ผู้เชี่ยวชาญเตือน PowerShell Backdoor
ที่ซ่อนอยู่ใน Windows Update
20 ตุลาคม 2565
Tomer Bar ผู้อำนวยการฝ่ายวิจัยด้านความปลอดภัยของ SafeBreach ได้กล่าวถึง เครื่องมือที่ถูกคิดค้น และพัฒนาขึ้นใหม่ โดยกลุ่มผู้โจมตีที่ไม่รู้จัก รวมถึงการใช้คำสั่ง (C2)
ผู้โจมตีมุ่งเป้าไปยังผู้ใช้งาน 100 ราย และเนื่องจากยังไม่ทราบว่าผู้โจมตีเป็นใคร ซึ่งพบแค่เพียงไฟล์เอกสาร Microsoft Word ที่ถูกอัปโหลดจากประเทศจอร์แดนเมื่อวันที่ 25 สิงหาคม 2565 ที่ผ่านมา
จากข้อมูลของทาง Meta พบว่าไฟล์ Microsoft Word นั้น เป็นจุดเริ่มต้นในการโจมตีแบบ spear-phishing บน LinkedIn-based และนำไปสู่การ execution ใน PowerShell script ผ่าน macro code ที่ถูกฝังไว้
ผู้โจมตีใช้ PowerShell script ตัวที่ 1 (Script1.ps1) เพื่อทำการเชื่อมต่อไปยัง remote command-and-control (C2) server หลังจากนั้นจะใช้ PowerShell script ตัวที่ 2 (temp.ps1) เพื่อเรียกใช้คำสั่งเปิดใช้งานบนเครื่องเป้าหมายที่ถูกโจมตี แต่ถ้าเกิดข้อผิดพลาดระหว่างดำเนินการผู้โจมตีจะเพิ่มรายละเอียดในชุดคำสั่งเพื่อเป็นการระบุผู้ใช้แต่ละรายเพิ่มเติม เช่น 0, 1, 2, ต่อท้าย ซึ่งชุดคำสั่งถูกสร้างขึ้นใหม่จาก (C2) server ซึ่งจะประกอบไปด้วยการกรอง process การทำงานต่างๆ, การแจกแจงไฟล์ที่อยู่ในโฟลเดอร์เฉพาะ, การเปิดใช้งาน whoami, และการลบไฟล์ที่อยู่ในโฟลเดอร์ผู้ใช้สาธารณะ
ผู้จำหน่ายผลิตภัณฑ์ด้านความปลอดภัยทั้งหมด 32 ราย และเครื่องมือป้องกัน anti-malware อีก 18 รายการ ได้จัดลำดับค่าสถานะต่างๆ ในเรื่องของความปลอดภัย รวมถึง PowerShell script ที่เป็นอันตรายตามลำดับที่ตรวจพบ
การค้นพบครั้งนี้เกิดขึ้นในขณะที่ทาง Microsoft ได้ดำเนินการตามขั้นตอนในการ block การใช้งาน Excel 4.0 (XLM หรือ XL4) และ Visual Basic ที่ใช้สำหรับ Application (VBA) macros ตามค่าเริ่มต้นของ Microsoft Office
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา