ผู้เชี่ยวชาญพบแฮ็กเกอร์ใช้ TeamViewer แทรกซึมเข้าสู่เครือข่ายรัฐบาลหลายประเทศ

Check Point ได้รายงานเตือนถึงปฏิบัติการของแฮ็กเกอร์ที่ใช้เทคนิค DLL Side-loading กับโปรแกรมรีโมตเดสก์ท็อปยอดนิยมอย่าง TeamViewer เพื่อแทรกซึมเข้าไปในเครือข่ายของรัฐบาลหลายประเทศ

ขั้นตอนการโจมตีสามารถสรุปได้ดังนี้

1.ใช้ Spam Email ที่แนบไฟล์เอกสาร XLSM ที่ฝัง Embedded Macro โดยใช้ชื่อหัวข้อเรื่องอีเมลว่า ‘Military Financing Program’ เพื่อดึงดูดความน่าสนใจจากเหยื่อให้หลงเชื่อ

2.เมื่อเปิดไฟล์เอกสารขึ้นมาและ Enable Macro จะมีการไป Extract ไฟล์มาเพิ่ม 2 ตัวคือ AutoHotkeyU32.exe ซึ่งเป็นโปรแกรมที่ถูกต้องปกติและอีกตัวคือ AutoHotkeyU32.ahk หรือสคิร์ปต์ไว้ใช้คุยกับเซิร์ฟเวอร์ C&C เพื่อดาวน์โหลดสคิร์ปต์อื่นๆ เข้ามาปฏิบัติการเพิ่มได้

3.ดาวน์โหลดสคิร์ปต์ .ahk 3 ตัวมีหน้าที่ดังนี้

• hscreen.ahk – จับภาพหน้าจอเหยื่อและอัปโหลดข้อมูลกลับไปหาเซิร์ฟเวอร์
• hinfo.ahk – ส่ง Username และข้อมูลเครื่องเหยื่อกลับไปหาเซิร์ฟเวอร์
• htv.ahk – โหลด TeamViewer เวอร์ชันอันตราย รวมถึง Execute และส่ง Credential Login กลับไปหาเซิร์ฟเวอร์

อย่างไรก็ตามด้วยเทคนิค DLL side-loading ทำให้คนร้ายสามารถเพิ่มความสามารถให้ TeamViewer เช่น ซ่อนหน้าอินเทอร์เฟสของแอปพลิเคชันจากผู้ใช้งาน บันทึก Credentials ของเซสชันปัจจุบันไปยังไฟล์ Text และอนุญาตการย้ายและ Execute ไฟล์ exe และ dll อื่นๆ

โดยจากหลักฐานที่พบผู้เชี่ยวชาญสันนิษฐานว่าน่าจะเป็นฝีมือของแฮ็กเกอร์รัสเซียและมีการโจมตีส่วนงานรัฐบาลในหลายประเทศ เช่น เนปาล เคนย่า อิตาลี ลิเบีย เบอร์มิวดา กายอานา และ เลบานอน นอกจากนี้ Check Point ได้สรุปทิ้งท้ายไว้ว่า “dll อันตรายเปิดทางให้แฮ็กเกอร์สามารถส่ง Payload เพิ่มเติมเข้าไปแทรกซึมเครื่องเหยื่อและรันได้จากทางไกลซึ่งเรายังไม่สามารถทราบได้ทั้งหมดว่าจริงๆ แล้วมีฟังก์ชันอะไรบ้างและแรงจูงใจแท้จริงคืออะไร“

ผู้สนใจสามารถอ่านรายงานจาก Check Point ได้ที่นี่

ที่มา :  https://www.securityweek.com/government-officials-targeted-trojanized-teamviewer และ  https://gbhackers.com/weaponized-teamviewer/