ຜູ້​ຊ່ຽວ​ຊານ​ເຕືອນ PowerShell Backdoor ທີ່​ເຊື່ອງຢູ່ໃນ Windows Update

Tomer Bar ຜູ້​ອຳ​ນວຍ​ການ​ຝ່າຍ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ຂອງ SafeBreach(1) ໄດ້​ກ່າວເຖິງ ເຄື່ອງ​ມື​ທີ່​ຖືກ​ຄິດ​ຄົ້ນ ແລະ ​ພັດທະນາ​ຂຶ້ນ​ໃໝ່ ໂດຍ​ກຸ່ມ​ຜູ້​ໂຈມ​ຕີ ​ທີ່​ບໍ່​ຮູ້​ຈັກ ລວມ​ເຖິງ​ການ​ໃຊ້​ຄຳ​ສັ່ງ (C2) .

ຜູ້​ໂຈມ​ຕີ​ມຸ້ງ​ເປົ້າ​ໄປ​ທີ່​ຜູ້​ໃຊ້​ງານ 100 ຄົນ ແລະ ​ເນື່ອງ​ຈາກ​ຍັງ​ບໍ່​ຮູ້ວ່າ ​ຜູ້​ໂຈມ​ຕີ​ເປັນ​ໃຜ ຊຶ່ງ​ພົບ​ພຽງ​ຟາຍ​ເອກະສານ Microsoft Word(2) ທີ່​ຖືກ​ອັບ​ໂຫຼດ​ຈາກ​ປະເທດ​ຈ​ໍ​ແດນ ​ເມື່ອ​ວັນທີ 25 ສິງ​ຫາ​ 2022 ທີ່​ຜ່ານມາ.

ຈາກ​ຂໍ້​ມູນ​ຂອງ​ທາງ Meta ພ​ົບວ່າ​ຟາຍ Microsoft Word ນັ້ນ ເປັນ​ຈຸດ​ເລີ່ມ​ຕົ້ນ​ ໃນ​ການ​ໂຈມ​ຕີ​ແບບ spear-phishing ໃນ LinkedIn-based ແລະ​ ນຳ​ໄປ​ສູ່​ການ execution ໃນ PowerShell script ຜ່ານ macro code ທີ່​ຖືກ​ຝັງ​ໄວ້.

ຜູ້​ໂຈມ​ຕີ​ໃຊ້ PowerShell script ຕົວ​ທີ່ 1 (Script1.ps1)(3) ເພື່ອ​ທຳການ​ເຊື່ອມ​ຕໍ່ໄປ​ທີ່ remote command-and-control (C2) server ຫຼັງ​ຈາກ​ນັ້ນ​ຈະ​ໃຊ້ PowerShell script ຕົວ​ທີ່ 2 (temp.ps1)(4) ເພື່ອ​ຮຽກ​ໃຊ້​ຄຳ​ສັ່ງ​ເປີດ​ໃຊ້​ງານ​ເທິງ​ເຄື່ອງ​ເປົ້າ​ໝາຍ​ທີ່​ຖືກ​ໂຈມ​ຕີ ແຕ່​ຖ້າ​ເກີດ​ຂໍ້​ຜິດ​ພາດ ​ລະຫວ່າງ​ ດຳ​ເນີນ​ການ ​ຜູ້​ໂຈມ​ຕີ​ຈະ​ເພີ່ມ​ລາຍ​ລະອຽດ​ໃນ​ຊຸດ​ຄຳ​ສັ່ງ ​ເພື່ອ​ເປັນ​ການ​ລະ​ບຸ​ຜູ້​ໃຊ້​ແຕ່​ລະ​ລາຍ​ເພີ່ມເຕີມ ເຊັ່ນ: 0, 1, 2, ຕໍ່​ທ້າຍ ຊຶ່ງ​ຊຸດ​ຄຳ​ສັ່ງ​ຖືກ​ສ້າງ​ຂຶ້ນ​ໃໝ່​ຈາກ (C2) server ຊຶ່ງ​ຈະ​ປະກອບ​ໄປ​ດ້ວຍ​ ການ​ກັ່ນຕອງ process ການ​ເຮັດ​ວຽກ​ຕ່າງ​ໆ, ການນັບຟາຍ​ທີ່​ຢູ່ໃນ​ໂຟນ​ເດ​ີ​ສະເພາະ, ການ​ເປີດ​ໃຊ້​ງານ whoami ແລະ ​ການ​ລຶບ​ຟາຍ​ ທີ່​ຢູ່ໃນ​ໂຟນ​ເດີ​ຜູ້​ໃຊ້​ສາທາລະນະ.

ການ​ຄົ້ນ​ພົບ​ເທື່ອ​ນີ້​ ເກີດ​ຂຶ້ນ​ໃນ​ຂະນະ​ທີ່​ທາງ Microsoft ໄດ້​ດຳ​ເນີນ​ການ​ຕາມ​ຂັ້ນ​ຕອນ​ໃນ​ການ block ການ​ໃຊ້​ງານ Excel 4.0 (XLM ຫລື XL4) ແລະ Visual Basic ທີ່​ໃຊ້​ສຳລັບ Application (VBA) macros ຕາມ​ຄ່າ​ເລີ່ມ​ຕົ້ນ​ຂອງ Microsoft Office

ເອກະສານອ້າງອີງ

  1. https://www.safebreach.com/resources/blog/safebreach-labs-researchers-uncover-new-fully-undetectable-powershell-backdoor/
  2. https://www.virustotal.com/gui/file/45f293b1b5a4aaec48ac943696302bac9c893867f1fc282e85ed8341dd2f0f50
  3. https://www.virustotal.com/gui/file/bda4484bb6325dfccaa464c2007a8f20130f0cf359a7f79e14feeab3faa62332
  4. https://www.virustotal.com/gui/file/16007ea6ae7ce797451baec2132e30564a29ee0bf8a8f05828ad2289b3690f55
  5. https://thehackernews.com/2022/10/experts-warn-of-stealthy-powershell.html
  6. https://cybertron.co.th/powershell-backdoor/
834 Views