Kaspersky เผยการแฮ็กเซิร์ฟเวอร์อัปเดตของ ASUS เป็นแค่ส่วนหนึ่งในปฏิบัติการ ShadowHammer

เมื่อเดือนที่ผ่านมามีเหตุการเซิร์ฟเวอร์อัปเดตของ ASUS ถูกแฮ็กซึ่งคนร้ายได้ฝังโค้ดอันตรายเข้าไปซอฟต์แวร์อัปเดต อีกทั้งยังมีการใช้ Certificate ที่ถูกต้องที่ช่วยหลอกระบบปฏิบัติการว่าเป็นซอฟต์แวร์ที่ถูกต้องของบริษัท ซึ่งหลังการตามรอยต่อมาทาง Kaspersky ได้ออกมาเปิดเผยว่ายังมีบริษัทอีก 6 แห่งถูกโจมตีเช่นกันเพราะพบยุทธวิธีคล้ายกันมาก

credit : Bleepingcomputer

Kaspersky ได้ตรวจสอบตัวอย่างของการโจมตีที่เกิดขึ้นกับบริษัทแห่งอื่นๆ โดยพบว่ามีความคล้ายกันคืออัลกอริทึมในการคำนวณ API function hash ซึ่งจากตัวอย่าง IPHLPAPI.dll ถูกใช้งานอย่างหนักหน่วง นอกจากนี้ยังมีการใช้ Certificate ที่ถูกต้องด้วยจึงสันนิษฐานว่าเป็น Supply-chain Attack ที่เกิดขึ้นในปฏิบัติการเดียวกันกับ ASUS ที่ชื่อ ‘ShadowHammer’ สำหรับบริษัท 6 แห่งคือ Electronics Extreme ผู้ผลิตเกม, Innovation Extremist ผู้ให้บริการ Web และ IT infrastucture, Zepetto ผู้ผลิตวีดีโอเกม และอีก 3 แห่งในเกาหลีใต้ที่ไม่เปิดเผยชื่อคือบริษัทเกม บริษัทยา และบริษัทที่มีเครือข่ายหลายธุรกิจ

จากการวิเคราะห์ของ Kaspersky พบว่าคนร้ายสามารถฝัง Payload ที่ออกแบบมาสำหรับเก็บข้อมูลและดาวน์โหลด Payload อื่นๆ จากเซิร์ฟเวอร์ C&C เข้ามาในซอฟต์แวร์ โดยสำหรับบริษัทเกมถูกแฝงโทรจันนี้จะทำหน้าที่เป็น Dropper เพื่อตรวจสอบเงื่อนไข เช่น เครื่องใช้ภาษาจีนหรือรัสเซียหรือไม่หากใช่จะไม่ทำงาน เป็นต้น อย่างไรก็ตามหากเงื่อนไขสำเร็จมัลแวร์จะเก็บข้อมูล เช่น MAC Address, System Username, System Hostname, IP Address, Windows Version, CPU, Domain name, Drive C: Volume name และ Serial Number, Screen Resolution เป็นต้น จากนั้นก็จะ HTTP Post ไปหาเซิร์ฟเวอร์และ Request คำสั่ง เช่น ดาวน์โหลดข้อมูล URL ไปยังไฟล์หรือ Execute ด้วย แม้กระทั่งถอนการติดตั้ง Registry ที่ขัดขวางไม่ให้มัลแวร์เริ่มการทำงาน เป็นต้น

Kaspersky ระบุว่าก่อนหน้านี้มีเหตุการณ์คล้ายกันมาก่อนแล้วแต่ซึ่งครั้งนี้ถือเป็นเหตุการณ์ ดัดแปลงเพราะมีการแก้ไข Google Docs สำหรับติดต่อกับเซิร์ฟเวอร์ C&C ด้วย รวมถึงยังมีการใช้อัลกอริทึมเดิมจากมัลแวร์ก่อนหน้าด้วย เช่น PlugX เป็นต้น อย่างไรก็ดีปัจจุบัน Kaspersky ได้แจ้งเตือนบริษัทที่ตกเป็นเหยื่อเรียบร้อยแล้วพร้อมทั้งทำงานร่วมกันอย่างใกล้ชิด แต่ถึงตอนนี้นักวิจัยเองยังไม่แน่ใจเลยว่าจะมีตัวเลขของเหยื่ออีกกี่รายที่ตกเป็นเหยื่อของปฏิบัติการครั้งนี้

สามารถติดตามรายงานฉบับเต็มจาก Kaspersky ได้ที่นี่ หรืออ่านข่าวเก่าของ ASUS ได้จาก Techtalkthai 

ที่มา :  https://www.bleepingcomputer.com/news/security/shadowhammer-targets-multiple-companies-asus-just-one-of-them/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Elastic เปิดฟีเจอร์ด้านความมั่นคงปลอดภัยขั้นพื้นฐานให้ใช้ได้ฟรี

Elastic ได้ประกาศเปิดบางฟีเจอร์ด้านความมั่นคงปลอดภัยให้ใช้งานได้ฟรีๆ บน Elastic Stack ซึ่งการประกาศครั้งนี้เป็นการสนับสนุนควบคู่กันไปกับการประกาศ Elastic Cloud on Kubernetes ด้วย

นักวิจัยพบช่องโหว่ Zero-day ใหม่ของ Windows 10 บน Task Scheduler

นักวิจัยด้านความมั่นคงปลอดภัยในนามแฝง ‘SandboxEscaper’ ได้เปิดเผยช่องโหว่ Zero-day ใหม่ไว้บน GitHub ซึ่งเกิดกับส่วน Task Scheduler ของ Windows 10 ที่นำไปสู่การยกระดับสิทธิ์ได้