TTC-CERT พบ Python Infostealer Malware จากประเทศเพื่อนบ้านมีเป้าหมายในการโจมตีผู้ใช้งานในประเทศไทย

By TTC-CERT Contributor on Tag: TTC-CERT, Malware, Cybersecurity, In-Depth
TTC-CERT

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการตรวจพบ Python Infostealer Malware ซึ่งเป็นไฟล์สคริปต์ที่พัฒนาด้วยภาษา Python และทำงานในลักษณะของ Infostealer ถูกนำมาใช้ในการโจมตีผู้ใช้งานในประเทศไทย โดยคาดว่าเป็นฝีมือของกลุ่มแฮกเกอร์ที่ใช้ภาษาเวียดนามในการสื่อสาร

ศูนย์ TTC-CERT ได้ตรวจพบไฟล์ประเภท Zip ต้องสงสัยซึ่งถูกตั้งชื่อไฟล์ว่า "ที่อยู่-หมายเลขโทรศัพท์-และรูปภาพของฉัน-1.zip" โดยภายในไฟล์ดังกล่าวถูกปกป้องเอาไว้ด้วยรหัสผ่านและบรรจุไฟล์สคริปต์ประเภท batch file เอาไว้ จึงได้นำมาวิเคราะห์เพิ่มเติมและพบว่าไฟล์ดังกล่าวเป็นส่วนหนึ่งของการโจมตีทางไซเบอร์โดยใช้มัลแวร์ซึ่งเป็นไฟล์สคริปต์ที่พัฒนาด้วยภาษา Python ทำงานในลักษณะของ Infostealer เพื่อขโมยข้อมูลที่บันทึกเอาไว้ในเว็บเบราว์เซอร์ของเหยื่อ ได้แก่ รายชื่อเว็บไซต์กับบัญชีผู้ใช้งานและรหัสผ่านที่เกี่ยวข้อง รวมไปถึงบัญชีผู้ใช้งาน (user account) ของระบบปฏิบัติการ Windows โดยข้อมูลทั้งหมดจะถูกส่งออก (exfiltrate) ไปยัง Command and Control (C2) ผ่าน Ngrok ซึ่งเป็นเครื่องมือที่ทำงานในลักษณะของ reverse proxy เพื่อซ่อนหมายเลขไอพีที่แท้จริงของ C2 เอาไว้

ศูนย์ TTC-CERT ตรวจสอบในรายละเอียดการโจมตีพบว่า infrastructure ที่ผู้โจมตีใช้งานล้วนมีแหล่งที่มาหรือมีความเกี่ยวข้องกับบริษัทสัญชาติเวียดนามทั้งสิ้น อีกทั้งข้อมูลที่ตรวจพบจากเว็บไซต์ VirusTotal พบว่ามีไฟล์อื่น ๆ ที่ผู้โจมตีใช้งานซึ่งมีชื่อไฟล์ที่เขียนด้วยภาษาเวียดนาม นอกจากนี้ผู้โจมตียังได้กำหนดให้มัลแวร์ตรวจสอบตำแหน่งทางภูมิศาสตร์ของเครื่องคอมพิวเตอร์เป้าหมายก่อนที่จะลงมือโจมตีเพื่อหลีกเลี่ยงไม่ให้มัลแวร์ทำการโจมตีเครื่องคอมพิวเตอร์ที่มีตำแหน่งทางภูมิศาสตร์ที่ตั้งอยู่ในประเทศเวียดนามซึ่งอาจไปได้ว่าผู้โจมตีต้องการลดความเสี่ยงด้านกระบวนการทางกฏหมาย เนื่องจากตัวผู้โจมตีเองอาจอยู่ภายใต้ขอบเขตการบังคับใช้กฏหมายของประเทศเวียดนาม

ทั้งนี้ ศูนย์ TTC-CERT ได้พิจารณาถึงข้อมูลของ infrastructure ที่ตรวจพบรวมถึงขีดความสามารถของ มัลแวร์ดังกล่าวร่วมกับข้อมูลแนวโน้มภัยคุกคามทางไซเบอร์ในภูมิภาคเอเชียตะวันออกเฉียงใต้ ณ ปัจจุบัน ซึ่งมีกลุ่มแฮกเกอร์ที่ใช้ภาษาเวียดนามในการสื่อสารนิยมใช้มัลแวร์ประเภท Infostealer ในการโจมตีผู้ใช้งานทั่วโลกรวมถึงผู้ใช้งานชาวไทย ทำให้สามารถคาดการณ์ด้วยความเชื่อมั่นระดับสูง (high level of confidence) ได้ว่า ผู้โจมตีที่อยู่เบื้องหลังการโจมตีในครั้งนี้เป็นกลุ่มผู้โจมตีที่ใช้ภาษาเวียดนามในการสื่อสาร (Vietnamese-based) โดยภาพรวมของ infection chain มีรายละเอียดตามภาพ

alt text

ภาพแสดงภาพรวมของ infection chain ที่ใช้ในการโจมตี

ทั้งนี้ข้อมูลรายละเอียดการวิเคราะห์ทางเทคนิคเกี่ยวกับรูปแบบการโจมตีสามารถแบ่งเป็นขั้นตอนต่าง ๆ ได้ดังนี้

ขั้นตอนที่ 1: ดาวน์โหลด batch file สำหรับขั้นตอนที่ 2

  • ไฟล์ Zip ถูกป้องกันด้วยรหัสผ่านและประกอบด้วย batch file ชื่อ "photo.bat"
  • batch file นี้ใช้เทคนิค obfuscate เอาไว้ด้วยเทคนิคโบราณโดยการแทนที่ไบต์จำนวน 4 ตัวแรกของไฟล์ ด้วยค่า hexadecimal คือ "FF FE 0D 0A" ซึ่งจะส่งผลให้ซอฟต์แวร์ประเภท Text Editor อ่านข้อมูลในไฟล์ด้วยรูปแบบ Unicode ทำให้ข้อมูลที่ปรากฏไม่สามารถแสดงผลได้ตามปกติ แต่หากใช้ Hex Editor จะสามารถอ่านเนื้อหาภายในไฟล์ได้
  • ไฟล์ "photo.bat" จะเรียกใช้โปรแกรม curl เพื่อดาวน์โหลด batch file ลำดับที่สองจาก C2 และบันทึกไว้ในโฟลเดอร์ C:\Users\Public โดยเปลี่ยนชื่อเป็น "mems.bat"

ขั้นตอนที่ 2: ดาวน์โหลดไฟล์สคริปต์ Python สำหรับขั้นตอนที่ 3

  • ไฟล์ "mems.bat" จะทำหน้าที่ในการสร้าง persistence mechanism ในระบบด้วยการใช้ PowerShell เพื่อดาวน์โหลด batch file (WindowsUpdate.bat) และบันทึกไฟล์ดังกล่าวไว้ภายใต้โฟลเดอร์ Startup ของผู้ใช้งาน
  • ไฟล์ "mems.bat" เรียกใช้โปรแกรม curl เพื่อดาวน์โหลดและติดตั้ง Python ในโฟลเดอร์ C:\Users\Public\python39
  • ไฟล์ "mems.bat" ดาวน์โหลดไฟล์สคริปต์ Python ลำดับที่สามจาก C2 และบันทึกไว้ในโฟลเดอร์ C:\Users\Public\python39 ด้วยชื่อ "documents.py"

ขั้นตอนที่ 3: การเรียกใช้ payload

  • ไฟล์ "documents.py" เป็นไฟล์สคริปต์ Python ที่ถูกใช้ในการอิมพอร์ตโมดูลและดาวน์โหลดไฟล์สคริปต์ลำดับสุดท้าย (payload) จาก C2
  • ไฟล์สคริปต์สุดท้าย (payload) ที่ดาวน์โหลดจาก C2 จะเริ่มกระบวนการทำงานโดยตรวจสอบตำแหน่งทางภูมิศาสตร์ของเครื่องคอมพิวเตอร์ผ่านเว็บไซต์ geolocation-db.com และตรวจสอบค่าข้อมูลภายในหัวข้อ country_code จาก response ที่ได้รับ
  • หากตำแหน่ง country_code ที่ได้รับไม่ใช่ค่า "VN" (ประเทศเวียดนาม) มัลแวร์จะเริ่มกระบวนการเก็บรวบรวมข้อมูลที่เกี่ยวข้องกับบัญชีผู้ใช้งาน (user account) ของระบบปฏิบัติการ ชื่อเว็บไซต์ บัญชีผู้ใช้งานและรหัสผ่านที่บันทึกเอาไว้ในเว็บเบราว์เซอร์ โดยมัลแวร์จะมุ่งเป้าโจมตีเฉพาะเว็บเบราว์เซอร์จำนวน 3 รายการ ได้แก่ Google Chrome, Cốc Cốc, และ Microsoft Edge
  • ผู้โจมตีจะทำการส่งออกข้อมูล (exfiltrate) ไปยัง C2 โดยแบ่งออกเป็นสองรอบ ในครั้งแรก มัลแวร์จะทำการเก็บรวบรวมและส่งออกข้อมูลเฉพาะส่วนที่เกี่ยวข้องกับบัญชีผู้ใช้งาน (user account) ของระบบปฏิบัติการ และบัญชีผู้ใช้งานรวมถึงรหัสผ่านของเว็บไซต์ Facebook เท่านั้น และครั้งที่สอง มัลแวร์จะทำการเก็บรวบรวมและส่งออกข้อมูลบัญชีผู้ใช้งานและรหัสผ่านทั้งหมดที่เก็บรวบรวมมาได้

โดยหากผู้อ่าน สนใจข้อมูลการวิเคราะห์อย่างละเอียดจาก ศูนย์ TTC-CERT สามารถอ่านต่อได้ที่ การแจ้งเตือน-รายงานการวิเคราะห์กรณีพบ Python Infostealer Malware มีเป้าหมายในการโจมตีผู้ใช้งานในประเทศไทย

ที่มา - TTC-CERT, การแจ้งเตือน-รายงานการวิเคราะห์กรณีพบ Python Infostealer Malware มีเป้าหมายในการโจมตีผู้ใช้งานในประเทศไทย

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand