กลุ่มแฮกเกอร์ BrazenBamboo ใช้ช่องโหว่ Zero-day เพื่อขโมยข้อมูล Credential
สรุปข้อมูล
กลุ่มแฮกเกอร์ BrazenBamboo ใช้ประโยชน์จากช่องโหว Zero-day ในซอฟต์แวร์ FortiClient VPN บนระบบปฏิบัติการ Windows ช่องโหว่นี้เกี่ยวข้องกับการที่ข้อมูล Credential ของผู้ใช้งานยังคงค้างอยู่ในหน่วยความจำหลังจาก Process Authentication สำหรับการเข้าใช้งาน VPN นอกจากนี้ แฮกเกอร์ยังใช้มัลแวร์ DEEPDATA และ DEEPPOST ที่พัฒนามา จากมัลแวร์ LIGHTSPY ในการโจมตีเพื่อขโมยข้อมูล Credential เช่น ชื่อผู้ใช้ รหัสผ่าน และข้อมูลการใช้งานอื่น ๆ บนเครื่องของเหยื่อ เช่น การเก็บข้อมูลจากแอปพลิเคชันส่งข้อความ เบราว์เซอร์ อีเมล รวมถึงการบันทึกการใช้งานแป้นพิมพ์ บันทึกเสียง และถ่ายโอนไฟล์ออกจากระบบ
รายละเอียดเชิงเทคนิค
กลุ่มแฮกเกอร์ BrazenBamboo โจมตีด้วยมัลแวร์ DEEPDATA และ DEEPPOST ที่อยู่ในไฟล์ deepdata.zip โดยมัลแวร์แต่ละตัวมีรูปแบบการทำงานดังนี้:
- DEEPDATA เป็นมัลแวร์ใช้ในการรวบรวมข้อมูลต่าง ๆ บนระบบที่ถูก Compromise สั่งการทำงานโดย Command Line จาก C2 Server ของแฮกเกอร์ ซึ่งมัลแวร์มีไฟล์ readme.txt ที่แจกแจงรายละเอียดการใช้งานไฟล์ data.dll เป็น Loader ที่ทำหน้าที่ Decrypt และโหลดไฟล์หลักอื่น ๆ ของมัลแวร์ DEEPDATA เพิ่มเติมดังรูปที่ 1 เก็บไว้ใน mod.dat ซึ่งเป็นไฟล์ Local VFS ไฟล์หลัก เช่น
- ไฟล์ frame.dll เป็น Shellcode ทำหน้าที่เป็นตัวจัดการการดำเนินการ Plugin ต่าง ๆ ซึ่ง Plugin แต่ละตัว จะมีฟังก์ชันเฉพาะ ตัวอย่างของ Plugin ที่เด่น ๆ คือ msenvico.dll ที่ใช้ช่องโหว่ Zero-day ของ FortiClient มีความสามารถในการขโมยข้อมูล Credential และข้อมูล Server จากหน่วยความจำใน Process ของ FortiClient VPN
- ไฟล์ vertdll.dll มีหน้าที่เก็บรวบรวม Event Log
- ไฟล์ d3dcompiler_47.dll ทำการตรวจสอบแอปพลิเคชันที่ทำงานอยู่ ณ ขณะนั้น
- ไฟล์ frame.dll เป็น Shellcode ทำหน้าที่เป็นตัวจัดการการดำเนินการ Plugin ต่าง ๆ ซึ่ง Plugin แต่ละตัว จะมีฟังก์ชันเฉพาะ ตัวอย่างของ Plugin ที่เด่น ๆ คือ msenvico.dll ที่ใช้ช่องโหว่ Zero-day ของ FortiClient มีความสามารถในการขโมยข้อมูล Credential และข้อมูล Server จากหน่วยความจำใน Process ของ FortiClient VPN
รูปที่ 1: โครงสร้างของ DEEPDATA
- DEEPPOST เป็นมัลแวร์ที่อยู่ในไฟล์ localupload.exe มีหน้าที่ Data Exfiltration หลังจากการโจมตีโดยการถ่ายโอนข้อมูลผ่าน HTTPS ไปยัง API Endpoint ที่แฮกเกอร์กำหนดไว้ /api/third/file/upload/ ปกติจะใช้ Port 29983 ในการถ่ายโอนข้อมูลไปให้แฮกเกอร์
ผลกระทบจากการโจมตี
กลุ่มแฮกเกอร์ BrazenBamboo ใช้ช่องโหว่ Zero-day ของ FortiCilent VPN บนระบบปฏิบัติการ Windows ร่วมกับมัลแวร์ DEEPDATA และ DEEPPOST ในการโจมตีเหยื่อ ส่งผลให้แฮกเกอร์สามารถเข้าถึงและขโมยข้อมูลส่วนตัวต่าง ๆ โดยไม่ได้รับอนุญาตเช่น ข้อมูล Credential ข้อมูลการติดต่อบนแอปพลิเคชันข้อความ ข้อมูลการใช้งานบนเครื่องของเหยื่อ ไม่ว่าจะเป็นการใช้ แป้นพิมพ์ การบันทึกเสียง เป็นต้น
คำแนะนำ
- อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
- พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
- ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
- การจำกัดขนาดของข้อมูลก่อนออกสู่ภายนอก เพื่อป้องกันการนำข้อมูลที่มีขนาดใหญ่ออกสู่ภายนอกขององค์กร
- ตั้ง Policy การตั้งค่ารหัสผ่านให้ปลอดภัย เช่น มีความยาวประมาณ 10-14 characters ไม่ใช้ข้อมูลส่วนตัวในการตั้งรหัสผ่าน และมีอักขระพิเศษในรหัสผ่าน
- ใช้ Multi-Factor Authentication (MFA) เพื่อลดโอกาสในการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต
แหล่งอ้างอิง
https://cybersecuritynews.com/brazenbamboo-apt-forticlient-zero-day/
