Breaking News

Kaspersky เผยการแฮ็กเซิร์ฟเวอร์อัปเดตของ ASUS เป็นแค่ส่วนหนึ่งในปฏิบัติการ ShadowHammer

เมื่อเดือนที่ผ่านมามีเหตุการเซิร์ฟเวอร์อัปเดตของ ASUS ถูกแฮ็กซึ่งคนร้ายได้ฝังโค้ดอันตรายเข้าไปซอฟต์แวร์อัปเดต อีกทั้งยังมีการใช้ Certificate ที่ถูกต้องที่ช่วยหลอกระบบปฏิบัติการว่าเป็นซอฟต์แวร์ที่ถูกต้องของบริษัท ซึ่งหลังการตามรอยต่อมาทาง Kaspersky ได้ออกมาเปิดเผยว่ายังมีบริษัทอีก 6 แห่งถูกโจมตีเช่นกันเพราะพบยุทธวิธีคล้ายกันมาก

credit : Bleepingcomputer

Kaspersky ได้ตรวจสอบตัวอย่างของการโจมตีที่เกิดขึ้นกับบริษัทแห่งอื่นๆ โดยพบว่ามีความคล้ายกันคืออัลกอริทึมในการคำนวณ API function hash ซึ่งจากตัวอย่าง IPHLPAPI.dll ถูกใช้งานอย่างหนักหน่วง นอกจากนี้ยังมีการใช้ Certificate ที่ถูกต้องด้วยจึงสันนิษฐานว่าเป็น Supply-chain Attack ที่เกิดขึ้นในปฏิบัติการเดียวกันกับ ASUS ที่ชื่อ ‘ShadowHammer’ สำหรับบริษัท 6 แห่งคือ Electronics Extreme ผู้ผลิตเกม, Innovation Extremist ผู้ให้บริการ Web และ IT infrastucture, Zepetto ผู้ผลิตวีดีโอเกม และอีก 3 แห่งในเกาหลีใต้ที่ไม่เปิดเผยชื่อคือบริษัทเกม บริษัทยา และบริษัทที่มีเครือข่ายหลายธุรกิจ

จากการวิเคราะห์ของ Kaspersky พบว่าคนร้ายสามารถฝัง Payload ที่ออกแบบมาสำหรับเก็บข้อมูลและดาวน์โหลด Payload อื่นๆ จากเซิร์ฟเวอร์ C&C เข้ามาในซอฟต์แวร์ โดยสำหรับบริษัทเกมถูกแฝงโทรจันนี้จะทำหน้าที่เป็น Dropper เพื่อตรวจสอบเงื่อนไข เช่น เครื่องใช้ภาษาจีนหรือรัสเซียหรือไม่หากใช่จะไม่ทำงาน เป็นต้น อย่างไรก็ตามหากเงื่อนไขสำเร็จมัลแวร์จะเก็บข้อมูล เช่น MAC Address, System Username, System Hostname, IP Address, Windows Version, CPU, Domain name, Drive C: Volume name และ Serial Number, Screen Resolution เป็นต้น จากนั้นก็จะ HTTP Post ไปหาเซิร์ฟเวอร์และ Request คำสั่ง เช่น ดาวน์โหลดข้อมูล URL ไปยังไฟล์หรือ Execute ด้วย แม้กระทั่งถอนการติดตั้ง Registry ที่ขัดขวางไม่ให้มัลแวร์เริ่มการทำงาน เป็นต้น

Kaspersky ระบุว่าก่อนหน้านี้มีเหตุการณ์คล้ายกันมาก่อนแล้วแต่ซึ่งครั้งนี้ถือเป็นเหตุการณ์ ดัดแปลงเพราะมีการแก้ไข Google Docs สำหรับติดต่อกับเซิร์ฟเวอร์ C&C ด้วย รวมถึงยังมีการใช้อัลกอริทึมเดิมจากมัลแวร์ก่อนหน้าด้วย เช่น PlugX เป็นต้น อย่างไรก็ดีปัจจุบัน Kaspersky ได้แจ้งเตือนบริษัทที่ตกเป็นเหยื่อเรียบร้อยแล้วพร้อมทั้งทำงานร่วมกันอย่างใกล้ชิด แต่ถึงตอนนี้นักวิจัยเองยังไม่แน่ใจเลยว่าจะมีตัวเลขของเหยื่ออีกกี่รายที่ตกเป็นเหยื่อของปฏิบัติการครั้งนี้

สามารถติดตามรายงานฉบับเต็มจาก Kaspersky ได้ที่นี่ หรืออ่านข่าวเก่าของ ASUS ได้จาก Techtalkthai 

ที่มา :  https://www.bleepingcomputer.com/news/security/shadowhammer-targets-multiple-companies-asus-just-one-of-them/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Oracle Webinar: ลดการลงทุนด้านเทคโนโลยีอย่างสูญเปล่าด้วย Oracle Cloud Infrastructure (Gen 2)

Oracle ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าฟังบรรยาย Oracle Webinar เรื่อง “ลดการลงทุนด้านเทคโนโลยีอย่างสูญเปล่าด้วย Oracle Cloud Infrastructure” พร้อมแนะนำการทำ Application Modernization เพื่อพลิกโฉมธุรกิจในยุค New Normal ในวันอังคารที่ 18 สิงหาคม 2020 เวลา 14:00 น. ผ่าน Live Webinar ฟรี

รีวิว: ZyWALL USG FLEX – Firewall สำหรับ Home Office และธุรกิจ SMB

ทีมงาน TechTalkThai ได้มีโอกาสทดลองใช้ ZyWALL USG FLEX ซึ่งเป็น Firewall สำหรับ Home Office และธุรกิจ SMB ซีรี่ย์ใหม่ล่าสุดจาก Zyxel …