เมนู

ผู้เชี่ยวชาญเตือน PowerShell Backdoor
ที่ซ่อนอยู่ใน
Windows Update

virus FULL

พบรายละเอียด PowerShell Backdoor ที่ไม่มีข้อมูล และยังตรวจสอบไม่พบ ซึ่งก่อนหน้านี้ได้แฝงตัวอยู่ในกระบวนการ Windows Update

20 ตุลาคม 2565

Tomer Bar ผู้อำนวยการฝ่ายวิจัยด้านความปลอดภัยของ SafeBreach ได้กล่าวถึง เครื่องมือที่ถูกคิดค้น และพัฒนาขึ้นใหม่ โดยกลุ่มผู้โจมตีที่ไม่รู้จัก รวมถึงการใช้คำสั่ง (C2)  

ผู้โจมตีมุ่งเป้าไปยังผู้ใช้งาน 100 ราย และเนื่องจากยังไม่ทราบว่าผู้โจมตีเป็นใคร ซึ่งพบแค่เพียงไฟล์เอกสาร Microsoft Word ที่ถูกอัปโหลดจากประเทศจอร์แดนเมื่อวันที่ 25 สิงหาคม 2565 ที่ผ่านมา

จากข้อมูลของทาง Meta พบว่าไฟล์ Microsoft Word นั้น เป็นจุดเริ่มต้นในการโจมตีแบบ spear-phishing บน LinkedIn-based และนำไปสู่การ execution ใน PowerShell script ผ่าน macro code ที่ถูกฝังไว้

ผู้โจมตีใช้ PowerShell script ตัวที่ 1 (Script1.ps1) เพื่อทำการเชื่อมต่อไปยัง remote command-and-control (C2) server หลังจากนั้นจะใช้ PowerShell script ตัวที่ 2 (temp.ps1) เพื่อเรียกใช้คำสั่งเปิดใช้งานบนเครื่องเป้าหมายที่ถูกโจมตี แต่ถ้าเกิดข้อผิดพลาดระหว่างดำเนินการผู้โจมตีจะเพิ่มรายละเอียดในชุดคำสั่งเพื่อเป็นการระบุผู้ใช้แต่ละรายเพิ่มเติม เช่น 0, 1, 2, ต่อท้าย ซึ่งชุดคำสั่งถูกสร้างขึ้นใหม่จาก (C2) server ซึ่งจะประกอบไปด้วยการกรอง process การทำงานต่างๆ, การแจกแจงไฟล์ที่อยู่ในโฟลเดอร์เฉพาะ, การเปิดใช้งาน whoami, และการลบไฟล์ที่อยู่ในโฟลเดอร์ผู้ใช้สาธารณะ

ผู้จำหน่ายผลิตภัณฑ์ด้านความปลอดภัยทั้งหมด 32 ราย และเครื่องมือป้องกัน anti-malware อีก 18 รายการ ได้จัดลำดับค่าสถานะต่างๆ ในเรื่องของความปลอดภัย รวมถึง PowerShell script ที่เป็นอันตรายตามลำดับที่ตรวจพบ

การค้นพบครั้งนี้เกิดขึ้นในขณะที่ทาง Microsoft ได้ดำเนินการตามขั้นตอนในการ block การใช้งาน Excel 4.0 (XLM หรือ XL4) และ Visual Basic ที่ใช้สำหรับ Application (VBA) macros ตามค่าเริ่มต้นของ Microsoft Office