พบการโจมตีมัลแวร์ที่ซับซ้อน โดยผู้ไม่หวังดีแพร่กระจายมัลแวร์ ValleyRAT ที่ปลอมตัวเป็นโปรแกรมติดตั้งแอปพลิเคชัน LINE แคมเปญนี้มุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาจีนเป็นหลัก มัลแวร์ใช้กระบวนการติดเชื้อหลายขั้นตอนเพื่อหลีกเลี่ยงการตรวจจับ รวมถึงการปิดใช้งาน Windows Defender, ตรวจสอบสภาพแวดล้อมเพื่อหลีกเลี่ยง Sandbox และใช้เทคนิคการฉีดโค้ดขั้นสูง (PoolParty Variant 7) เข้าไปยังกระบวนการระบบที่เชื่อถือได้ (เช่น Explorer.exe, UserAccountBroker.exe) เพื่อขโมยข้อมูลประจำตัวของผู้ใช้และคงอยู่ในระบบ นอกจากนี้ยังใช้ใบรับรองดิจิทัลที่ไม่ถูกต้องเพื่อทำให้ดูน่าเชื่อถือ
Severity: สูง
System Impact:
- ระบบปฏิบัติการ Windows
- Windows Defender
- กระบวนการ Explorer.exe
- กระบวนการ UserAccountBroker.exe
- ผลิตภัณฑ์รักษาความปลอดภัย (เช่น Qihoo 360)
Technical Attack Steps:
- แพร่กระจายผ่านไฟล์ติดตั้ง LINE ปลอม
- เมื่อรัน จะพยายามปิดใช้งาน Windows Defender โดยใช้คำสั่ง PowerShell เพื่อยกเว้นไดรฟ์ระบบจากการสแกน
- ติดตั้งไลบรารีอันตราย ‘intel.dll’ ซึ่งทำการตรวจสอบสภาพแวดล้อมเพื่อตรวจจับ Sandbox
- หากสภาพแวดล้อมปลอดภัย จะแตกไฟล์ Payload หลัก
- ใช้เทคนิคการฉีดโค้ดขั้นสูง PoolParty Variant 7 เพื่อซ่อนกิจกรรมที่เป็นอันตรายในกระบวนการระบบที่เชื่อถือได้
- ฉีดโค้ดเข้าสู่ Explorer.exe และ UserAccountBroker.exe โดยใช้ UserAccountBroker.exe เป็น Watchdog
- จัดการ System Handles ผ่าน Windows APIs เช่น ZwSetIoCompletion
- สแกนหาผลิตภัณฑ์รักษาความปลอดภัย (เช่น Qihoo 360) และยุติการเชื่อมต่อเครือข่าย
- สร้าง Scheduled Tasks ผ่านโปรโตคอล RPC เพื่อให้ทำงานอัตโนมัติเมื่อผู้ใช้ล็อกอิน
- ใช้ใบรับรองดิจิทัลที่ออกให้ ‘Chengdu MODIFENGNIAO Network Technology Co., Ltd’ ซึ่งไม่ถูกต้องทางเข้ารหัส เพื่อปลอมตัว
Recommendations:
Short Term:
- ดาวน์โหลดโปรแกรมและแอปพลิเคชันจากแหล่งที่มาที่เป็นทางการและน่าเชื่อถือเท่านั้น
Long Term:
- ทีมรักษาความปลอดภัยควรกำหนดกฎการตรวจจับเพื่อแจ้งเตือนใบรับรองดิจิทัลที่ไม่ถูกต้อง
- เฝ้าระวังกระบวนการลูกที่น่าสงสัยที่ถูกสร้างโดย Explorer.exe เช่น UserAccountBroker.exe ซึ่งอาจบ่งชี้ถึงกิจกรรม Process Hollowing
Source: Cyber Security News (cybersecuritynews.com)
Share this content: