WikiLeaks เผย Malware Framework ชุดใหม่จาก CIA ชื่อ “AfterMidnight” และ “Assassin”

WikiLeaks ได้ออกมาเปิดเผยข้อมูลในเอกสารชุด Vault 7 ล่าสุด คือ Malware Framework ที่อ้างว่า CIA หรือหน่วยข่าวกรองของสหรัฐฯ ใช้เพื่อสอดแนมและลอบรันคำสั่งบนแพลตฟอร์มของ Microsoft Windows ได้แก่ “AfterMidnight” และ “Assassin” การเปิดเผยข้อมูลชุดนี้ นับว่าเป็นลำดับที่ 8 ของเอกสารชุด Vault 7

AfterMidnight Malware Framework

AfterMidnight อธิบายการทำงานแบบง่ายๆ คือ เป็นมัลแวร์ที่ถูกติดตั้งลงบนเครื่องของเหยื่อในรูปของไฟล์ DLL ซึ่งทำหน้าที่เป็น Backdoor โดยที่ไฟล์ DLL ดังกล่าวจะทำงานระหว่างที่ PC รีบูต และทำการเชื่อมต่อกลับไปยัง C&C Server ผ่านทาง HTTPS เพื่อคอยดาวน์โหลดโมดูลต่างๆ มารันบนเครื่องของเหยื่อ ซึ่งในเอกสารระบุว่า โมดูลที่ว่านี้มีชื่อว่า “Gremlins” หรือ “Gremlinware”

AfterMidnight จำเป็นต้องเชื่อมต่อกับอินเทอร์เน็ตจึงจะสามารถทำงานได้ เนื่องจากถ้า AfterMidnight ไม่สามารถเข้าถึง C&C Server ของแฮ็คเกอร์ได้แล้ว จะไม่สามารถเรียกใช้งานโมดูลใดๆ เพื่อรันการทำงานได้เลย โดยโมดูลของ AfterMidnight แบ่งออกเป็น 3 กลุ่ม คือ โมดูลสำหรับจารกรรมข้อมูล โมดูลสำหรับหยุดการทำงานของซอฟต์แวร์บนคอมพิวเตอร์ และโมดูลสำหรับให้บริการเซอร์วิสหรือฟังก์ชันการทำงานภายในแก่โมดูลอื่นๆ

จนถึงตอนนี้ โมดูลที่ดูจะน่าสนใจที่สุดคือโมดูลที่ใช้หยุดการทำงานของซอฟต์แวร์บนเครื่อง ซึ่งโมดูลนี้ในเอกสารระบุว่า สามารถ Kill หรือ Delay โปรเซสที่รันอยู่ หรือโปรเซสใหม่ได้ โดยสามารถปรับแต่งระยะเวลา หรือกำหนดระดับผลกระทบเป็นเปอร์เซ็นได้ตามความต้องการ

นอกจากนี้ ในเอกสารยังแสดงตัวอย่างวิธีใช้ Malware Framework อีกด้วย ตัวอย่างแรกด้านล่างแสดงการสร้างมัลแวร์เพื่อให้ผู้ใช้มีปัญหากับการใช้เว็บเบราเซอร์ และต้องเสียเวลาในการทำงานมากยิ่งขึ้น โดยแสดงตัวอย่างการตั้งค่าเพื่อ Kill การทำงานของ Internet Explorer และ Firefox ทุกๆ 30 วินาที (คลิกที่รูปเพื่อขยาย)

อีกตัวอย่างหนึ่งเป็นการสร้างความรำคาญแก่ผู้ใช้โดยตั้งค่าเพื่อล็อกทรัพยากรของ PowerPoint ลง 50% ทุกๆ 10 นาที และหน่วงเวลาเริ่ม PowerPoint 30 วินาที (คลิกที่รูปเพื่อขยาย)

Assassin Malware Framework

มีลักษณะคล้ายกับ AfterMidnight ซึ่งประกอบด้วย Builder, Implant, C&C Server และ Listening Post (สื่อกลางระหว่าง Implant และ C&C Server) ซึ่ง Assassin Implant ถูกออกแบบมาเพื่อรันในรูปของ Service บนระบบปฏิบัติการ Windows และถูกใช้เพื่อรันชุดการทำงานเฉพาะอย่าง เก็บรวบรวม และขโมยข้อมูลของผู้ใช้ออกมาก เปรียบพฤติกรรมได้กับโทรจัน Backdoor

ที่มา: https://www.bleepingcomputer.com/news/security/wikileaks-dump-reveals-cia-malware-that-can-sabotage-user-software/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VRCOMM จับมือ Hillstone Networks ให้บริการ NGFW, ADC และ NDR ภายในแนวคิด Integrative Cybersecurity

Digital Transformation สร้างความซับซ้อนให้แก่ระบบ IT ทลายขอบเขตการรักษาความมั่นคงปลอดภัยจากแค่ห้อง Data Center สู่ระบบ Cloud และอุปกรณ์ Endpoint การรักษาความมั่นคงปลอดภัยทางไซเบอร์ในยุคดิจิทัลจึงต้องการความครอบคลุมและประสานการทำงานได้อย่างบูรณาการ VRCOMM ผู้จัดจำหน่ายโซลูชันด้าน Network …

Google ถอดซอฟต์แวร์ Antivirus ของ Kaspersky ออกจาก Play Store พร้อมปิดบัญชี

ช่วงวันหยุดสุดสัปดาห์ที่ผ่านมา Google ได้มีการถอดแอป Security ของทาง Kaspersky ออกจาก Google Play Store รวมทั้งปิดบัญชีนักพัฒนาของบริษัทสัญชาติรัสเซียไปอีกด้วย