TTT Virtual Summit: Enterprise Cybersecurity & Privacy 2023
CDIC 2023

Kaspersky เผยการแฮ็กเซิร์ฟเวอร์อัปเดตของ ASUS เป็นแค่ส่วนหนึ่งในปฏิบัติการ ShadowHammer

April 24, 2019 Advanced Threat Protection, Security, Threats Update

เมื่อเดือนที่ผ่านมามีเหตุการเซิร์ฟเวอร์อัปเดตของ ASUS ถูกแฮ็กซึ่งคนร้ายได้ฝังโค้ดอันตรายเข้าไปซอฟต์แวร์อัปเดต อีกทั้งยังมีการใช้ Certificate ที่ถูกต้องที่ช่วยหลอกระบบปฏิบัติการว่าเป็นซอฟต์แวร์ที่ถูกต้องของบริษัท ซึ่งหลังการตามรอยต่อมาทาง Kaspersky ได้ออกมาเปิดเผยว่ายังมีบริษัทอีก 6 แห่งถูกโจมตีเช่นกันเพราะพบยุทธวิธีคล้ายกันมาก

credit : Bleepingcomputer

Kaspersky ได้ตรวจสอบตัวอย่างของการโจมตีที่เกิดขึ้นกับบริษัทแห่งอื่นๆ โดยพบว่ามีความคล้ายกันคืออัลกอริทึมในการคำนวณ API function hash ซึ่งจากตัวอย่าง IPHLPAPI.dll ถูกใช้งานอย่างหนักหน่วง นอกจากนี้ยังมีการใช้ Certificate ที่ถูกต้องด้วยจึงสันนิษฐานว่าเป็น Supply-chain Attack ที่เกิดขึ้นในปฏิบัติการเดียวกันกับ ASUS ที่ชื่อ ‘ShadowHammer’ สำหรับบริษัท 6 แห่งคือ Electronics Extreme ผู้ผลิตเกม, Innovation Extremist ผู้ให้บริการ Web และ IT infrastucture, Zepetto ผู้ผลิตวีดีโอเกม และอีก 3 แห่งในเกาหลีใต้ที่ไม่เปิดเผยชื่อคือบริษัทเกม บริษัทยา และบริษัทที่มีเครือข่ายหลายธุรกิจ

จากการวิเคราะห์ของ Kaspersky พบว่าคนร้ายสามารถฝัง Payload ที่ออกแบบมาสำหรับเก็บข้อมูลและดาวน์โหลด Payload อื่นๆ จากเซิร์ฟเวอร์ C&C เข้ามาในซอฟต์แวร์ โดยสำหรับบริษัทเกมถูกแฝงโทรจันนี้จะทำหน้าที่เป็น Dropper เพื่อตรวจสอบเงื่อนไข เช่น เครื่องใช้ภาษาจีนหรือรัสเซียหรือไม่หากใช่จะไม่ทำงาน เป็นต้น อย่างไรก็ตามหากเงื่อนไขสำเร็จมัลแวร์จะเก็บข้อมูล เช่น MAC Address, System Username, System Hostname, IP Address, Windows Version, CPU, Domain name, Drive C: Volume name และ Serial Number, Screen Resolution เป็นต้น จากนั้นก็จะ HTTP Post ไปหาเซิร์ฟเวอร์และ Request คำสั่ง เช่น ดาวน์โหลดข้อมูล URL ไปยังไฟล์หรือ Execute ด้วย แม้กระทั่งถอนการติดตั้ง Registry ที่ขัดขวางไม่ให้มัลแวร์เริ่มการทำงาน เป็นต้น

Kaspersky ระบุว่าก่อนหน้านี้มีเหตุการณ์คล้ายกันมาก่อนแล้วแต่ซึ่งครั้งนี้ถือเป็นเหตุการณ์ ดัดแปลงเพราะมีการแก้ไข Google Docs สำหรับติดต่อกับเซิร์ฟเวอร์ C&C ด้วย รวมถึงยังมีการใช้อัลกอริทึมเดิมจากมัลแวร์ก่อนหน้าด้วย เช่น PlugX เป็นต้น อย่างไรก็ดีปัจจุบัน Kaspersky ได้แจ้งเตือนบริษัทที่ตกเป็นเหยื่อเรียบร้อยแล้วพร้อมทั้งทำงานร่วมกันอย่างใกล้ชิด แต่ถึงตอนนี้นักวิจัยเองยังไม่แน่ใจเลยว่าจะมีตัวเลขของเหยื่ออีกกี่รายที่ตกเป็นเหยื่อของปฏิบัติการครั้งนี้

สามารถติดตามรายงานฉบับเต็มจาก Kaspersky ได้ที่นี่ หรืออ่านข่าวเก่าของ ASUS ได้จาก Techtalkthai 

ที่มา :  https://www.bleepingcomputer.com/news/security/shadowhammer-targets-multiple-companies-asus-just-one-of-them/

Tags


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เชิญร่วมงานสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 วันที่ 6 ตุลาคม 2023

Bay Computing ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วมสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 ซึ่งจัดขึ้นภายใต้ธีม “First Class Cybersecurity to …

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Incident Response’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

Incident Response เป็นหนึ่งในหัวข้อหลักของแผนการที่ทุกองค์กรควรมือ คำถามคือทุกวันนี้องค์กรหรือบริษัทที่ท่านมีส่วนรวมมีแผนรับมือเหล่านี้ได้ดีเพียงใด ครอบคลุมความเสี่ยงและเคยผ่านสถานการณ์จริงมาได้ดีแค่ไหน ซึ่งหากปฏิบัติตามแผนได้ดีก็อาจจะช่วยลดผลกระทบของความเสียหายได้อย่างมีนัยสำคัญ ด้วยเหตุนี้เองจึงอยากขอเชิญชวนผู้สนใจทุกท่านมาเพิ่มพูนความรู้ในคอร์สสุดพิเศษจาก Sosecure โดยเนื้อหาจะกล่าวถึง Framework, Incident Response และ Incident Handling …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand