เตือนมัลแวร์ “ไร้ไฟล์” พุ่งเป้าธนาคารและองค์กรทั่วโลก

Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชั้นนำของโลก ออกมาแจ้งเตือนถึงการแพร่กระจายตัวของมัลแวร์ “ไร้ไฟล์” ซึ่งเป็นมัลแวร์ระดับสูงที่ยากต่อการตรวจจับ เนื่องจากไม่จำเป็นต้องใช้ไฟล์เป็นสื่อการทำงาน แต่พุ่งโจมตีหน่วยความจำโดยตรง ธนาคารและสถาบันการเงินจาก 40 ประเทศทั่วโลกต่างตกอยู่ในความเสี่ยง

มัลแวร์ไร้ไฟล์เป็นซอฟต์แวร์อันตรายที่ไม่จำเป็นต้องคัดลอกไฟล์หรือโฟลเดอร์ใดๆ ลงบนฮาร์ดไดรฟ์เพื่อเริ่มการทำงาน แต่ Payload ของมัลแวร์จะถูกส่งเข้าไปยังหน่วยความจำของ Process ที่รันโดยตรง แล้วเริ่มทำงานในนั้นแทน จากการที่มัลแวร์รันในหน่วยความจำ ทำให้การทำ Digital Forensics เพื่อค้นหาร่องรอยของมัลแวร์เป็นเรื่องยากมาก เนื่องจากข้อมูลในหน่วยความจำจะหายไปเมื่อระบบมีการรีบูต

การแพร่กระจายตัวของมัลแวร์นี้ถูกค้นพบครั้งแรกโดยทีมรักษาความมั่นคงปลอดภัยของธนาคารแห่งหนึ่ง ที่นั่นพวกเขาค้นพบ Meterpreter Payload (In-memory Component ของ Metasploit) ซ่อนอยู่ในหน่วยความจำกายภาพของ Microsoft Domain Controller หลังจากที่ทำการวิเคราะห์เชิง Digital Forensics ทีมนักวิจัยจาก Kaspersky พบว่าแฮ็คเกอร์ใช้ประโยชน์จาก Windows PowerShell ในการโหลดโค้ด Meterpreter เข้าไปยังหน่วยความจำโดยตรง แทนที่จะทำการเขียนลงบนฮาร์ดดิสก์

เมื่อมัลแวร์รันการทำงาน แฮ็คเกอร์จะใช้ NETSH ของ Microsoft ในการสร้างท่อ Proxy สำหรับติดต่อกับ C&C Server และเข้าควบคุมเครื่องที่ติดมัลแวร์จากระยะไกล ที่สำคัญคือ คำสั่ง PowerShell จะถูกเก็บซ่อนไว้ใน Windows Registry เพื่อลดร่องรอยกิจกรรมที่จะปรากฏบน Log หรือบนฮาร์ดดิสก์หลังรีบูตอุปกรณ์อีกด้วย ทำให้ Digital Forensics ทำได้อย่างยากลำบาก

Kaspersky ระบุว่า เป้าหมายสูงสุดของแฮ็คเกอร์ชัดเจนมากว่าจะเข้าโจมตีคอมพิวเตอร์ที่ใช้ควบคุมระบบ ATM เพื่อให้สามารถขโมยเงินออกมาได้

มัลแวร์ไร้ไฟล์นี้ถูกค้นพบครั้งแรกเมื่อปี 2014 แต่ขณะนั้นยังไม่พบร่องรอยการแพร่กระจายตัวเป็นวงกว้างแต่อย่างใด แต่ล่าสุด Kaspersky พบมัลแวร์ดังกล่าวกำลังแพร่กระจายตัวไปทั่วโลก โดยพุ่งเป้าไปยังธนาคาร ผู้ให้บริการโทรคมนาคม และหน่วยงานรัฐบาลกว่า 140 แห่งจาก 40 ประเทศทั่วโลก ไม่ว่าจะเป็น สหรัฐฯ ฝรั่งเศส เอกวาดอร์ เคนยา สหราชอาณาจักร หรือรัสเซีย

รายละเอียดเพิ่มเติม: https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks/

ที่มา: http://thehackernews.com/2017/02/fileless-malware-bank.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ดาวน์โหลด WHITEPAPER ฟรี: การสร้างรากฐานที่จำเป็นสำหรับ SMART HEALTHCARE

สิ่งหนึ่งที่เราได้เห็นกันบ่อยครั้งในหน้าสื่อเกี่ยวกับธุรกิจคือการที่โรคระบาดโควิด 19 ได้เน้นให้เห็นถึงความสำคัญและความเร่งด่วนของการปฏิรูปทางดิจิทัลสำหรับองค์กรในทุกภาคส่วน คำพูดเหล่านี้จริง ทว่าแม้ก่อนเกิดวิกฤตการณ์ในครั้งนี้ขึ้น อาจกล่าวได้ว่าหน่วยงานด้านการดูแลสุขภาพนั้นตระหนักถึงเรื่องนี้เป็นอย่างดีกว่าองค์กรประเภทอื่นๆ

IBM เข้าซื้อกิจการ Dialexa เสริมศักยภาพให้กับ Digital Innovation

IBM ประกาศการซื้อกิจการ Dialexa ซึ่งเป็นบริษัทให้บริการด้านวิศวกรรมผลิตภัณฑ์ดิจิทัลชั้นนำของสหรัฐฯ เพื่อช่วยบริษัทต่างๆ ในการขับเคลื่อนนวัตกรรมและบรรลุวาระการเติบโตทางดิจิทัล การเข้าซื้อกิจการครั้งนี้คาดว่าจะช่วยเสริมศักยภาพความเชี่ยวชาญด้านวิศวกรรมผลิตภัณฑ์ของไอบีเอ็มและให้บริการการเปลี่ยนแปลงทางดิจิทัลแบบครบวงจรสำหรับลูกค้า