Threat Actors Leverage Commodity Loader to Attack Organizations in Targeted Email Campaigns

นักวิจัยด้านภัยคุกคามไซเบอร์ได้เปิดเผยถึงแคมเปญมัลแวร์ที่ซับซ้อน โดยใช้โหลดเดอร์เชิงพาณิชย์ (commodity loader) ที่มีการใช้งานร่วมกันในกลุ่มผู้ก่อภัยคุกคามหลายกลุ่ม การโจมตีนี้พุ่งเป้าไปที่องค์กรภาคการผลิตและภาครัฐในอิตาลี ฟินแลนด์ และซาอุดีอาระเบีย มีเป้าหมายเพื่อดึงข้อมูลอุตสาหกรรมและขโมยข้อมูลประจำตัวผู้ดูแลระบบที่ละเอียดอ่อน แคมเปญนี้ใช้กลยุทธ์การหลบเลี่ยงการตรวจจับหลายชั้น รวมถึงการใช้เอกสาร Office ที่มีช่องโหว่ CVE-2017-11882, ไฟล์ SVG ที่เป็นอันตราย และไฟล์ ZIP ที่มีทางลัด LNK ในอีเมลฟิชชิ่งที่ปลอมเป็นใบสั่งซื้อ โหลดเดอร์ดังกล่าวทำหน้าที่กระจาย Remote Access Trojans (RATs) และมัลแวร์ขโมยข้อมูล (information-stealing malware) โดยมัลแวร์สุดท้ายที่ถูกส่งคือ PureLog Stealer.

Severity: สูง

System Impact:

• องค์กรภาคการผลิต (Manufacturing organizations) ในอิตาลี, ฟินแลนด์, ซาอุดีอาระเบีย
• องค์กรภาครัฐ (Government organizations) ในอิตาลี, ฟินแลนด์, ซาอุดีอาระเบีย
• ระบบปฏิบัติการ Windows (เนื่องจากมีการใช้เอกสาร Office, ไฟล์ LNK, PowerShell, RegAsm.exe)
• ข้อมูลอุตสาหกรรม (Industrial data)
• ข้อมูลประจำตัวผู้ดูแลระบบที่ละเอียดอ่อน (Sensitive administrative credentials)

Technical Attack Steps:

1. การเข้าถึงเริ่มต้น: ผู้โจมตีส่งอีเมลฟิชชิ่งที่ปลอมเป็นใบสั่งซื้อจากคู่ค้าที่น่าเชื่อถือ โดยมีไฟล์แนบที่เป็นอันตราย (เช่น เอกสาร Office ที่ใช้ช่องโหว่ CVE-2017-11882, ไฟล์ SVG ที่เป็นอันตราย, ไฟล์ ZIP ที่มีทางลัด LNK)
2. การดำเนินการ – ขั้นตอนที่ 1 (JavaScript): ไฟล์ JavaScript ที่อยู่ในไฟล์ RAR จะรันโค้ดที่ถูกทำให้สับสนอย่างหนัก (heavily obfuscated code) เพื่อสร้างกระบวนการ PowerShell แบบซ่อน (hidden PowerShell processes) ผ่าน Windows Management Instrumentation (WMI) โดยใช้การเข้ารหัสแบบ base64, การจัดการสตริง และการหน่วงเวลา 5 วินาทีเพื่อหลีกเลี่ยงการวิเคราะห์ของ Sandbox
3. การดำเนินการ – ขั้นตอนที่ 2 (Steganography): PowerShell ดาวน์โหลดไฟล์รูปภาพ PNG จาก Archive.org ซึ่งมี Payload ที่เข้ารหัสแบบ base64 (.NET assembly) ฝังอยู่ด้วยเทคนิค Steganography PowerShell จะดึงและโหลด assembly เหล่านี้เข้าสู่หน่วยความจำโดยตรง (fileless execution) โดยไม่แตะต้องดิสก์
4. การดำเนินการ – ขั้นตอนที่ 3 (Trojanized Library): Assembly ที่ถูกโหลด (ซึ่งเป็นไลบรารี TaskScheduler แบบ open-source ที่ถูกดัดแปลง) จะสร้างกระบวนการ RegAsm.exe ที่ถูกระงับไว้ (suspended processes) จากนั้นทำการ Process Injection และรัน Payload สุดท้าย
5. การส่ง Payload: มัลแวร์สุดท้ายที่ถูกส่งคือ PureLog Stealer ซึ่งถูกถอดรหัสโดยใช้ Triple DES ในโหมด CBC พร้อมกับการเติม PKCS7 และการบีบอัดด้วย GZip
6. วัตถุประสงค์: ดึงข้อมูลอุตสาหกรรมและขโมยข้อมูลประจำตัวผู้ดูแลระบบที่ละเอียดอ่อน

Recommendations:

Short Term:

• ใช้ระบบกรองอีเมลและโซลูชันป้องกันฟิชชิ่งที่มีประสิทธิภาพ
• ให้ความรู้แก่ผู้ใช้ในการระบุอีเมลฟิชชิ่งและไฟล์แนบที่เป็นอันตราย (เช่น เอกสาร Office, SVG, LNK files)
• อัปเดตระบบและแพตช์ช่องโหว่โดยทันที โดยเฉพาะช่องโหว่ที่ทราบแล้ว เช่น CVE-2017-11882
• เพิ่มประสิทธิภาพการตรวจจับและตอบสนองบน Endpoint (EDR) เพื่อตรวจจับการรันโค้ดแบบไร้ไฟล์ (fileless execution) และการใช้ WMI ในทางที่ผิด
• เฝ้าระวังการรับส่งข้อมูลเครือข่ายเพื่อหาการสื่อสาร C2 ที่น่าสงสัย (เช่น การดาวน์โหลดจาก Archive.org)

Long Term:

• ปรับใช้ระบบข่าวกรองภัยคุกคามขั้นสูงเพื่อติดตามโหลดเดอร์เชิงพาณิชย์และรูปแบบการโจมตีที่เกี่ยวข้อง
• เสริมความแข็งแกร่งของการทำ Application Whitelisting เพื่อป้องกันการรันสคริปต์และไฟล์ปฏิบัติการที่ไม่ได้รับอนุญาต
• ดำเนินการแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการเคลื่อนที่ในแนวนอนหากเกิดการละเมิด
• ดำเนินการตรวจสอบความปลอดภัยและการทดสอบเจาะระบบ (Penetration Testing) อย่างสม่ำเสมอ
• ใช้การวิเคราะห์พฤติกรรมเพื่อตรวจจับความผิดปกติ
• ลงทุนในโซลูชันป้องกันข้อมูลรั่วไหล (DLP) ที่ครอบคลุม
• เสริมสร้างการจัดการข้อมูลประจำตัวและการเข้าถึง (IAM) รวมถึงการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีผู้ดูแลระบบ
• สำรองข้อมูลที่สำคัญเป็นประจำและทดสอบขั้นตอนการกู้คืน

Source: https://cybersecuritynews.com/threat-actors-leverage-commodity-loader/