แฮกเกอร์แพร่กระจายมัลแวร์ผ่านโฆษณาที่ช่องโหว่ Zero-Day ของ Internet Explorer
สรุปข้อมูล
กลุ่มแฮกเกอร์ ScarCruft (ที่รู้จักในชื่อ "APT37" หรือ "RedEyes") ได้ใช้ประโยชน์จากช่องโหว่ Zero-Day (CVE-2024-39178) ใน Internet Explorer เพื่อแพร่กระจายมัลแวร์ RokRAT ผ่านโฆษณาอันตรายที่อยู่ในเว็บไซต์ที่มีความน่าเชื่อถือ แม้ว่า Internet Explorer จะถูกยกเลิกใช้งานอย่างเป็นทางการแล้ว แต่ระบบที่ยังไม่ได้รับการอัปเดตยังคงมีความเสี่ยงต่อการโจมตี ช่องโหว่นี้เปิดโอกาสให้แฮกเกอร์สามารถรันโค้ดจากระยะไกล (Remote Code Execution) ที่สามารถขโมยข้อมูลส่วนตัวของเหยื่อได้ เช่น การบันทึกการพิมพ์ (keylogging) และการจับภาพหน้าจอ Microsoft ซึ่งได้ปล่อยแพตช์แก้ไขช่องโหว่นี้ในเดือนสิงหาคม 2024 แต่ยังมีระบบจำนวนมากที่ยังไม่ได้รับการอัปเดต ทำให้ยังเสี่ยงต่อการถูกโจมตีได้
รายละเอียดเชิงเทคนิค
- การโจมตีนี้เริ่มต้นจากกลุ่มแฮกเกอร์ ScarCruft ได้เจาะระบบเซิร์ฟเวอร์ของบริษัทโฆษณาในเกาหลีใต้ที่มีผู้ใช้จำนวนมากในการแพร่กระจาย Toast ads
- Toast ads เหล่านี้มี iframe ที่เป็นอันตราย ซึ่งเมื่อถูกรันบน Internet Explorer จะทำให้ไฟล์ JavaScript ชื่อ 'ad_toast' ทำการรันโค้ดจากระยะไกลผ่านช่องโหว่ CVE-2024-39178 ในไฟล์ JScript9.dll (Chakra engine) ของ Internet Explorer เพื่อเริ่มต้นกระบวนการติดตั้งมัลแวร์ RokRAT ลงในระบบของเหยื่อ
- มัลแวร์ RokRAT ถูกออกแบบมาเพื่อขโมยข้อมูลสำคัญ เช่น เอกสาร และส่งข้อมูลไปยังเซิร์ฟเวอร์บน Yandex Cloud ทุก 30 นาที นอกจากนี้มัลแวร์ยังดักจับการพิมพ์ ตรวจสอบการเปลี่ยนแปลงในคลิปบอร์ด และจับภาพหน้าจอทุก ๆ 3 นาที เพื่อเพิ่มความแม่นยำในการขโมยข้อมูล
รูปที่ 1 ห่วงโซ่การโจมตีของ APT37
- เพื่อป้องกันการถูกตรวจจับโดยซอฟต์แวร์ป้องกันไวรัส ScarCruft ใช้เทคนิคการฝังโค้ดเข้าไปในกระบวนการ explorer.exe และหากระบบมีการติดตั้งโปรแกรมป้องกันไวรัส เช่น Avast หรือ Symantec มัลแวร์จะปรับเปลี่ยนวิธีการโจมตีโดยการฝั่งโค้ดเข้าไปในโปรแกรมที่สุ่มเลือกจากโฟลเดอร์ C:Windowssystem32 แทน
- ScarCruft ยังใช้วิธีการเพิ่ม payload ชื่อ 'rubyw.exe' ลงในรายการการทำงานอัตโนมัติของระบบ Windows และตั้งค่าให้รันทุก ๆ 4 นาทีผ่านระบบ Scheduler เพื่อให้มัลแวร์ทำงานต่อเนื่องทุกครั้งที่ระบบเริ่มต้นใหม่ ทำให้การโจมตีดำเนินไปอย่างยาวนานโดยไม่ถูกสังเกต
ผลกระทบจากการโจมตี
การโจมตีนี้มีผลกระทบต่อผู้ใช้จำนวนมากที่ยังคงใช้ Internet Explorer แม้ว่าจะหยุดการสนับสนุนไปแล้วก็ตาม เหยื่อที่ถูกโจมตีอาจถูกขโมยข้อมูลสำคัญ เช่น ข้อมูลส่วนตัว เอกสารสำคัญ หรือข้อมูลการเข้าสู่ระบบ นอกจากนี้ ผู้โจมตีอาจควบคุมเครื่องจากระยะไกล ทำให้ผู้ใช้ไม่สามารถควบคุมอุปกรณ์ของตนเองได้ โดยเฉพาะองค์กรที่ยังคงใช้แอปพลิเคชันที่ต้องทำงานร่วมกับ Internet Explorer จะเป็นกลุ่มที่มีความเสี่ยงสูงเป็นพิเศษในการถูกโจมตี
สรุปการโจมตี
กลุ่มแฮกเกอร์ ScarCruft ใช้ช่องโหว่ใน Internet Explorer ฝังสคริปต์อันตรายในโฆษณา เมื่อโฆษณาถูกโหลด มัลแวร์ RokRAT จะถูกติดตั้งผ่านการฉีดโค้ดในกระบวนการ explorer.exe มัลแวร์จะทำงานอัตโนมัติเมื่อเปิดระบบ ซ่อนตัวในไดเรกทอรี system32 และเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมเพื่อขโมยข้อมูล บันทึกการพิมพ์ และจับภาพหน้าจอ
คำแนะนำ
- ควรอัปเดต Internet Explorer ให้เป็นเวอร์ชันล่าสุดหรือเปลี่ยนไปใช้เบราว์เซอร์ที่มีการอัปเดตความปลอดภัยสม่ำเสมอ
- พิจารณาใช้งาน Anti-Virus หรือ EDR เพื่อตรวจสอบ File หรือพฤติกรรมที่ผิดปกติบนเครื่อง Client และ Server
- Awareness Training ให้กับพนักงานภายในองค์กรเกี่ยวกับภัยคุกคามต่าง ๆ
แหล่งอ้างอิง
