Breaking News

Kaspersky เผยการแฮ็กเซิร์ฟเวอร์อัปเดตของ ASUS เป็นแค่ส่วนหนึ่งในปฏิบัติการ ShadowHammer

เมื่อเดือนที่ผ่านมามีเหตุการเซิร์ฟเวอร์อัปเดตของ ASUS ถูกแฮ็กซึ่งคนร้ายได้ฝังโค้ดอันตรายเข้าไปซอฟต์แวร์อัปเดต อีกทั้งยังมีการใช้ Certificate ที่ถูกต้องที่ช่วยหลอกระบบปฏิบัติการว่าเป็นซอฟต์แวร์ที่ถูกต้องของบริษัท ซึ่งหลังการตามรอยต่อมาทาง Kaspersky ได้ออกมาเปิดเผยว่ายังมีบริษัทอีก 6 แห่งถูกโจมตีเช่นกันเพราะพบยุทธวิธีคล้ายกันมาก

credit : Bleepingcomputer

Kaspersky ได้ตรวจสอบตัวอย่างของการโจมตีที่เกิดขึ้นกับบริษัทแห่งอื่นๆ โดยพบว่ามีความคล้ายกันคืออัลกอริทึมในการคำนวณ API function hash ซึ่งจากตัวอย่าง IPHLPAPI.dll ถูกใช้งานอย่างหนักหน่วง นอกจากนี้ยังมีการใช้ Certificate ที่ถูกต้องด้วยจึงสันนิษฐานว่าเป็น Supply-chain Attack ที่เกิดขึ้นในปฏิบัติการเดียวกันกับ ASUS ที่ชื่อ ‘ShadowHammer’ สำหรับบริษัท 6 แห่งคือ Electronics Extreme ผู้ผลิตเกม, Innovation Extremist ผู้ให้บริการ Web และ IT infrastucture, Zepetto ผู้ผลิตวีดีโอเกม และอีก 3 แห่งในเกาหลีใต้ที่ไม่เปิดเผยชื่อคือบริษัทเกม บริษัทยา และบริษัทที่มีเครือข่ายหลายธุรกิจ

จากการวิเคราะห์ของ Kaspersky พบว่าคนร้ายสามารถฝัง Payload ที่ออกแบบมาสำหรับเก็บข้อมูลและดาวน์โหลด Payload อื่นๆ จากเซิร์ฟเวอร์ C&C เข้ามาในซอฟต์แวร์ โดยสำหรับบริษัทเกมถูกแฝงโทรจันนี้จะทำหน้าที่เป็น Dropper เพื่อตรวจสอบเงื่อนไข เช่น เครื่องใช้ภาษาจีนหรือรัสเซียหรือไม่หากใช่จะไม่ทำงาน เป็นต้น อย่างไรก็ตามหากเงื่อนไขสำเร็จมัลแวร์จะเก็บข้อมูล เช่น MAC Address, System Username, System Hostname, IP Address, Windows Version, CPU, Domain name, Drive C: Volume name และ Serial Number, Screen Resolution เป็นต้น จากนั้นก็จะ HTTP Post ไปหาเซิร์ฟเวอร์และ Request คำสั่ง เช่น ดาวน์โหลดข้อมูล URL ไปยังไฟล์หรือ Execute ด้วย แม้กระทั่งถอนการติดตั้ง Registry ที่ขัดขวางไม่ให้มัลแวร์เริ่มการทำงาน เป็นต้น

Kaspersky ระบุว่าก่อนหน้านี้มีเหตุการณ์คล้ายกันมาก่อนแล้วแต่ซึ่งครั้งนี้ถือเป็นเหตุการณ์ ดัดแปลงเพราะมีการแก้ไข Google Docs สำหรับติดต่อกับเซิร์ฟเวอร์ C&C ด้วย รวมถึงยังมีการใช้อัลกอริทึมเดิมจากมัลแวร์ก่อนหน้าด้วย เช่น PlugX เป็นต้น อย่างไรก็ดีปัจจุบัน Kaspersky ได้แจ้งเตือนบริษัทที่ตกเป็นเหยื่อเรียบร้อยแล้วพร้อมทั้งทำงานร่วมกันอย่างใกล้ชิด แต่ถึงตอนนี้นักวิจัยเองยังไม่แน่ใจเลยว่าจะมีตัวเลขของเหยื่ออีกกี่รายที่ตกเป็นเหยื่อของปฏิบัติการครั้งนี้

สามารถติดตามรายงานฉบับเต็มจาก Kaspersky ได้ที่นี่ หรืออ่านข่าวเก่าของ ASUS ได้จาก Techtalkthai 

ที่มา :  https://www.bleepingcomputer.com/news/security/shadowhammer-targets-multiple-companies-asus-just-one-of-them/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ

Microsoft ประกาศเหตุคอนฟิค Rule ผิด เปิดเข้าถึงข้อมูลลูกค้าได้กว่า 250 ล้านรายการ

Microsoft ได้ประกาศถึงเหตุการความผิดพลาดโดยไม่ตั้งใจสาเหตุจากการคอนฟิค Security Rule ของ Azure ที่เกี่ยวข้องกับเซิร์ฟเวอร์ฐานข้อมูล Customer Support ส่งผลให้ข้อมูลกว่า 250 ล้านรายการสามารถถูกเข้าถึงได้ แต่ยังไม่มีรายงานพบการนำข้อมูลไปใช้ในทางที่ไม่ดี