Kaspersky Anti-ransomware

WikiLeaks เผย Malware Framework ชุดใหม่จาก CIA ชื่อ “AfterMidnight” และ “Assassin”

May 18, 2017 Endpoint Security, Security, Threats Update

WikiLeaks ได้ออกมาเปิดเผยข้อมูลในเอกสารชุด Vault 7 ล่าสุด คือ Malware Framework ที่อ้างว่า CIA หรือหน่วยข่าวกรองของสหรัฐฯ ใช้เพื่อสอดแนมและลอบรันคำสั่งบนแพลตฟอร์มของ Microsoft Windows ได้แก่ “AfterMidnight” และ “Assassin” การเปิดเผยข้อมูลชุดนี้ นับว่าเป็นลำดับที่ 8 ของเอกสารชุด Vault 7

AfterMidnight Malware Framework

AfterMidnight อธิบายการทำงานแบบง่ายๆ คือ เป็นมัลแวร์ที่ถูกติดตั้งลงบนเครื่องของเหยื่อในรูปของไฟล์ DLL ซึ่งทำหน้าที่เป็น Backdoor โดยที่ไฟล์ DLL ดังกล่าวจะทำงานระหว่างที่ PC รีบูต และทำการเชื่อมต่อกลับไปยัง C&C Server ผ่านทาง HTTPS เพื่อคอยดาวน์โหลดโมดูลต่างๆ มารันบนเครื่องของเหยื่อ ซึ่งในเอกสารระบุว่า โมดูลที่ว่านี้มีชื่อว่า “Gremlins” หรือ “Gremlinware”

AfterMidnight จำเป็นต้องเชื่อมต่อกับอินเทอร์เน็ตจึงจะสามารถทำงานได้ เนื่องจากถ้า AfterMidnight ไม่สามารถเข้าถึง C&C Server ของแฮ็คเกอร์ได้แล้ว จะไม่สามารถเรียกใช้งานโมดูลใดๆ เพื่อรันการทำงานได้เลย โดยโมดูลของ AfterMidnight แบ่งออกเป็น 3 กลุ่ม คือ โมดูลสำหรับจารกรรมข้อมูล โมดูลสำหรับหยุดการทำงานของซอฟต์แวร์บนคอมพิวเตอร์ และโมดูลสำหรับให้บริการเซอร์วิสหรือฟังก์ชันการทำงานภายในแก่โมดูลอื่นๆ

จนถึงตอนนี้ โมดูลที่ดูจะน่าสนใจที่สุดคือโมดูลที่ใช้หยุดการทำงานของซอฟต์แวร์บนเครื่อง ซึ่งโมดูลนี้ในเอกสารระบุว่า สามารถ Kill หรือ Delay โปรเซสที่รันอยู่ หรือโปรเซสใหม่ได้ โดยสามารถปรับแต่งระยะเวลา หรือกำหนดระดับผลกระทบเป็นเปอร์เซ็นได้ตามความต้องการ

นอกจากนี้ ในเอกสารยังแสดงตัวอย่างวิธีใช้ Malware Framework อีกด้วย ตัวอย่างแรกด้านล่างแสดงการสร้างมัลแวร์เพื่อให้ผู้ใช้มีปัญหากับการใช้เว็บเบราเซอร์ และต้องเสียเวลาในการทำงานมากยิ่งขึ้น โดยแสดงตัวอย่างการตั้งค่าเพื่อ Kill การทำงานของ Internet Explorer และ Firefox ทุกๆ 30 วินาที (คลิกที่รูปเพื่อขยาย)

อีกตัวอย่างหนึ่งเป็นการสร้างความรำคาญแก่ผู้ใช้โดยตั้งค่าเพื่อล็อกทรัพยากรของ PowerPoint ลง 50% ทุกๆ 10 นาที และหน่วงเวลาเริ่ม PowerPoint 30 วินาที (คลิกที่รูปเพื่อขยาย)

Assassin Malware Framework

มีลักษณะคล้ายกับ AfterMidnight ซึ่งประกอบด้วย Builder, Implant, C&C Server และ Listening Post (สื่อกลางระหว่าง Implant และ C&C Server) ซึ่ง Assassin Implant ถูกออกแบบมาเพื่อรันในรูปของ Service บนระบบปฏิบัติการ Windows และถูกใช้เพื่อรันชุดการทำงานเฉพาะอย่าง เก็บรวบรวม และขโมยข้อมูลของผู้ใช้ออกมาก เปรียบพฤติกรรมได้กับโทรจัน Backdoor

ที่มา: https://www.bleepingcomputer.com/news/security/wikileaks-dump-reveals-cia-malware-that-can-sabotage-user-software/

Tags



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

แจ้งเตือนภัยช่องโหว่ร้ายแรงในอุปกรณ์ IoT และกล้อง CCTV นับล้าน แนะ Patch ทันที

นักวิจัยด้านความมั่นคงปลอดภัยสำหรับระบบ Internet of Things (IoT) โดยเฉพาะจาก Senrio ได้ค้นพบช่องโหว่ใน Open Source Library ที่มีชื่อว่า gSOAP toolkit ซึ่งมีอุปกรณ์ …

SHELLBIND Malware แพร่ระบาด โจมตี NAS Storage ที่ใช้ Linux ทางช่องโหว่ SambaCry

นักวิจัยด้านความมั่นคงปลอดภัยจาก Trend Micro ได้ออกมาเตือนถึง Malware ใหม่ภายใต้ชื่อ SHELLBIND ที่ทำการโจมตีโดยมุ่งเป้าไปที่ Network-Attached Storage (NAS) ซึ่งใช้ระบบปฏิบัติการ Linux ผ่านทางช่องโหว่ SambaCry

ติดต่อโฆษณา info@techtalkthai.com หรือโทร 081-554-7550

©2016 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2016 TechTalkThai, All rights reserved. - Bangkok, Thailand