IDAT ตัวโหลดมัลแวร์เวอร์ชันใหม่ ที่ใช้การ steganography เพื่อติดตั้ง Remcos RAT

79/67 (IT) ประจำวันพุธที่ 28 กุมภาพันธ์ 2567

กลุ่มภัยคุกคามที่ถูกเรียกว่า ‘UAC-0184’ ถูกพบว่ามีการใช้ไฟล์ภาพ Steganographic เพื่อส่ง Remcos RAT  ไปยังระบบของหน่วยงานในประเทศยูเครนที่ดำเนินงานในฟินแลนด์ โดยที่กลุ่ม UAC-0184 เป็นภัยคุกคามที่ Trend Micro พบว่าได้ทำการโจมตีกองทัพยูเครนในช่วงปลายปี 2023 และใช้มัลแวร์เดียวกันนี้ด้วย และกิจกรรมล่าสุดของกลุ่มภัยคุกคามนี้ ได้เริ่มต้นในเดือนมกราคม 2567 โดยมีนักวิจัยของบริษัท Morphisec พบว่ากลุ่มดังกล่าวได้ขยายการโจมตีไปยังองค์กรเป้าหมายที่อยู่นอกประเทศยูเครน แต่ยังมีความเกี่ยวข้องกับเป้าหมายเดิมอยู่ แต่ทางด้าน Morphisec ก็ยังไม่ได้ให้ข้อมูลทางเทคนิคหรือรายละเอียดเฉพาะเกี่ยวกับเหยื่อเนื่องต้องเก็บรักษาเป็นความลับ แต่ยังคงแบ่งปันข้อมูลบางส่วนเกี่ยวกับวิธีการโจมตีแบบ Steganography ที่กลุ่มดังกล่าวใช้ ซึ่งเกี่ยวข้องกับการเข้ารหัสโค้ดที่เป็นอันตรายลงในข้อมูลพิกเซลของภาพ เพื่อหลบเลี่ยงการตรวจจับ โดยทั่วไปแล้ว ชิ้นส่วนเล็กๆ ในพิกเซลของภาพจะไม่ส่งผลให้รูปลักษณ์ของภาพเปลี่ยนไป แต่ในกรณีที่ Morphisec เห็นพบว่ารูปภาพจะดูบิดเบี้ยวอย่างเห็นได้ชัด แต่อย่างไรก็ตามการบิดเบี้ยวนี้จะสร้างความเสียหายให้กับผู้โจมตีในกรณีของการตรวจสอบด้วยตนเองเท่านั้น และหากไม่มีการตรวจสอบเลย แต่ก็ยังสามารถหลบเลี่ยงการตรวจจับจากผลิตภัณฑ์รักษาความปลอดภัยแบบอัตโนมัติได้     

โดยชุดรูปแบบการโจมตีที่ Morphisec ตรวจพบนั้น เริ่มต้นด้วยการส่งอีเมลฟิชชิ่งที่สร้างขึ้นมา ซึ่งคาดว่ามาจากหน่วยงานทางทหารของประเทศยูเครน หรือกองกำลังป้องกันประเทศอิสราเอล ซึ่งหากผู้รับที่ถูกหลอกให้เปิดไฟล์แนบทางลัดดังกล่าว จะทำให้เกิดชุดรูปแบบการโจมตี หรือห่วงโซ่การติดมัลแวร์ที่จะเรียกใช้โปรแกรมปฏิบัติการ (DockerSystem_Gzv3.exe) ซึ่งจะเปิดใช้งานตัวโหลดมัลแวร์แบบแยกส่วนที่ชื่อว่า “IDAT” ที่ทำการแยกเพย์โหลดที่เข้ารหัสซึ่งฝังอยู่ในไฟล์รูปภาพ PNG ที่เป็นอันตราย จากนั้นถอดรหัสและดำเนินการในหน่วยความจำ ซึ่งเป็นกระบวนการที่เกี่ยวข้องกับหลายขั้นตอนและโมดูลเพิ่มเติมที่ถูกแทรกเข้าไปในกระบวนการที่ถูกต้องตามกฎหมาย (Explorer.exe) และไฟล์ DLL (PLA.dll ) และขั้นตอนสุดท้ายเกี่ยวข้องกับการถอดรหัสและการดำเนินการติดตั้ง Remcos RAT ซึ่งเป็นมัลแวร์ที่แฮกเกอร์ใช้เป็น backdoor บนระบบที่ถูกบุกรุก และช่วยให้สามารถขโมยข้อมูลอย่างลับๆ และติดตามกิจกรรมของเหยื่อได้ ทั้งนี้  IDAT ยังมีความสามารถในการส่งมัลแวร์ชนิดอื่น เช่น Danabot, SystemBC และ RedLine Stealer อีกด้วย แต่ก็ยังไม่ชัดเจนว่ามีมัลแวร์ตระกูลเหล่านี้ ในคอมพิวเตอร์ที่ใช้ในประเทศฟินแลนด์หรือในการโจมตีในรูปแบบอื่น

แหล่งข่าว https://www.bleepingcomputer.com/news/security/new-idat-loader-version-uses-steganography-to-push-remcos-rat/