ການໂຈມຕີຄັ້ງໃໝ່! ເພື່ອຕິດຕັ້ງມັນແວ (Malware) LokiBot ຜ່ານ Macros ທີ່ເປັນອັນຕະລາຍໃນ Word Docs

ເມື່ອ​ບໍ່ດົນມານີ້​, ທາງ FortiGuard Labs ໄດ້​ເປີດ​ເຜີຍ​ການ​ຄົ້ນ​ພົບ​ Microsoft Office documents ທີ່​ເປັນ​ອັນຕະລາຍ​ ຊຶ່ງ​ອອກ​ແບບ​ມາ​ເພື່ອ​ໃຊ້​ປະໂຫຍດ​ຈາກ​ຊ່ອງ​ໂຫວ່​ Remote code execution ທີ່​ເປັນ​ທີ່​ຮູ້​ຈັກ​ຄື: CVE-2021-40444 ແລະ​ CVE-2022-30190 (Follina) ເພື່ອເອີ້ນໃຊ້​ມັນ​ແວ​ (Malware) LokiBot (ຫຼື ​ທີ່​ຮູ້​ຈັກ​ກັນ​ໃນ​ຊື່​ Loki PWS) ໄປ​ຫາລະບົບ​ຂອງ​ເຫຍື່ອ.​

LokiBot ເປັນ​ໂທ​ຈັນ (Trojan) ​ທີ່​ມີ​ການ​ໃຊ້​ງານ​ມາ​ຕັ້ງ​ແຕ່​ປີ​ 2015 ຊຶ່ງ​ຖືກ​ໃຊ້​ໃນ​ການ​ລັກ​ຂໍ້​ມູນ​ທີ່​ສຳຄັນ​ຈາກ​ເຄື່ອງ​ Windows ຊຶ່ງ​ເປັນໄ​ພ​ຄຸກ​ຄາມ​ທີ່​ສຳຄັນ​ຕໍ່​ຂໍ້​ມູນ​ຂອງ​ຜູ້​ໃຊ້​ງານ​.

FortiGuard Labs ໄດ້​​ວິ​ເຄາະ​ Word documents ສອງ​ປະ​ເພດ​ທີ່​ແຕກ​ຕ່າງ​ກັນ​ ຊຶ່ງ​ທັງ​ສອງ​ຟາຍ​ເປັນ​ໄພ​ຄຸກ​ຄາມ​ຮ້າຍແຮງ​ຕໍ່​ຜູ້​ໃຊ້​ງານ​ທີ່​ບໍ່​ໄດ້​ລະ​ມັດ​ລະ​ວັງ​ ໂດຍ​ຟາຍປະ​ເພດ​ທໍາອິດ​ຈະ​ມີ​ລິ້ງ​ພາຍນອກ​ທີ່​ຝັງ​ຢູ່ໃນ​ຟາຍ​ XML ຊື່​ “word/rels/document.XML.rels” ແລະ ​ຟາຍປະເພດ​ທີ່​ສອງ​ຈະ​ໃຊ້​ VBA script ທີ່​ເອີ້ນ​ໃຊ້​ມາ​ໂຄ (Macro) ​ທີ່​ເປັນ​ອັນຕະລາຍ​ເມື່ອ​ເປີດ​ເອກະສານ​ ສິ່ງ​ທີ່​ໜ້າສົ​ນ​ໃຈ​ຄື​ຟາຍ​ທັງ​ສອງ​ມີ​ຮູບພາບ​ເຫຍື່ອ​ທີ່​ຄ້າຍຄື​ກັນ​ ດັ່ງ​ຮູບ​ທີ​ 1 ຊຶ່ງ​ສະແດງ​ໃຫ້​ເຫັນ​ເຖິງ​ຄວາມ​ເຊື່ອມ​ໂຍງ​ທີ່​ເປັນ​ໄປ​ໄດ້​ລະຫວ່າງ​ການ​ໂຈມ​ຕີ​.

Word document ທີ່​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ CVE-2021-40444 ມີ​ຟາຍຊື່​ “document.xml.rels” ຊຶ່ງ​ມີ​ລິ້ງ​ພາຍນອກ​ທີ່​ໃຊ້​ MHTML (MIME Encapsulation of Aggregate HTML document) ໂດຍ​ລິ້ງ​​ນີ້​ຈະ​ໃຊ້​ Cuttly ຊຶ່ງ​ເປັນ​ URL shortener ແລະ ​ແພັດ​ຟອມ (Platform) ​ການ​ຈັດການ​ລິ້ງ​ ເພື່ອ​ປ່ຽນ​ເສັ້ນ​ທາງ​ຜູ້​ໃຊ້​ໄປ​ຫາ​ເວັບ​ໄຊ​​ແຊ​ຣ໌​ຟາຍ​ເທິງຄລາວ​ (Cloud) ​ທີ່​ເອີ້ນວ່າ​ “GoFile”.

ຈາກ​ການ​ວິ​ເຄາະ​ເພີ່ມຕື່ມພົບ​ວ່າ​ການ​ເຂົ້າ​ເຖິງ​ລິ້ງ​ຈະ​ເລີ່ມ​ຕົ້ນ​ການ​ດາວ​ໂຫຼດ​ຟາຍ​ຊື່​ “defrt.html” ໂດຍ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ທີສອງ​ CVE-2022-30190 ແລະ ​ເມື່ອ​ດຳ​ເນີນ​ການ​ເພ​ໂຫຼດ​ (Payload) ແລ້ວ​ຈະ​ກະຕຸ້ນ (Trigger)​ ການ​ດາວ​​ໂຫຼດ​ຟາຍ​ Injector ທີ່​ຊື່​ວ່າ​ “oehrjd.exe” ຈາກ​ URL “http[:]//pcwizardnet/yz/ftp/”.

​ສະຄິບ (Script) ​ສ້າງ​ຟາຍ “ema.tmp” ເພື່ອ​ເກັບ​ຂໍ້​ມູນ​ ແລະ​ ເຂົ້າ​ລະ​ຫັດ​ດ້ວຍ​ຟັງ​​ຊັ່ນ​ “ecodehex” ແລະ​ ບັນ​ທຶກ​ເປັນ​ “des.jpg” ຈາກ​ນັ້ນ​ສະຄິບ​ຈະ​ໃຊ້​ rundll32 ເພື່ອ​ໂຫຼດ​ຟາຍ​ DLL ທີ່​ມີ​ຟັງ​​ຊັ່ນ​ “maintst” ແລະ​ຟາຍ​ຊົ່ວ​ຄາວ​, ຟາຍ​ JPG ແລະ​ ຟາຍ​ INF ທີ່​ສ້າງ​ຂຶ້ນ​ໃນ​ຂະ​ບວນ​ການ​ທັງ​ໝົດ​ນີ້​ຈະ​ຖືກ​ລຶບ​ຖິ້ມ​ຢ່າງ​ເປັນ​ລະບົບ​.

ການສ້າງ​ຟາຍ​ INF ຂອງ​ສະຄິບ​ VBA ມີ​ຈຸດປະສົງ​ເພື່ອ​ໂຫຼດຟາຍ​ DLL ທີ່​ຊື່​ວ່າ​ “des.jpg” ທີ່​ໃຊ້​ໃນ​ການ​ດາວ​​ໂຫຼດ​ injector ຈາກ​ URL “https[:]//vertebromedmd/temp/dhssdfexe” ເພື່ອ​ນຳ​ມາ​ໃຊ້​ໃນ​ພາຍ​ຫຼັງ​
ເປັນ​ທີ່​ໜ້າ​ສັງເກດ​ວ່າ​ລິ້ງ​​ດາວ​ໂຫຼດ​ຈະ​ມີ​ຄວາມ​ແຕກ​ຕ່າງ​ຈາກ​ແພັດ​ຟອມ​ຄລາວ​ແຊ​ຣ໌​ຟາຍ​ທົ່ວ​ໄປ​ ຫຼື ​ເ​ຊີ​ເວີ​​ command-and-control (C2) ຂອງ​ຜູ້​ໂຈມ​ຕີ​ ແຕ່​ຈະ​ໃຊ້​ປະໂຫຍດ​ຈາກ​ເວັບ​ໄຊ​​ “vertebromed.md” ຊຶ່ງ​ເປັນ​ໂດ​ເມນ​ທີ່​ໃຊ້​ງານ​ມາ​ຕັ້ງ​ແຕ່​ປີ​ 2018.

ນອກ​ຈາກ​ນີ້​ໃນ​ໂຟນ​ເດີ​ (Folder) ​ດຽວ​ກັນ​ FortiGuard Labs ຍັງ​ພົບ​ຕົວ​ໂຫຼດ​ MSIL ອີກ​ຕົວ​ທີ່​ຊື່​ IMG_3360_103pdf.exe ຊຶ່ງ​ຖືກ​ສ້າງ​ຂຶ້ນ​ເມື່ອ​ວັນທີ​ 30 ພ​ຶດສະ​ພາ​ 2023 ເຖິງວ່າ​ຈະ​ບໍ່​ໄດ້​ມີ​ສ່ວນ​ກ່ຽວ​ຂ້ອງ​ໂດຍ​ກົງ​ກັບ​ການ​ໂຈມ​ຕີ​ Word document ແຕ່​ຟາຍນີ້​ຍັງມີ​ການ​ໂຫຼດ​ LokiBot ແລະ ​ເຊື່ອມ​ຕໍ່​ກັບ​ C2 IP ດຽວ​ກັນ.​

LokiBot ເປັນ​ມັນ​ແວ​ທີ່​ຖືກ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ຢ່າງ​ແຜ່​ຫຼາຍ​ ແລະ ​ໄດ້ຮັບ​ການ​ພັດທະນາ​ຢ່າງ​ຕໍ່​ເນື່ອງ​ໃນ​ຊ່ວງ​ຫຼາຍ​ປີ​ທີ່​ຜ່ານມາ​ ຊຶ່ງໄດ້​ມີ​ການ​ປັບ​ປ່ຽນ​ວິທີ​ການ​ເລີ່ມ​ຕົ້ນ​ການ​ເຂົ້າ​ເຖິງ​ ເພື່ອ​​ແຜ່ກ​ະ​ຈາຍ​ມັນ​ແວ​ ແລະ​ ໂຈມ​ຕີ​ລະບົບ​ໄດ້​ຢ່າງ​ມີປະ​ສິດ​ທິ​ພາບ​ຫຼາຍ​ຂຶ້ນ ​ດ້ວຍ​ການ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ຕ່າງ​ໆ​ ແລະ ​ໃຊ້​ປະໂຫຍດ​ຈາກ​ VBA macro ເຮັດໃຫ້​ LokiBot ຍັງ​ເປັນ​ໄພຄຸກ​ຄາມ​ທີ່​ສຳຄັນ​ສຳລັບ​ການ​ຮັກສາ​ຄວາມ​ປອດ​ໄພທາງ​ໄຊ​ເບີ​​ ຊຶ່ງ​ການ​ໃຊ້​ VB Injector ຊ່ວຍ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ຫຼີກ​ລ້ຽງ​ການ​ກວດ​ຈັບ​ ແລະ​ ການ​ວິ​ເຄາະ​ ເຮັດໃຫ້​ການ​ໂຈມ​ຕີ​ມີ​ຄວາມ​ຮຸນແຮງ​ຂຶ້ນ​.

ຄຳ​ແນະ​ນຳ​

ຜູ້​ໃຊ້​ງານ​ຄວນ​ລະ​ວັງ​ການ​ຈັດການ​ກັບ​ Office documents ຫຼື ​ຟາຍ​ທີ່​ບໍ່​ຮູ້​ຈັກ​ ໂດຍ​ສະເພາະຟາຍ​ທີ່​ມີ​ລິ້ງ​ໄປ​ຫາ​ເວັບ​ໄຊ​​ພາຍນອກ;​
ຫຼີກ​ລ້ຽງ​ການ​ກົດ​ລິ້ງ​​ທີ່​ໜ້າສົງໄສ​ ຫຼື ​ເປີດ​ຟາຍ​ແນບ​ຈາກ​ແຫຼ່ງ​ທີ່​ບໍ່​ໜ້າ​ເຊື່ອ​ຖື​;
ອັບ​ເດດ​ແພັດ​ (Patch) ຄວາມ​ປອດ​ໄພ​ຂອງ​ຊອບແວ​​ ແລະ​ ລະບົບ​ປະຕິບັດການ​ໃຫ້ເປັນ​ເວີ​​ຊັ່ນ​ລ່າ​ສຸດ​ ເພື່ອ​ຊ່ວຍ​ຫຼຸດ​ຄວາມ​ສ່ຽງ​ໃນ​ການ​ຕົກ​ເປັນ​ເຫຍື່ອ​ຂອງ​ການ​ໂຈມ​ຕີ​ຂອງ​ມັນ​ແວ​.

 

ເອກະສານອ້າງອີງ:

https://www.hackread.com/lokibot-malware-malicious-macros-word-docs/?web_view=true
https://www.i-secure.co.th/2023/07/%e0%b8%81%e0%b8%b2%e0%b8%a3%e0%b9%82%e0%b8%88%e0%b8%a1%e0%b8%95%e0%b8%b5%e0%b8%84%e0%b8%a3%e0%b8%b1%e0%b9%89%e0%b8%87%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88%e0%b9%80%e0%b8%9e%e0%b8%b7%e0%b9%88%e0%b8%ad/
 

591 Views