แฮ็กเกอร์ชาวอิหร่านโจมตีบริษัทโทรคมนาคมการบินและอวกาศ (ShellClient Rat)

iranian-hackers-attacked-aerospace-and-telecom-firms-using-dropbox.png

เมื่อวันที่ 9 ตุลาคม 2564 ได้มีการประกาศจาก Cybereason ที่เป็นบริษัทรักษาความมั่นคงปลอดภัยว่ามีการโจรกรรมทาง Cyber รูปแบบใหม่โดยใช้ Dropbox ซึ่งเป็นเว็บแอปพลิเคชันบริการรับฝากไฟล์บน Cloud

 

โดยกลุ่มแฮ็กเกอร์ MalKamak เป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งได้กำหนดเป้าหมายไปยังภาคการบินและอวกาศในตะวันออกกลางตั้งแต่ปี 2561และยังกำหนดเป้าหมายเหล่านี้ในประเทศอื่นอีก เช่น สหรัฐ, ยุโรป, รัสเซีย เป็นต้น

 

แฮ็กเกอร์ใช้ Ransomware ที่เรียกว่า Shell Client The silent rat ทำการโจมตีตั้งแต่เดือน พฤษภาคม 2561 และถูก ตรวจพบในเดือน กรกฎาคม 2564 โดยบริษัท Cybereason

iranian-hackers-attacked-aerospace-and-telecom-firms-using-dropbox-2.png

อ้างอิง https://cybersecuritynews.com/

ซึ่ง ShellClient Rat จะปลอมเป็น svchost.exe ทำงานอยู่บนเครื่องของเป้าหมายโดยจะมีชื่อภายในว่า RuntimeBroker.exe โดยสามารถโจมตีได้ด้วยการสร้าง nhdService (Network Hosts Detection Service)

  • ชื่อบริการ: nhdService

  • ชื่อที่แสดง: บริการตรวจจับโฮสต์เครือข่าย

  • คำอธิบาย: ค้นหาและจัดการโฮสต์ในโฟลเดอร์ Network and Dial-Up Connections ซึ่งสามารถดูได้ทั้งเครือข่ายท้องถิ่นและการเชื่อมต่อระยะไกล

  • ประเภทการเริ่มต้น: อัตโนมัติ

  • บัญชี: LocalSystem

 

คำสั่งที่รองรับ

  • code10: ค้นหาชื่อโฮสต์, เวอร์ชันมัลแวร์, Executable path, ที่อยู่ IP และผลิตภัณฑ์ป้องกันไวรัส 

  • code11: เรียกใช้ ShellClient . เวอร์ชันที่อัปเดต

  • code12: ลบตัวเองโดยใช้ InstallUtil.exe

  • code13: เริ่มบริการ ShellClient ใหม่

  • code20: เริ่มเชลล์ CMD

  • code21: เริ่มเชลล์ PowerShell

  • code22: เพิ่มข้อความผลลัพธ์ในบรรทัด: “Microsoft Windows Command Prompt Alternative Started …”

  • code23: เปิด TCP Client

  • code24: เริ่ม Client FTP

  • code25: เริ่ม Client Telnet

  • code26: รันคำสั่งเชลล์

  • code29: ปิดการทำงาน CMD หรือ PowerShell shell ที่ใช้งานอยู่

  • code31: ทำการกรองไฟล์และไดเร็กทอรี

  • code32: สร้างไดเร็กทอรี

  • code33: ลบไฟล์และโฟลเดอร์

  • code34: ดาวน์โหลดไฟล์ไปยังเครื่องที่ติดไวรัส

  • code35: อัปโหลดไฟล์ไปยัง Dropbox

  • code36: ไม่ทำอะไรเลย

  • code37: ดาวน์โหลดไฟล์ไปยังเครื่องที่ติดไวรัสและเรียกใช้งาน

  • code38: การทำงานควบคู่โดยใช้ WMI

iranian-hackers-attacked-aerospace-and-telecom-firms-using-dropbox-3.png

อ้างอิง https://cybersecuritynews.com/

ในการโจมตีจะเป็นการส่ง Email ไปหาเป้าหมายและรอให้เปิดไฟล์หลอกลวง ซึ่งเป็นไฟล์นามสกุล RAR ที่มีไวรัสแฝงอยู่ เพื่อทำการติดตั้ง Backdoor บนเครื่องเป้าหมาย ซึ่งทำให้แฮ็กเกอร์สามารถควบคุมเครื่องของเป้าหมายได้สำเร็จและอาศัย Dropbox API ในการพรางตัว โดยจะเรียกใช้คำสั่งและกรองผลลัพธ์กลับไปยัง Dropbox เพื่อขโมยข้อมูล

 

อ้างอิง : https://cybersecuritynews.com/iranian-hackers-attacked-aerospace-and-telecom-firms-using-dropbox

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 15 ตุลาคม 2564