ผู้เชี่ยวชาญพบแฮ็กเกอร์ใช้ TeamViewer แทรกซึมเข้าสู่เครือข่ายรัฐบาลหลายประเทศ

Check Point ได้รายงานเตือนถึงปฏิบัติการของแฮ็กเกอร์ที่ใช้เทคนิค DLL Side-loading กับโปรแกรมรีโมตเดสก์ท็อปยอดนิยมอย่าง TeamViewer เพื่อแทรกซึมเข้าไปในเครือข่ายของรัฐบาลหลายประเทศ

credit : gbhackers.com

ขั้นตอนการโจมตีสามารถสรุปได้ดังนี้

1.ใช้ Spam Email ที่แนบไฟล์เอกสาร XLSM ที่ฝัง Embedded Macro โดยใช้ชื่อหัวข้อเรื่องอีเมลว่า ‘Military Financing Program’ เพื่อดึงดูดความน่าสนใจจากเหยื่อให้หลงเชื่อ

2.เมื่อเปิดไฟล์เอกสารขึ้นมาและ Enable Macro จะมีการไป Extract ไฟล์มาเพิ่ม 2 ตัวคือ AutoHotkeyU32.exe ซึ่งเป็นโปรแกรมที่ถูกต้องปกติและอีกตัวคือ AutoHotkeyU32.ahk หรือสคิร์ปต์ไว้ใช้คุยกับเซิร์ฟเวอร์ C&C เพื่อดาวน์โหลดสคิร์ปต์อื่นๆ เข้ามาปฏิบัติการเพิ่มได้

3.ดาวน์โหลดสคิร์ปต์ .ahk 3 ตัวมีหน้าที่ดังนี้

  • hscreen.ahk – จับภาพหน้าจอเหยื่อและอัปโหลดข้อมูลกลับไปหาเซิร์ฟเวอร์
  • hinfo.ahk – ส่ง Username และข้อมูลเครื่องเหยื่อกลับไปหาเซิร์ฟเวอร์
  • htv.ahk – โหลด TeamViewer เวอร์ชันอันตราย รวมถึง Execute และส่ง Credential Login กลับไปหาเซิร์ฟเวอร์

อย่างไรก็ตามด้วยเทคนิค DLL side-loading ทำให้คนร้ายสามารถเพิ่มความสามารถให้ TeamViewer เช่น ซ่อนหน้าอินเทอร์เฟสของแอปพลิเคชันจากผู้ใช้งาน บันทึก Credentials ของเซสชันปัจจุบันไปยังไฟล์ Text และอนุญาตการย้ายและ Execute ไฟล์ exe และ dll อื่นๆ

โดยจากหลักฐานที่พบผู้เชี่ยวชาญสันนิษฐานว่าน่าจะเป็นฝีมือของแฮ็กเกอร์รัสเซียและมีการโจมตีส่วนงานรัฐบาลในหลายประเทศ เช่น เนปาล เคนย่า อิตาลี ลิเบีย เบอร์มิวดา กายอานา และ เลบานอน นอกจากนี้ Check Point ได้สรุปทิ้งท้ายไว้ว่า “dll อันตรายเปิดทางให้แฮ็กเกอร์สามารถส่ง Payload เพิ่มเติมเข้าไปแทรกซึมเครื่องเหยื่อและรันได้จากทางไกลซึ่งเรายังไม่สามารถทราบได้ทั้งหมดว่าจริงๆ แล้วมีฟังก์ชันอะไรบ้างและแรงจูงใจแท้จริงคืออะไร

ผู้สนใจสามารถอ่านรายงานจาก Check Point ได้ที่นี่

ที่มา :  https://www.securityweek.com/government-officials-targeted-trojanized-teamviewer และ  https://gbhackers.com/weaponized-teamviewer/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รู้จักกับ Secure Access Service Edge (SASE) หัวใจแห่ง Network Security ในอนาคต

Gartner บริษัทวิจัยและให้คำปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน The Future of Network Security is in the Cloud บรรยายถึงแนวโน้มการเปลี่ยนผ่านด้านเครือข่ายและความมั่นคงปลอดภัยบนระบบ Cloud โดยนำเสนอโมเดลใหม่ที่เรียกว่า …

[รีวิว] ASUS ExpertPC D641MD คอมทำงานขนาดเล็ก สเป็คจัดเต็ม ต่อได้ 3 จอพร้อมกัน

ยังคงมีรีวิวต่อเนื่องสำหรับเครื่อง Commercial PC จาก ASUS ที่ต้องการบุกตลาดไทยภายใต้แบรนด์ ASUS ExpertPC โดยคราวนี้ทีมงาน TechTalkThai จะขอรีวิว ASUS ExpertPC D641MD ซึ่งเป็นคอมพิวเตอร์รุ่นทำงานที่ถือว่าโดดเด่นมากจากการที่สามารถเชื่อมต่อจอได้มากถึง 3 จอในตัว และรองรับการอัปเกรดสเป็คให้กลายเป็นเครื่องแรงระดับ Workstation ได้เลย