แฮ็กเกอร์ใช้ Certificate ของ DLink ที่ขโมยมาเพื่อกระจายมัลแวร์

มีรายงานจาก ESET ผู้ให้บริการผลิตภัณฑ์ด้านความมั่นคงปลอดภัยว่าพบกลุ่มแฮ็กเกอร์ชื่อ BlackTech ที่ปฏิบัติการแถบเอเชียตะวันออกโดยเฉพาะไต้หวันได้ขโมย Certificate จาก D-Link และบริษัทด้านความมั่นคงปลอดภัย ชื่อ Changing Information Technology เพื่อนำไปใช้กระจายมัลแวร์ของตน

แคมเปญการกระจาย Plead (ฺBackdoor) ถูกพบมาตั้งแต่ปี 2012 โดยพุ่งเป้าไปที่หน่วยงานรัฐบาลไต้หวันและองค์กรเอกชนต่างๆ ทาง ESET ได้รายงานว่า Certificate ของ D-Link ถูกใช้กับผลิตภัณฑ์แบบปกติของ D-Link เองและพบในมัลแวร์ Plead ด้วยเช่นกัน เมื่อพบเหตุการณ์ดังกล่าวทาง D-Link ได้เรียกคืน Certificate 2 ใบที่ได้รับผลกระทบแต่ยืนยันว่าผู้ใช้งานจะไม่ได้รับผลกระทบครั้งนี้ ทางบริษัทกล่าวว่า “D-Link ได้ตกเป็นเหยื่อของผู้ก่อการร้ายไซเบอร์ที่ใช้มัลแวร์ PLEAD เพื่อขโมยข้อมูลลับจากบริษัทต่างๆ ในเอเชียตะวันออก เช่น ไต้หวัน ญี่ปุ่น และ ฮ่องกง

จากการศึกษาโค้ดของมัลแวร์พบว่ามีโค้ดขยะปะปนอยู่เพื่อทำให้เกิดความสับสนแต่ทุกผลการกระทำมุ่งไปทางเดียวกันคือมีการดึง Shellcode ที่เข้ารหัสมาจากเซิร์ฟเวอร์ทางไกลหรือภายในดิสก์เพื่อไปดาวน์โหลดโมดูลสุดท้ายของ Plead เข้ามา ผลคือมัลแวร์สามารถขโมยรหัสผ่านจากบราวน์เซอร์หลักๆ ได้ เช่น Chrome, Firefox และ IE รวมถึงโปรแกรมอย่าง Microsoft Outlook และจากการวิเคราะห์ของทาง Trend Micro พบว่า Plead ยังสามารถเรียกแสดงลิสต์ของไดร์ฟ โปรเซส และเปิดหน้าต่างหรือไฟล์ของเครื่องเหยื่อได้ รวมถึงอัปโหลดไฟล์ เปิด Remote Shell และรันแอปพลิเคชันผ่าน ShellExecute API และลบไฟล์ต่างๆ ได้ เช่นกัน

การใช้งาน Code-signing (เป็นกระบวนการเพื่อให้มั่นใจว่าซอฟต์แวร์ที่เราจะนำเข้าไม่ได้มาจากแฮ็กเกอร์สามารถเชื่อถือได้) ในทางที่ผิดนี้ไม่ใช้เรื่องใหม่เพราะมีตัวอย่างให้เห็นมาหลายปีและนี่คือทางหนึ่งที่แฮ็กเกอร์สามารถหาประโยชน์จาก Digital Certificate ที่ถูกขโมยมานั่นเอง

ที่มา : https://www.securityweek.com/hackers-using-stolen-d-link-certificates-malware-signing

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้