แฮกเกอร์ใช้เทคนิคการโจมตีใหม่โดยใช้ VHD เพื่อเผยแพร่มัลแวร์ VenomRAT ไปยังเหยื่อ

Last updated: 21 Mar 2025

32 Views

สรุปข้อมูล

กลุ่มแฮกเกอร์ใช้ประโยชน์จากไฟล์ Virtual Hard Disk (VHD) ในการแพร่กระจายมัลแวร์ VenomRAT ซึ่งเป็นมัลแวร์ประเภท Remote Access Tool (RAT) ที่พัฒนาด้วยภาษา C# บน .NET Framework ไปยังเหยื่อผ่านการโจมตีรูปแบบ Email Phishing เพื่อขโมยข้อมูล Sensitive ต่าง ๆ ของเหยื่อ เช่น ข้อมูลการใช้งานการพิมพ์ผ่านคีย์บอร์ด ข้อมูลฮาร์ดแวร์ และข้อมูลกระบวนการทำงานบนระบบ

รายละเอียดการโจมตี

รูปที่ 1: ขั้นตอนการโจมตี

การโจมตีเริ่มต้นจากแฮกเกอร์ส่ง Email Phishing ไปยังเหยื่อโดยปลอมเป็นรายการคำสั่งซื้อ พร้อมไฟล์ที่ถูก Compress ไว้ เพื่อหลอกให้เหยื่อดาวน์โหลดลงเครื่อง เมื่อ Decompress ออกมาจะพบว่ามีไฟล์ Hard Disk Image (.vhd) ซ่อนอยู่
เมื่อเหยื่อเปิดไฟล์ VHD จะทำการ Mount ตัวเองเป็น Drive ของ Hard Disk ที่มี Batch Script ที่ถูกออกแบบให้ทำงานผ่าน PowerShell โดยใช้เทคนิค Obfuscation เพื่อลดโอกาสถูกตรวจจับ เช่น
- การแทรก Garbage Character ใน Code
- การ Encode ด้วย Base64
- การ Encryption ด้วย AES Algorithm
Batch Script ทำการ Copy ตัวเองลงไปยัง C:Users%userprofile%dwm[.]bat และเรียกใช้งาน PowerShell เพื่อดำเนินการ Command เพิ่มเติมในระบบ ได้แก่:
- ติดตั้ง cmd Script ลงในโฟลเดอร์ StartUp
- แก้ไข Registry ของระบบ
- สร้างการเชื่อมต่อไปยัง Pastebin[.]com ซึ่งเป็น C2 Server ของแฮกเกอร์
- ติดตั้งไฟล์ที่อันตรายลงในโฟลเดอร์ AppDataRoaming โดยใช้ชื่อว่า DataLogs[.]conf
หลังจาก Batch Script ดำเนินการข้างต้นเสร็จสิ้น จะทำการติดตั้ง VenomRAT โดยใช้ Hidden Virtual Network Computing (HVNC) Service นอกจากนี้ยังใช้ AES Key ในการ Decryption อีกด้วย

ผลกระทบจากการโจมตี

ผลกระทบจากการโจมตีด้วยมัลแวร์ VenomRAT ส่งผลให้แฮกเกอร์สามารถเข้าถึงและขโมยข้อมูลสำคัญต่าง ๆ ของเหยื่อ เช่น ข้อมูลการใช้งานการพิมพ์ผ่านคีย์บอร์ด กล้อง และเมาส์ ข้อมูลฮาร์ดแวร์ อาทิ CPU, RAM และ GPU ข้อมูลซอฟแวร์ในเครื่อง ข้อมูล Process การทำงาน นอกจากนี้แฮกเกอร์สามารถดำเนินการโจมตีเพิ่มเติมได้ผ่านการ Remote ไม่ว่าจะเป็นการติดตั้งมัลแวร์เพิ่มเติม และรัน Command บนเครื่องของเหยื่อ

สรุปการโจมตี

การโจมตีเริ่มจากส่ง Email Phishing พร้อมแนบไฟล์ Virtual Hard Disk (VHD) ซึ่งมีไฟล์ Batch ที่อันตรายอยู่ภายใน เพื่อแพร่กระจายมัลแวร์ VenomRAT โดยใช้เทคนิค Obfuscation, PowerShell, C2 Communication, และ HVNC เพื่อหลีกเลี่ยงการตรวจจับและ Remote เข้าควบคุมเครื่องของเหยื่อได้

คำแนะนำ

Awareness Training เรื่องรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น Phishing
เปิดใช้งาน Mail Gateway เพื่อป้องการอีเมลและลิงก์ที่อันตราย
หมั่นตรวจสอบและอัปเดตซอฟต์แวร์ของ Microsoft อย่างสม่ำเสมอ
ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม

แหล่งอ้างอิง

https://cybersecuritynews.com/hacker-weaponizing-hard-disk-image-files-to-deliver-venomrat/

https://www.forcepoint.com/blog/x-labs/venomrat-malware-uses-virtual-hard-drives

https://www.Broadcom.com/support/security-center/protection-bulletin/venomrat-malware-campaign-uses-vhd-files-for-data-exfiltration

Tags :