กลุ่มแฮกเกอร์ Earth Kasha โจมตีด้วยมัลแวร์ ANEL Backdoor
สรุปข้อมูล
กลุ่มแฮกเกอร์ Earth Kasha ได้เปิดตัวแคมเปญการโจมตี Spear-phishing ที่มุ่งเป้าไปยังองค์กรทางการเมือง สถาบันวิจัย และ สถาบันวิชาการในประเทศญี่ปุ่น โดยใช้มัลแวร์ ANEL Backdoor และมัลแวร์ ROAMINGMOUSE เป็นเครื่องมือในการโจมตีแคมเปญนี้ เพื่อเข้าถึงและรวบรวมข้อมูลสำคัญของเหยื่อ เช่น ข้อมูลส่วนบุคคล และแคปเจอร์ภาพหน้าจอ นอกจากนี้แฮกเกอร์ยังใช้ Command ต่าง ๆ ในการหาความเชื่อมโยงระบบเครือข่ายที่เกี่ยวข้อง และระบบไฟล์ของเหยื่อ
รายละเอียดการโจมตี
กลุ่มแฮกเกอร์ Earth Kasha เริ่มการโจมตีด้วยวิธี Spear-phishing จากบัญชีอีเมลที่ไม่มีการใช้งานหรือโดยส่งอีเมลจากบัญชีที่ไม่ได้ใช้งานหรือบัญชีที่ถูก อีเมลดังกล่าวจะแนบไฟล์ ZIP ซึ่ง Host บน OneDrive และเขียนเนื้อหาเป็นภาษาญี่ปุ่นเพื่อเพิ่มความน่าเชื่อถือ หัวข้ออีเมลถูกออกแบบให้น่าสนใจ เช่น แบบฟอร์มขอสัมภาษณ์ รายชื่อหน่วยงานภาครัฐและสาธารณะ ฯลฯ เพื่อหลอกให้เหยื่อเปิดไฟล์แนบดังกล่าว
เมื่อเหยื่อดาวน์โหลดสำเร็จ ในขั้นตอนการติดตั้งมัลแวร์ ANEL Backdoor นั้นกลุ่มแฮกเกอร์สามารถดำเนินการติดตั้งได้ 3 วิธี ซึ่ง แต่ละวิธีมีรายละเอียดดังนี้:
- เอกสารที่เปิดใช้งาน Macro จะทำงานเมื่อเหยื่อเปิดไฟล์และเปิดใช้งาน Macro โดยไฟล์นี้เป็นมัลแวร์ Dropper ชื่อ ROAMINGMOUSE ซึ่งมีหน้าที่เรียกใช้งานองค์ประกอบของมัลแวร์ ANEL ได้แก่ ไฟล์ EXE, ไฟล์ ANELLDR และไฟล์ ANEL ที่ถูก Encrypt ดังรูปที่ 1
รูปที่ 1: ขั้นตอนการโจมตีด้วยไฟล์ที่เปิดใช้งาน Macro
- ใช้ไฟล์ Shortcut ในวิธีนี้ไฟล์ ZIP ไม่ได้มี ROAMINGMOUSE อยู่ภายในไฟล์โดยตรง แต่จะประกอบด้วยไฟล์ Shortcut และไฟล์ SFX (Self-extracting Archive ) ที่ปลอมเป็นรูปแบบไฟล์ .docx เมื่อไฟล์ SFX ถูกเปิด จะทำการติดตั้งไฟล์ 2 รายการลงในโฟลเดอร์ %APPDATA%MicrosoftTemplates ได้แก่ ไฟล์เอกสารที่ไม่เป็นอันตราย และไฟล์ normal_.dotm ที่มี ROAMINGMOUSE อยู่ เมื่อเหยื่อเปิดไฟล์เอกสาร ROAMINGMOUSE จะถูกโหลดในรูปแบบ Word Template โดยอัตโนมัติ จากนั้นกระบวนการติดตั้งมัลแวร์จะดำเนินต่อไปตามลำดับเดียวกับวิธีที่ 1
รูปที่ 2: ขั้นตอนการโจมตีโดยไฟล์ Shortcut
- ในวิธีนี้ การติดตั้งมัลแวร์อาศัย Payload ที่ใช้ PowerShell โดยขั้นตอนการทำงานมีความคล้ายคลึงกับวิธีที่ 2 แต่ไฟล์ Shortcut จะเรียกใช้คำสั่ง PowerShell เพื่อ Drop และ Extract ไฟล์ CAB (Windows Cabinet) ที่ซึ่งเป็นไฟล์บีบอัดที่บรรจุข้อมูลหลายไฟล์ไว้ในไฟล์เดียว หลังจากนั้น ระบบจะติดตั้งไฟล์เอกสารที่ไม่เป็นอันตราย ซึ่งทำหน้าที่ดาวน์โหลด ROAMINGMOUSE ในรูปแบบ Word Template และดำเนินการติดตั้งมัลแวร์ต่อไปตามลำดับเดียวกับวิธีที่ 2
รูปที่ 3: ขั้นตอนการโจมตีโดย Payload ที่ใช้ PowerShell
ผลกระทบจากการโจมตี
การโจมตีด้วยมัลแวร์ ANEL Backdoor ส่งผลให้กลุ่มแฮกเกอร์ Earth Kasha สามารถเข้าถึงและรวบรวมข้อมูลต่าง ๆ บนอุปกรณ์ของเหยื่อที่ถูก Compromise ได้ เช่น การแคปเจอร์หน้าจอ และการรัน Command เช่น arp และ dir เพื่อรวบรวมข้อมูล เกี่ยวกับระบบเครือข่ายและระบบไฟล์ นอกจากนี้กลุ่มแฮกเกอร์อาจทำการติดตั้งมัลแวร์อื่น ๆ เพิ่มเติมบนอุปกรณ์ของเหยื่อในการ ขยายขอบเขตการโจมตี
สรุปการโจมตี
กลุ่มแฮกเกอร์ Earth Kasha เริ่มโจมตีโดยการส่ง Spear-phishing เพื่อส่งลิงก์ไฟล์ ZIP ให้เหยื่อทำการเปิดไฟล์ หลังจากนั้นกลุ่มแฮกเกอร์ดำเนินการในขั้นตอนการติดตั้งมัลแวร์ ANEL ด้วยวิธีการใช้เอกสารที่เปิดการใช้งาน Macro การใช้ไฟล์ Shortcut หรือการใช้ Payload ที่มี Powershell ส่งผลให้กลุ่มแฮกเกอร์สามารถเข้าถึงและรวบรวมข้อมูลต่าง ๆ ของเหยื่อจนไปถึงการโจมตี ด้วยมัลแวร์เพิ่มเติมต่อไปได้
คำแนะนำ
- Awareness Training ให้แก่พนักงานในองค์กร เช่น การโจมตีในรูปแบบ Phishing
- ใช้ Mail Gateway ในการตรวจจับอีเมล หรือลิงก์อันตรายที่แนบมา
- อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
- พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
- ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
Indicators of Compromise (IoCs)
| Earth Kasha Campaign | |
| IPv4 | 139[.]84[.]131[.]62 |
| 139[.]84[.]136[.]105 | |
| 45[.]32[.]116[.]146 | |
| 45[.]77[.]252[.]85 | |
| 208[.]85[.]18[.]4 | |
แหล่งอ้างอิง
https://securityonline.info/anel-backdoor-reactivated-in-earth-kasha-cyber-espionage-campaign/
