มัลแวร์ DarkGate ใช้ประโยชน์จากการแชร์ไฟล์ Samba ในแคมเปญอายุสั้น

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ให้ความกระจ่างเกี่ยวกับแคมเปญมัลแวร์ DarkGate ที่มีอายุสั้นซึ่งใช้ประโยชน์จากการแชร์ไฟล์ Samba เพื่อเริ่มต้นการติดไวรัส

Palo Alto Networks Unit 42 กล่าวว่ากิจกรรมดังกล่าวครอบคลุมช่วงเดือนมีนาคมถึงเมษายน 2024 โดยมีห่วงโซ่การติดไวรัสที่ใช้เซิร์ฟเวอร์ที่ใช้งานไฟล์ Samba ที่เปิดสาธารณะซึ่งโฮสต์ไฟล์ Visual Basic Script (VBS) และ JavaScript เป้าหมาย ได้แก่ อเมริกาเหนือ ยุโรป และบางส่วนของเอเชีย

“นี่เป็นแคมเปญที่ค่อนข้างสั้นซึ่งแสดงให้เห็นว่าผู้คุกคามสามารถใช้เครื่องมือและบริการที่ถูกต้องตามกฎหมายอย่างสร้างสรรค์เพื่อเผยแพร่มัลแวร์ได้อย่างไร” นักวิจัยด้านความปลอดภัย Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh และ Brad Duncan กล่าว

DarkGate ซึ่งเปิดตัวครั้งแรกในปี 2561 ได้พัฒนาเป็นข้อเสนอมัลแวร์ในรูปแบบบริการ (MaaS) ซึ่งใช้งานโดยลูกค้าในจำนวนที่มีการควบคุมอย่างเข้มงวด มันมาพร้อมกับความสามารถในการควบคุมโฮสต์ที่ถูกบุกรุกจากระยะไกล รันโค้ด ขุดสกุลเงินดิจิทัล เปิดใช้ Reverse Shells และวางเพย์โหลดเพิ่มเติม

การโจมตีที่เกี่ยวข้องกับมัลแวร์พบเห็นการเพิ่มขึ้นเป็นพิเศษในช่วงหลายเดือนที่ผ่านมา หลังจากการบังคับใช้กฎหมายข้ามชาติที่ลบโครงสร้างพื้นฐาน QakBot ในเดือนสิงหาคม 2566

แคมเปญที่จัดทำโดยหน่วยที่ 42 เริ่มต้นด้วยไฟล์ Microsoft Excel (.xlsx) ซึ่งเมื่อเปิดขึ้นมา จะกระตุ้นให้เป้าหมายคลิกปุ่มเปิดที่ฝังอยู่ ซึ่งจะดึงข้อมูลและเรียกใช้โค้ด VBS ที่โฮสต์บนพื้นที่แชร์ไฟล์ Samba

สคริปต์ PowerShell ได้รับการกำหนดค่าให้ดึงและเรียกใช้สคริปต์ PowerShell ซึ่งจะใช้ในการดาวน์โหลดแพ็คเกจ DarkGate ที่ใช้ AutoHotKey

ลำดับสำรองที่ใช้ไฟล์ JavaScript แทน VBS ก็ไม่แตกต่างกันตรงที่ได้รับการออกแบบทางวิศวกรรมให้ดาวน์โหลดและเรียกใช้สคริปต์ PowerShell ที่ตามมาด้วย

DarkGate ทำงานโดยการสแกนหาโปรแกรมป้องกันมัลแวร์ต่างๆ และตรวจสอบข้อมูล CPU เพื่อดูว่าโปรแกรมทำงานบนโฮสต์จริงหรือสภาพแวดล้อมเสมือน จึงทำให้สามารถขัดขวางการวิเคราะห์ได้ นอกจากนี้ยังตรวจสอบกระบวนการทำงานของโฮสต์เพื่อตรวจสอบว่ามีเครื่องมือวิศวกรรมย้อนกลับ ดีบักเกอร์ หรือซอฟต์แวร์เวอร์ชวลไลเซชันอยู่หรือไม่

“การรับส่งข้อมูล DarkGate C2 ใช้คำขอ HTTP ที่ไม่ได้เข้ารหัส แต่ข้อมูลถูกทำให้สับสนและปรากฏเป็นข้อความที่เข้ารหัส Base64” นักวิจัยกล่าว

“ในขณะที่ DarkGate ยังคงพัฒนาและปรับปรุงวิธีการแทรกซึมและการต่อต้านการวิเคราะห์อย่างต่อเนื่อง มันยังคงเป็นเครื่องเตือนใจที่มีศักยภาพถึงความจำเป็นในการป้องกันความปลอดภัยทางไซเบอร์ที่แข็งแกร่งและเชิงรุก”

การเปิดเผยดังกล่าวเกิดขึ้นเมื่อ Proofpoint เปิดเผยว่าผู้จัดจำหน่ายสแปมที่ถูกติดตามว่า TA571 ใช้ DarkGate เป็นส่วนหนึ่งของแคมเปญระดับโลกที่พยายามแทรกซึมมากกว่า 1,000 องค์กร และขายการเข้าถึงให้กับผู้โจมตีรายอื่นเพื่อแสวงหาประโยชน์ตามมา

“การโจมตีครอบคลุม 14,000 แคมเปญและมีมัลแวร์มากกว่า 1,300 รูปแบบ” บริษัทรักษาความปลอดภัยระดับองค์กรกล่าว “DarkGate ทำหน้าที่เป็นนายหน้าการเข้าถึงเบื้องต้น (IAB) จุดประสงค์คือการได้รับการเข้าถึงเครือข่าย ระบบ และข้อมูลประจำตัวของผู้ใช้โดยไม่ได้รับอนุญาต เพื่อขโมยข้อมูลหรือปรับใช้แรนซัมแวร์

แหล่งข่าว : https://thehackernews.com/2024/07/darkgate-malware-exploits-samba-file.html

ขอบคุณครับ

บริษัท a2network (Thailand ) จำกัด

ติดต่อ : 02-261-3020 , 062-590-1693