์ที่เกิดขึ้น