SUSE by Ingram

พบ Malware บน Skype ขโมยข้อความ Chat, เสียงพูดคุย, ภาพวิดีโอ และไฟล์ที่โอนระหว่างกัน เน้นโจมตีองค์กรโดยเฉพาะ

palo_alto_logo

นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks ได้พบ Backdoor Malware สายพันธุ์ใหม่ชื่อ T9000 ต่อยอดมาจาก T5000 ที่มุ่งเน้นการโจมตีองค์กรต่างๆ ในสหรัฐอเมริกาเป็นหลัก แต่ความสามารถของ Malware นั้นกลับถูกออกแบบมาให้ใช้โจมตีผู้ใช้งานทั่วไปเป็นวงกว้างได้ด้วยเช่นกัน เพราะ T9000 นี้สามารถขโมยข้อมูลการสื่อสารทุกรูปแบบจาก Skype ได้อย่างครบถ้วน

T9000-1
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/

สำหรับการแพร่ระบาดนี้เริ่มต้นขึ้นจากไฟล์ RTF เพียงไฟล์เดียวเท่านั้น และใช้เทคนิค Multi-stage Installation Process เพื่อหลีกเลี่ยงการตรวจจับได้อย่างแยบยล โดยไฟล์ RTF นี้จะอาศัยช่องโหว่ของ Microsoft Office 2003/2007/2010/2013, Word for Mac 2011, Microsoft SQL Server 2005/2008, Microsoft SharePoint 2010/2013 และผลิตภัณฑ์อื่นๆ อีกจำนวนหนึ่ง เพื่อเริ่มรันคำสั่งและสร้างไฟล์ขึ้นมาใน %TEMP% Folder จากนั้นก็ทำการถอดรหัสและสร้างออกมาเป็น .exe แล้วสั่งเรียกใช้งานทันที

จากนั้น T9000 จะทำการสร้าง Mutex ขึ้นมาเพื่อให้มั่นใจว่า Malware จะทำงานแค่ Instance เดียวเท่านั้น แล้วจึงทำการตรวจสอบหาผลิตภัณฑ์รักษาความปลอดภัยที่ติดตั้งอยู่ในเครื่องด้วยการตรวจสอบ Registry ที่ HKLM\Software\registry ดังต่อไปนี้

  • Sophos
  • INCAInternet
  • DoctorWeb
  • Baidu
  • Comodo
  • TrustPortAntivirus
  • GData
  • AVG
  • BitDefender
  • VirusChaser
  • McAfee
  • Panda
  • Trend Micro
  • Kingsoft
  • Norton
  • Micropoint
  • Filseclab
  • AhnLab
  • JiangMin
  • Tencent
  • Avira
  • Kaspersky
  • Rising
  • 360
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/

T9000 จะทำการสร้างไฟล์ avinfo ขึ้นมาที่ %APPDATA%\Intel เพื่อบันทึกเอาไว้ว่าตรวจพบผลิตภัณฑ์รักษาความปลอดภัยจากผู้ผลิตรายใดบ้าง เพื่อเลือกใช้วิธีการโจมตีที่แตกต่างกันไปในการติดตั้งเครื่องมือสำหรับโจมตีจำนวนมากที่จะอยู่ภายใต้ Folder เดียวกันนี้ต่อไป รวมถึงทำการติดตั้ง Plugins สำหรับใช้ในการโจมตีเพิ่มเติมอีก 3 ตัว ได้แก่

  • tyeu.dat
  • vnkd.dat
  • qhnj.dat

ซึ่งทั้ง 3 Plugins นี้จะมีหน้าที่ในการโจมตีและขโมยข้อมูลจาก Skype ที่แตกต่างกันออกไป ส่วนตัว Malware เองก็รองรับการรับส่งคำสั่งจากระยะไกลเพื่ออัพโหลดหรือดาวน์โหลดข้อมูลใดๆ รวมถึงเรียกใช้คำสั่งต่างๆ ได้อีกด้วย

ทั้งนี้ทาง Palo Alto Networks ก็ได้ทำการเสริมการตรวจจับและป้องกันลงไปในผลิตภัณฑ์ของตัวเองเรียบร้อยแล้วไม่ว่าจะเป็น Threat Prevention, Traps, WildFire, Anti-malware และ AutoFocus

รายละเอียดเต็มๆ สามารถอ่านได้ที่นี่ครับ http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/

ที่มา: http://www.networkworld.com/article/3030700/security/t9000-skype-backdoor-malware-steals-audio-video-chats-screenshots-documents.html#tk.rss_all , http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google เปิดบริการ Cyber Insurance สำหรับลูกค้า Google Cloud ประกันลดความเสียหายจาก Cyberattack

Google ได้ประกาศเปิดตัวบริการ Cyber Insurance ประกันลดความเสียหายในกรณีที่ถูกโจมตีที่ออกแบบมาเป็นพิเศษสำหรับผู้ใช้งาน Google Cloud โดยเฉพาะ

Cisco Webex เพิ่มความสามารถแปลภาษาแบบ Real-Time รองรับการแปลจากภาษาอังกฤษเป็นภาษาอื่นได้มากกว่า 100 ภาษา พร้อมความสามารถอื่นๆ อีกมากมาย

Cisco ได้ออกมาเผยถึงแผนการพัฒนา Cisco Webex ระบบประชุมออนไลน์ชั้นนำให้รองรับความสามารถใหม่ๆ ได้มากมายในอนาคต ดังนี้