WikiLeaks เผย Malware Framework ชุดใหม่จาก CIA ชื่อ “AfterMidnight” และ “Assassin”

WikiLeaks ได้ออกมาเปิดเผยข้อมูลในเอกสารชุด Vault 7 ล่าสุด คือ Malware Framework ที่อ้างว่า CIA หรือหน่วยข่าวกรองของสหรัฐฯ ใช้เพื่อสอดแนมและลอบรันคำสั่งบนแพลตฟอร์มของ Microsoft Windows ได้แก่ “AfterMidnight” และ “Assassin” การเปิดเผยข้อมูลชุดนี้ นับว่าเป็นลำดับที่ 8 ของเอกสารชุด Vault 7

AfterMidnight Malware Framework

AfterMidnight อธิบายการทำงานแบบง่ายๆ คือ เป็นมัลแวร์ที่ถูกติดตั้งลงบนเครื่องของเหยื่อในรูปของไฟล์ DLL ซึ่งทำหน้าที่เป็น Backdoor โดยที่ไฟล์ DLL ดังกล่าวจะทำงานระหว่างที่ PC รีบูต และทำการเชื่อมต่อกลับไปยัง C&C Server ผ่านทาง HTTPS เพื่อคอยดาวน์โหลดโมดูลต่างๆ มารันบนเครื่องของเหยื่อ ซึ่งในเอกสารระบุว่า โมดูลที่ว่านี้มีชื่อว่า “Gremlins” หรือ “Gremlinware”

AfterMidnight จำเป็นต้องเชื่อมต่อกับอินเทอร์เน็ตจึงจะสามารถทำงานได้ เนื่องจากถ้า AfterMidnight ไม่สามารถเข้าถึง C&C Server ของแฮ็คเกอร์ได้แล้ว จะไม่สามารถเรียกใช้งานโมดูลใดๆ เพื่อรันการทำงานได้เลย โดยโมดูลของ AfterMidnight แบ่งออกเป็น 3 กลุ่ม คือ โมดูลสำหรับจารกรรมข้อมูล โมดูลสำหรับหยุดการทำงานของซอฟต์แวร์บนคอมพิวเตอร์ และโมดูลสำหรับให้บริการเซอร์วิสหรือฟังก์ชันการทำงานภายในแก่โมดูลอื่นๆ

จนถึงตอนนี้ โมดูลที่ดูจะน่าสนใจที่สุดคือโมดูลที่ใช้หยุดการทำงานของซอฟต์แวร์บนเครื่อง ซึ่งโมดูลนี้ในเอกสารระบุว่า สามารถ Kill หรือ Delay โปรเซสที่รันอยู่ หรือโปรเซสใหม่ได้ โดยสามารถปรับแต่งระยะเวลา หรือกำหนดระดับผลกระทบเป็นเปอร์เซ็นได้ตามความต้องการ

นอกจากนี้ ในเอกสารยังแสดงตัวอย่างวิธีใช้ Malware Framework อีกด้วย ตัวอย่างแรกด้านล่างแสดงการสร้างมัลแวร์เพื่อให้ผู้ใช้มีปัญหากับการใช้เว็บเบราเซอร์ และต้องเสียเวลาในการทำงานมากยิ่งขึ้น โดยแสดงตัวอย่างการตั้งค่าเพื่อ Kill การทำงานของ Internet Explorer และ Firefox ทุกๆ 30 วินาที (คลิกที่รูปเพื่อขยาย)

อีกตัวอย่างหนึ่งเป็นการสร้างความรำคาญแก่ผู้ใช้โดยตั้งค่าเพื่อล็อกทรัพยากรของ PowerPoint ลง 50% ทุกๆ 10 นาที และหน่วงเวลาเริ่ม PowerPoint 30 วินาที (คลิกที่รูปเพื่อขยาย)

Assassin Malware Framework

มีลักษณะคล้ายกับ AfterMidnight ซึ่งประกอบด้วย Builder, Implant, C&C Server และ Listening Post (สื่อกลางระหว่าง Implant และ C&C Server) ซึ่ง Assassin Implant ถูกออกแบบมาเพื่อรันในรูปของ Service บนระบบปฏิบัติการ Windows และถูกใช้เพื่อรันชุดการทำงานเฉพาะอย่าง เก็บรวบรวม และขโมยข้อมูลของผู้ใช้ออกมาก เปรียบพฤติกรรมได้กับโทรจัน Backdoor

ที่มา: https://www.bleepingcomputer.com/news/security/wikileaks-dump-reveals-cia-malware-that-can-sabotage-user-software/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Oracle ออกแพทช์ฉุกเฉิน อุดช่องโหว่ JOLTandBLEED ความรุนแรงระดับ Critical

Oracle ผู้ให้บริการระบบจัดการฐานข้อมูลและซอฟต์แวร์เชิงธุรกิจชื่อดัง ประกาศออกแพทช์ฉุกเฉินสำหรับอุดช่องโหว่ JOLTandBLEED รวม 5 รายการ บางช่องโหว่มีความรุนแรงระดับ Critical ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Middleware ของ Oracle หลายรายการ

Fortinet เปิดตัว Fortigate รุ่นใหม่ 300E และ 500E

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยประสิทธิภาพสูง เปิดตัว Fortigate Firewall ใหม่ 2 รุ่น คือ Fortigate 300E และ 500E ตอบโจทย์การใช้งานขององค์กรในยุค IoT …