แคมเปญการโจมตีใหม่ใช้ PureCrypter Loader ที่มี DarkVision RAT

สรุปข้อมูล 

พบแคมเปญการโจมตีที่อาศัย PureCrypter ในการส่ง Payload มัลแวร์ DarkVision RAT ซึ่งเป็น Remote Access Trojan (RAT) ที่พัฒนาด้วยภาษา C/C++ และ Assembly โดย DarkVision RAT ได้รับความนิยมในกลุ่มแฮกเกอร์ เนื่องจากเป็นเครื่องมือที่ราคาไม่สูง ใช้งานง่าย และมีฟีเจอร์ที่หลากหลาย เช่น Keylogging การดัดแปลงไฟล์ การบันทึกภาพหน้าจอ Process Injection และ RCE เป็นต้น 

PureCrypter เป็น Malware Loader ที่ใช้แพร่กระจายมัลแวร์ต่าง ๆ เช่น RAT หรือเครื่องมือโจรกรรมข้อมูลโดยไฟล์ของ PureCrypter จะอยู่ในรูปแบบของไฟล์ที่ใช้เทคนิค Obfuscation ด้วย SmartAssembly พร้อมกับใช้เทคนิค Compression และ Encryption เพื่อหลีกเลี่ยงการถูกตรวจจับ

รายละเอียดการโจมตี

รูปที่ 1: ตัวอย่างการโจมตีด้วย PureCrypter และ DarkVision RAT

• ในการกระบวนการ Initial Access ที่เกี่ยวข้องกับการส่ง PureCrypter และ DarkVision RAT ยังไม่มีความชัดเจน การโจมตีเริ่มต้นด้วยการรันไฟล์ .NET โดยใช้ cmd /c timeout 10 ซึ่งหลังจากรอ 10 วินาที ไฟล์ .NET จะดำเนินการใช้ Triple Data Encryption Standard (3DES) โดยใช้ Key และ IV ที่ถูก Encode ด้วย Base64 เพื่อ Decrypt Shellcode ขั้นที่สอง จากนั้น Shellcode ที่ Decrypt แล้วจะถูกเขียนลงใน Memory ที่สามารถเรียกใช้โดยฟังก์ชัน VirtualAlloc และ VirtualProtect หลังจากนั้นไฟล์ .NET นี้จะใช้ฟังก์ชัน Callback ของ API EnumCalendarInfo เพื่อดำเนินการขั้นต่อไป
• Shellcode ที่ Decrypt ออกมานั้นคือ Donut loader ซึ่งเป็น Open Source ที่ช่วยให้สามารถรันไฟล์ VBScript, JScript, EXE, DLL และ dotNET Assemblies ได้โดยตรงจาก Memory นอกจากนี้ Donut Loader ยังใช้ Chaskey Block Cipher ในการ Encrypt โมดูลต่าง ๆ ของตัวเอง ในขั้นตอนนี้แฮกเกอร์จะใช้ Donut Decryptor เพื่อ Decrypt และดึง Payload ของ PureCrypter ออกมา
  
  

รูปที่ 2: Donut Open Source

• PureCrypter จะทำการ Decompress ไฟล์และ Deserializing เป็นโครงสร้าง Protobuf ที่ภายในมี Payload ของ DarkVision RAT ซึ่งถูก Encrypt ด้วย AES-CBC หลังจากนั้น PureCrypter จะรัน Powershell Command ที่ถูก Encode ด้วย Base64 เมื่อ Decode Command แล้ว Powershell จะเพิ่ม Path ไฟล์อันตรายและชื่อ Process ต่าง ๆ ที่ใช้โดย RAT เข้าไปใน List of Exclusion ของ Windows Defender หลังจาก PureCrypter ดำเนินการกระบวนการต่าง ๆ สำเร็จ จะ Decrypt ไฟล์ DarkVision RAT

รูปที่ 3: โครงสร้างแบบ Protobuf ใน PureCrypter

• เมื่อ DarkVision RAT ถูกติดตั้งเรียบร้อย มัลแวร์จะแก้ไขการใช้งาน APIs โดยใช้ฟังก์ชัน GetProcAddress และ LoadLibrary ซึ่ง RAT จะทำการโหลด Library ใหม่เสมอผ่าน LoadLibrary เพื่อหลีกเลี่ยงการถูกตรวจจับของซอฟต์แวร์ Antivirus และ EDR นอกจากนี้ชื่อ API และ String ต่าง ๆ ที่ใช้จะถูกเก็บในรูปแบบ XOR-encode เพื่อเพิ่มความยากในการตรวจสอบขณะโจมตีเหยื่อในขั้นต่อไป การสื่อสารระหว่างแฮกเกอร์และอุปกรณ์ของเหยื่อจะใช้การทำ C2 ผ่าน Network Protocol ที่กำหนดขึ้นมาเอง
  

ผลกระทบจากการโจมตี 

การโจมตีด้วย PureCrypter Loader และมัลแวร์ DarkVision RAT ส่งผลให้เกิดการละเมิดความเป็นส่วนตัวและการโจรกรรม ข้อมูลต่าง ๆ เช่น ข้อมูล Credential ข้อมูล Identity และข้อมูลเกี่ยวกับการเงิน นอกจากนั้นแฮกเกอร์สามารถ Remote Code Execution เพื่อควบคุมอุปกรณ์ของเหยื่อในการดำเนินการโจมตีต่อไป 

สรุปการโจมตี 

วิธีการโจมตีนี้ใช้เทคนิค Malware Loader ในหลายขั้นตอน เพื่อส่งและติดตั้งมัลแวร์ที่ซ่อนอยู่ใน Loader โดยทำให้การตรวจจับ ยากขึ้น ส่งผลให้โอกาสในการโจมตีสำเร็จสูงขึ้น แฮกเกอร์จึงสามารถเข้าถึงข้อมูลของเหยื่อได้โดยไม่ได้รับอนุญาต และอาจเข้า ควบคุมอุปกรณ์ของเหยื่อเพื่อดำเนินการตามต้องการได้

คำแนะนำ

1. พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
2. อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอ
3. ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
4. การ Full-scan ที่ Endpoint ทุก ๆ สัปดาห์ เพื่อป้องกันไฟล์อันตราย
5. ตรวจสอบ Directory Path ว่าเป็น Path ที่ถูกต้องหรือไม่
6. Quarantine หรือ Kill Process ของไฟล์ที่ทางองค์กรไม่ได้รับอนุญาตให้ใช้ที่ Endpoint

Indicators of Compromise (IoCs)

แหล่งอ้างอิง

https://thehackernews.com/2024/10/new-malware-campaign-uses-purecrypter.html

https://www.zscaler.com/blogs/security-research/technical-analysis-darkvision-rat

https://github.com/TheWover/donut