ล็อกอินค้างไว้เสร็จมัน! พบมัลแวร์ใหม่ "Umbrij" แอบอ้างสิทธิ์ OAuth เจาะอ่าน Gmail องค์กรแบบไร้ร่องรอย

 

วันนี้ผมมีข่าวสารด้านความปลอดภัยไซเบอร์ที่น่าสนใจและต้องบอกว่าน่ากลัวพอสมควรมาเล่าให้ฟังครับ เป็นเรื่องของกลุ่มแฮกเกอร์ระดับสูง (APT) ที่ชื่อว่า ToddyCat ซึ่งล่าสุดทาง Kaspersky ได้ไปตรวจพบมัลแวร์ตัวใหม่ของกลุ่มนี้ที่มีชื่อว่า "Umbrij" ความร้ายกาจของมันคือ มันถูกออกแบบมาเพื่อแอบเจาะเข้าอีเมล Gmail ขององค์กรผ่านทาง Google API โดยอาศัยเทคนิคที่แยบยลมากครับ

เทคนิค "Shadow Token via Remote Debug (STRD)" คืออะไร?

ความน่ากลัวของ Umbrij คือมันไม่ได้พยายามเดารหัสผ่าน หรือส่งลิงก์หลอกลวง (Phishing) มาให้เรากดตรงๆ แต่มันจะเล่นงานผ่านเบราว์เซอร์ตระกูล Chromium (เช่น Google Chrome หรือ Microsoft Edge) ที่เรากำลังล็อกอินระบบ Gmail ค้างไว้อยู่แล้วครับ โดยมีกระบวนการทำงานดังนี้

  1. พรางตัวเข้าเครื่อง: มันจะสร้าง Task ปลอมตัวเป็นโปรแกรมของ Kaspersky เพื่อความเนียน จากนั้นใช้เทคนิค DLL side-loading ร่วมกับไฟล์ระบบที่ถูกต้องเพื่อรันตัวมัลแวร์ Umbrij (ซึ่งถูกพรางโค้ดไว้ด้วย ConfuserEx)
  2. ขโมยสิทธิ์ผู้ใช้: มันจะไปค้นหากระบวนการทำงานของ explorer.exe เพื่อคัดลอกสิทธิ์ (Token) ของผู้ใช้ที่ล็อกอินอยู่ ทำให้มันมีสิทธิ์จัดการระบบเทียบเท่ากับเจ้าของเครื่อง
  3. สำรองข้อมูลเบราว์เซอร์: มันจะแอบสร้างโฟลเดอร์ลึกลับขึ้นมา แล้วจัดการคัดลอกไฟล์ข้อมูลสำคัญของเบราว์เซอร์ เช่น Local Storage, Cookies, และ Login Data ไปเก็บไว้
  4. เปิดเบาว์เซอร์แบบไร้หน้าต่าง (Headless Mode): จากนั้นมันจะสั่งรันเบาว์เซอร์ขึ้นมาในโหมด Headless (รันเบื้องหลังไม่มีหน้าต่างโปรแกรมโผล่มาให้เราเห็น) โดยใช้ข้อมูลโปรไฟล์ที่มันก๊อปปี้ไว้ ทำให้เบราว์เซอร์ตัวนั้นมีสถานะ "เข้าสู่ระบบ Google" เรียยบร้อยแล้วโดยไม่ต้องกรอกรหัสผ่านใหม่
  5. ใช้ Puppeteer ควบคุม: มัลแวร์จะใช้เครื่อมือที่ชื่อว่า Puppeteer เชื่อมต่อไปยังพอร์ต Remote Debugging ขอเบราว์เซอร์ แล้วสั่งให้เปิดลิงก์ขอสิทธิ์ OAuth 2.0 โดยแอบอ้างสิทธิ์ของเครื่องมือทางการอย่าง "Google Workspace Migration for Microsoft Outlook" (ซึ่งใช้สำหรับย้ายข้อมูลอีเมล)
  6. ปลอมการคลิกเมาส์: มันจะเขียนคำสั่ง JavaScript เพื่อจำลองการคลิกเมาส์เลือกบัญชีเป้าหมาย และกด "อนุญาต (Allow) " ให้แอปพลิเคชันปลอมนั้นเข้าถึงบริการทุกอย่าง ทั้ง Gmail, Google Drive, Contacts, Calendar และ Tasks
  7. บันทึกโค้ดและส่งออก: เมื่อได้โค้ดอนุญาต (Authorization Code) มาแล้ว มันจะบันทึกรหัสนี้ลงใน Log แล้วส่งกลับไปให้แฮกเกอร์ เพื่อนำไปแลกเป็น Access Token ในการดึงข้อมูลอีเมลของเหยื่อผ่าน API ได้ตลอดเวลา

วิธีเช็คและป้องกันตัวเอง

เนื่องจากมัลแวร์ตัวนี้เน้นเจาะกลุ่มอีเมลองค์กร hosting บน Gmail ทาผู้เชี่ยวชาญจึงแนะนำวิธีตรวจสอบง่ายๆ ดังนี้

ให้ลองเข้าไปที่หน้าจัดการบัญชีของคุณที่ myaccount.google.com/connections จากนั้นตรวจสอบรายชื่อแอปพลิเคชันที่ได้รับสิทธิ์เข้าถึง หากเจอแอปที่ชื่อ "Google Workspace Migration for Microsoft Outlook" หรือ "Google Workspace Sync for Microsoft Outlook" ทั้งๆ ที่ในองค์กรของคุณไม่ได้ใช้งานเครื่องมือเหล่านี้เลย ให้รีบกด "เพิกถอนการเข้าถึง (Revoke Access)" ทันทีครับ เพื่อยกเลิกสิทธิ์ Token ทั้งหมดที่แฮกเกอร์อาจจะแอบสร้างเอาไว้

แฮกเกอร์สมัยนี้พัฒนาเครื่องมือให้ทำงานแบบอัตโนมัติ (Automation) ได้ฉลาดและรวดเร็วขึ้นเรื่อยๆ การตรวจสอบสิทธิ์การเข้าถึงบัญชีของเราอย่าสม่ำเสมอจึงเป็นสิ่งสำคัญมากๆ ครับ หวังว่าข้อมูลที่ผมนำมาเรียบเรียงให้อ่านกันในวันนี้จะเป็นประโยชน์ปละช่วยเพิ่มความตระหนักรู้ด้านความปลอดภัยไอทีให้กับทุกคนนะครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก