"Harvester" อัปเกรดอาวุธ! ส่งมัลแวร์ข้ามฝั่งมาเจาะระบบ Linux โดยเฉพาะ

 

กลุ่มแฮกเกอร์สายจารกรรมข้อมูลตัวแสบอย่าง "Harvester" เริ่มขยับตัวอีกครั้งครับ ล่าสุดมีการตรวจพบว่าพวกเขาพัฒนาแบ็คดอร์ (Backdoor) ตัวเก่งที่ชื่อว่า GoGra จากเดิมที่เน้นเล่นงานฝั่ง Windows ตอนนี้พี่แกขยายฐานการโจมตีมายังระบบ Linux เป็นที่เรียบร้อยแล้ว โดยเป้าหมายหลัดูเหมือนจะเป็นหน่วยงานในอินเดียและอัฟกานิสถานครับ

เนียนจัด ใช้ Microsoft Graph API บังหน้า

สิ่งที่ทำให้เจ้ามัลแวร์ตัวนี้ "แสบ" เป็นพิเศษคือวิธการสื่อสารครับ มันไม่ได้ส่งข้อมูลกลับหาแฮกเกอร์ตรงๆ แบบที่ระบบป้องกันทั่วไปจะจับได้ แต่มันเลือกใช้ Microsoft Graph API และช่องทางของ Outlook เป็นทางผ่าน (C2 Channel) ทำให้การรับส่งคำสั่งดูเหมือนเป็นการใช้งานโปรแกรม Office ปกติจนผ่านด่านป้องกันเครือข่ายไปได้แบบเนียนๆ

รหัสลับ "Zomato Pizza"

กลไกการทำงานของ GoGra บน Linux มีความเฉพาะตัวสูงมากครับ

• หลอกว่าเป็น PDF: แฮกเกอร์จะใช้เทคนิค Social Engineering ส่งไฟล์อันตราย (ELF binary) ที่ปลอมตัวเป็นไฟล์ PDF มาให้เหยื่อเปิด
• เช็คเมลทุก 2 วินาที: เมื่อเครื่องติดเชื้อ มัลแวร์จะแอบเข้าไปที่โฟลเดอร์ใน Outlook ที่ชื่อว่า "Zomato Pizza" (ตั้งชื่อซะน่ากินเชียว) ทุกๆ 2 วินาที เพื่อรอรับคำสั่ง
• รับคำสั่งผ่าน Subject: มัลแวล์จะมองหาอีเมลที่มีหัวข้อขึ้นต้นด้วยคำว่า "Input" จากนั้นจะถอดรหัสข้อความในอีเมลแล้วสั่งประมวลผลผ่าน /bin/bash ทันที 
• ลบหลักฐาน: หลังจากทำงานเสร็จและส่งผลลัพธ์กลับไปในหัวข้อ "Output" แล้ว มันจะรีบลบอีเมลฉบับนั้นทิ้งเพื่อทำลายหลักฐานทันทีครับ

ทางทีม Symantec และ Carbon Black พบความน่าสนใจว่า มัลแวร์ทั้งเวอร์ชัน Windows และ Linux มีการเขียนคำผิด (Spelling errors) ในโค้ดที่เหมือนกันเป๊ะ ซึ่งเป็นหลักฐานมัดตัวว่ามาจากนักพัฒนาคนเดียวกันแน่นอน

การขยับมาเล่นงาน Linux ของ Harvester สะท้อนให้เห็นว่ากลุ่มแฮกเกอร์กำลังขยายขอบเขตการโจมตีให้กว้างขึ้น เพราะปัจจุบันเซิร์ฟเวอร์และระบบโครงสร้างพื้นฐานสำคัญๆ ล้วนรันบน Linux ทั้งสิ้น ใครที่ดูแลระบบอยู่ช่วงนี้ต้องตรวจสอบไฟล์แปลกปลอมและพฤติกรรมการเชื่อมต่อ API ขององค์กรให้ดีนะครับ

#DRKRIT drkrit.com #กระแสไอที #ข่าวไอที #ไทยสมาร์ทซิตี้