แฮ็กเกอร์ชาวอิหร่านโจมตีบริษัทโทรคมนาคมการบินและอวกาศ (ShellClient Rat)

ShellClient Rat

เมื่อวันที่ 9 ตุลาคม 2564 ได้มีการประกาศจาก Cybereason ที่เป็นบริษัทรักษาความมั่นคงปลอดภัยว่ามีการโจรกรรมทาง Cyber รูปแบบใหม่โดยใช้ Dropbox ซึ่งเป็นเว็บแอปพลิเคชันบริการรับฝากไฟล์บน Cloud

โดยกลุ่มแฮ็กเกอร์ MalKamak เป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งได้กำหนดเป้าหมายไปยังภาคการบินและอวกาศในตะวันออกกลางตั้งแต่ปี 2561และยังกำหนดเป้าหมายเหล่านี้ในประเทศอื่นอีก เช่น สหรัฐ, ยุโรป, รัสเซีย เป็นต้น

แฮ็กเกอร์ใช้ Ransomware ที่เรียกว่า Shell Client The silent rat ทำการโจมตีตั้งแต่เดือน พฤษภาคม 2561 และถูก ตรวจพบในเดือน กรกฎาคม 2564 โดยบริษัท Cybereason

อ้างอิง https://cybersecuritynews.com/

ซึ่ง ShellClient Rat จะปลอมเป็น svchost.exe ทำงานอยู่บนเครื่องของเป้าหมายโดยจะมีชื่อภายในว่า RuntimeBroker.exe โดยสามารถโจมตีได้ด้วยการสร้าง nhdService (Network Hosts Detection Service)

• ชื่อบริการ: nhdService
• ชื่อที่แสดง: บริการตรวจจับโฮสต์เครือข่าย
• คำอธิบาย: ค้นหาและจัดการโฮสต์ในโฟลเดอร์ Network and Dial-Up Connections ซึ่งสามารถดูได้ทั้งเครือข่ายท้องถิ่นและการเชื่อมต่อระยะไกล
• ประเภทการเริ่มต้น: อัตโนมัติ
• บัญชี: LocalSystem
 
คำสั่งที่รองรับ
• code10: ค้นหาชื่อโฮสต์, เวอร์ชันมัลแวร์, Executable path, ที่อยู่ IP และผลิตภัณฑ์ป้องกันไวรัส 
• code11: เรียกใช้ ShellClient . เวอร์ชันที่อัปเดต
• code12: ลบตัวเองโดยใช้ InstallUtil.exe
• code13: เริ่มบริการ ShellClient ใหม่
• code20: เริ่มเชลล์ CMD
• code21: เริ่มเชลล์ PowerShell
• code22: เพิ่มข้อความผลลัพธ์ในบรรทัด: “Microsoft Windows Command Prompt Alternative Started …”
• code23: เปิด TCP Client
• code24: เริ่ม Client FTP
• code25: เริ่ม Client Telnet
• code26: รันคำสั่งเชลล์
• code29: ปิดการทำงาน CMD หรือ PowerShell shell ที่ใช้งานอยู่
• code31: ทำการกรองไฟล์และไดเร็กทอรี
• code32: สร้างไดเร็กทอรี
• code33: ลบไฟล์และโฟลเดอร์
• code34: ดาวน์โหลดไฟล์ไปยังเครื่องที่ติดไวรัส
• code35: อัปโหลดไฟล์ไปยัง Dropbox
• code36: ไม่ทำอะไรเลย
• code37: ดาวน์โหลดไฟล์ไปยังเครื่องที่ติดไวรัสและเรียกใช้งาน
• code38: การทำงานควบคู่โดยใช้ WMI
 

อ้างอิง https://cybersecuritynews.com/

ในการโจมตีจะเป็นการส่ง Email ไปหาเป้าหมายและรอให้เปิดไฟล์หลอกลวง ซึ่งเป็นไฟล์นามสกุล RAR ที่มีไวรัสแฝงอยู่ เพื่อทำการติดตั้ง Backdoor บนเครื่องเป้าหมาย ซึ่งทำให้แฮ็กเกอร์สามารถควบคุมเครื่องของเป้าหมายได้สำเร็จและอาศัย Dropbox API ในการพรางตัว โดยจะเรียกใช้คำสั่งและกรองผลลัพธ์กลับไปยัง Dropbox เพื่อขโมยข้อมูล

อ้างอิงhttps://cybersecuritynews.com/iranian-hackers-attacked-aerospace-and-telecom-firms-using-dropbox

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 15 ตุลาคม 2564