กลุ่มแฮกเกอร์ชาวเวียดนามโจมตี Meta Ads
สรุปข้อมูล
กลุ่มแฮกเกอร์จากประเทศเวียดนามมุ่งเป้าโจมตีหน่วยงานที่เกี่ยวข้องกับ Digital Marketing โดยเฉพาะองค์กรที่ดูแลและจัดการโฆษณาบน Meta (Facebook และ Instagram) ในประเทศสหรัฐอเมริกา โดยกลุ่มแฮกเกอร์จะดำเนินการเผยแพร่มัลแวร์ เช่น Ducktail และ Quasar RAT ในการโจมตีผ่านวิธีการ Phishing, Sandbox Evasion และ Privilege Escalation ซึ่งช่วยให้แฮกเกอร์สามารถเข้าควบคุมระบบ ขโมยข้อมูล และดำเนินการโจมตีเพิ่มเติมได้
รายละเอียดการโจมตี
รูปที่ 1: ขั้นตอนการโจมตี
- การโจมตีเริ่มต้นจากแฮกเกอร์ใช้เทคนิค Phishing Email โดยแนบไฟล์ที่อันตราย รวมถึงไฟล์ LNK ที่ถูกปลอมแปลงให้เหมือนกับไฟล์ PDF เมื่อเหยื่อเปิดไฟล์ LNK จะทำให้เกิดการรัน PowerShell Command ที่ทำหน้าที่ดาวน์โหลด Script อันตรายเพิ่มเติมจากแหล่งภายนอก ซึ่งมักถูกเก็บไว้บน Dropbox โดยใช้ Command Invoke-Expression (IEX) และ Invoke-RestMethod (irm) ในการรัน Script จากไฟล์ LNK
รูปที่ 2: ตัวอย่างไฟล์ปลอม
รูปที่ 3: ตัวอย่างรายละเอียดในไฟล์ LNK
- เมื่อดาวน์โหลดเสร็จสิ้น ไฟล์ PDF ปลอมและไฟล์ Batch จะถูก Decode ไปอยู่ในรูปแบบไฟล์ที่ชื่อว่า PositionApplied_VoyMedia.pdf และ output.bat จากนั้นทั้งสองไฟล์จะถูกเรียกใช้งานผ่าน Start-Process Command
รูปที่ 4: รายละเอียดใน PowerShell Script
- ไฟล์ output.bat จะเรียกใช้ WMIC Command เพื่อตรวจสอบประเภทของไดรฟ์ดิสก์และชื่อผู้ผลิต เพื่อเช็กว่าระบบกำลังทำงานอยู่บน Virtual Machine หรือไม่ หากตรวจพบว่าระบบทำงานอยู่ใน Virtual Environment Script จะหยุดทำงานและออกจากโปรแกรมโดยไม่ดำเนินการใด ๆ ต่อ แต่หากไม่พบว่าเป็น VM Script จะดำเนินการรัน Obfuscated Script ต่อไป
รูปที่ 5: เนื้อหาของโค้ด PowerShell
- Script ทำการดึง String ย่อยจากไฟล์ output.bat และ Decode พร้อมทั้ง Decompress ผ่าน AES decryption ที่ถูก Encode รูปแบบ Base64 และ GZip Stream ตามลำดับ หลังจากนั้นรันด้วย Invoke-Expression Command โดย ไฟล์ที่ถูก Decrypt จะเป็นไฟล์ .NET ซึ่งภายในไฟล์จะมีมัลแวร์ Quasar RAT รวมถึงกลไก Anti-virtualization และ Anti-debugging ด้วย
- หลังจากมัลแวร์ Quasar RAT ถูกติดตั้งสำเร็จ จะเริ่มสื่อสารกับ C2 Server เพื่อรับคำสั่งจากแฮกเกอร์และส่งข้อมูลที่ถูกขโมยกลับไป
ผลกระทบจากการโจมตี
การโจมตีโดยกลุ่มแฮกเกอร์ที่ใช้มัลแวร์ Quasar RAT ช่วยให้แฮกเกอร์สามารถเข้าถึงข้อมูลและขโมยข้อมูลสำคัญของเหยื่อได้ เช่น ข้อมูล Identity และข้อมูลเกี่ยวกับการเงินเป็นต้น นอกจากนี้แฮกเกอร์ยังสามารถเข้าควบคุมระบบของเหยื่อเพื่อดำเนินการที่เป็นอันตรายต่อเพิ่มเติม เช่น Privilege Escalation หรือการแพร่กระจายมัลแวร์ไปยังระบบอื่น ๆ ที่เชื่อมโยงกัน
สรุปการโจมตี
การโจมตีนี้เริ่มต้นด้วยการส่งอีเมล Phishing ไปยังเหยื่อ โดยแนบไฟล์และ Script ที่อันตราย เพื่อให้เหยื่อดาวน์โหลดและติดตั้งไฟล์ดังกล่าว เมื่อมัลแวร์ถูกติดตั้งบนระบบของเหยื่อแล้ว แฮกเกอร์จะสามารถดำเนินการโจมตีในขั้นต่อ ๆ ไปได้ เช่น การขโมยข้อมูลสำคัญต่าง ๆ การ Privilege Escalation และแพร่กระจายมัลแวร์ไปส่วนอื่น ๆ ต่อไป
คำแนะนำ
- Awareness Training ให้บุคลากรในองค์กร
- ใช้ Mail Gateway ในการตรวจจับอีเมล หรือลิงก์อันตรายที่แนบมา
- พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
- ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
- การ Full-scan ที่ Endpoint ทุก ๆ สัปดาห์ เพื่อป้องกันไฟล์อันตราย
- จำกัดสิทธิ์ User ในระบบ
Indicators of Compromise (IoCs)
| มัลแวร์ Quasar RAT | |
| SHA256 | dc616cc55a345e448a058368aea7c99ab9dd2a9c8ec42674312b66dbc29b7878 |
| 3de5e0b27c69c93b4c4b4812ed4453d4b81e99b7d407640a752e62e33b1ede2a | |
| 9a00d0859bc7a81d6e289a414c39aa2bd95319fa3d1d0e5f1be6d348604d640c | |
| b35452610c2cbc5a6a2bebd82af7c3883037b40be7072e43fc5989298bb26ea5 | |
| d8bc59a1acf2f9a14a2fb96de979672dbed27d798eecc9454021f352f2bf973a | |
| 16ef774020e5754e4a8890789b7c798376a9521823c8897f9c97af5b33b27013 | |
| 8229f281a93f18612a47843aa69e94312b52180e7f775fd58e5ea04608e23bd0 | |
| URL | hxxps://www.dropbox.com/scl/fi/9p8no6tz85e09vg59kfwk/sav2_encrypt.txt?rlkey =hw7c83mq8uws216q3d4b1cfyi&st=4oycb9or&dl=1 |
แหล่งอ้างอิง
