Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ຜູ້ຊ່ຽວຊານເຕືອນ PowerShell Backdoor ທີ່ເຊື່ອງຢູ່ໃນ Windows Update

ຜູ້ຊ່ຽວຊານເຕືອນ PowerShell Backdoor ທີ່ເຊື່ອງຢູ່ໃນ Windows Update

Tomer Bar ຜູ້​ອຳ​ນວຍ​ການ​ຝ່າຍ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ຂອງ SafeBreach(1) ໄດ້​ກ່າວເຖິງ ເຄື່ອງ​ມື​ທີ່​ຖືກ​ຄິດ​ຄົ້ນ ແລະ ​ພັດທະນາ​ຂຶ້ນ​ໃໝ່ ໂດຍ​ກຸ່ມ​ຜູ້​ໂຈມ​ຕີ ​ທີ່​ບໍ່​ຮູ້​ຈັກ ລວມ​ເຖິງ​ການ​ໃຊ້​ຄຳ​ສັ່ງ (C2) .

ຜູ້​ໂຈມ​ຕີ​ມຸ້ງ​ເປົ້າ​ໄປ​ທີ່​ຜູ້​ໃຊ້​ງານ 100 ຄົນ ແລະ ​ເນື່ອງ​ຈາກ​ຍັງ​ບໍ່​ຮູ້ວ່າ ​ຜູ້​ໂຈມ​ຕີ​ເປັນ​ໃຜ ຊຶ່ງ​ພົບ​ພຽງ​ຟາຍ​ເອກະສານ Microsoft Word(2) ທີ່​ຖືກ​ອັບ​ໂຫຼດ​ຈາກ​ປະເທດ​ຈ​ໍ​ແດນ ​ເມື່ອ​ວັນທີ 25 ສິງ​ຫາ​ 2022 ທີ່​ຜ່ານມາ.

ຈາກ​ຂໍ້​ມູນ​ຂອງ​ທາງ Meta ພ​ົບວ່າ​ຟາຍ Microsoft Word ນັ້ນ ເປັນ​ຈຸດ​ເລີ່ມ​ຕົ້ນ​ ໃນ​ການ​ໂຈມ​ຕີ​ແບບ spear-phishing ໃນ LinkedIn-based ແລະ​ ນຳ​ໄປ​ສູ່​ການ execution ໃນ PowerShell script ຜ່ານ macro code ທີ່​ຖືກ​ຝັງ​ໄວ້.

ຜູ້​ໂຈມ​ຕີ​ໃຊ້ PowerShell script ຕົວ​ທີ່ 1 (Script1.ps1)(3) ເພື່ອ​ທຳການ​ເຊື່ອມ​ຕໍ່ໄປ​ທີ່ remote command-and-control (C2) server ຫຼັງ​ຈາກ​ນັ້ນ​ຈະ​ໃຊ້ PowerShell script ຕົວ​ທີ່ 2 (temp.ps1)(4) ເພື່ອ​ຮຽກ​ໃຊ້​ຄຳ​ສັ່ງ​ເປີດ​ໃຊ້​ງານ​ເທິງ​ເຄື່ອງ​ເປົ້າ​ໝາຍ​ທີ່​ຖືກ​ໂຈມ​ຕີ ແຕ່​ຖ້າ​ເກີດ​ຂໍ້​ຜິດ​ພາດ ​ລະຫວ່າງ​ ດຳ​ເນີນ​ການ ​ຜູ້​ໂຈມ​ຕີ​ຈະ​ເພີ່ມ​ລາຍ​ລະອຽດ​ໃນ​ຊຸດ​ຄຳ​ສັ່ງ ​ເພື່ອ​ເປັນ​ການ​ລະ​ບຸ​ຜູ້​ໃຊ້​ແຕ່​ລະ​ລາຍ​ເພີ່ມເຕີມ ເຊັ່ນ: 0, 1, 2, ຕໍ່​ທ້າຍ ຊຶ່ງ​ຊຸດ​ຄຳ​ສັ່ງ​ຖືກ​ສ້າງ​ຂຶ້ນ​ໃໝ່​ຈາກ (C2) server ຊຶ່ງ​ຈະ​ປະກອບ​ໄປ​ດ້ວຍ​ ການ​ກັ່ນຕອງ process ການ​ເຮັດ​ວຽກ​ຕ່າງ​ໆ, ການນັບຟາຍ​ທີ່​ຢູ່ໃນ​ໂຟນ​ເດ​ີ​ສະເພາະ, ການ​ເປີດ​ໃຊ້​ງານ whoami ແລະ ​ການ​ລຶບ​ຟາຍ​ ທີ່​ຢູ່ໃນ​ໂຟນ​ເດີ​ຜູ້​ໃຊ້​ສາທາລະນະ.

ການ​ຄົ້ນ​ພົບ​ເທື່ອ​ນີ້​ ເກີດ​ຂຶ້ນ​ໃນ​ຂະນະ​ທີ່​ທາງ Microsoft ໄດ້​ດຳ​ເນີນ​ການ​ຕາມ​ຂັ້ນ​ຕອນ​ໃນ​ການ block ການ​ໃຊ້​ງານ Excel 4.0 (XLM ຫລື XL4) ແລະ Visual Basic ທີ່​ໃຊ້​ສຳລັບ Application (VBA) macros ຕາມ​ຄ່າ​ເລີ່ມ​ຕົ້ນ​ຂອງ Microsoft Office

ເອກະສານອ້າງອີງ

  1. https://www.safebreach.com/resources/blog/safebreach-labs-researchers-uncover-new-fully-undetectable-powershell-backdoor/
  2. https://www.virustotal.com/gui/file/45f293b1b5a4aaec48ac943696302bac9c893867f1fc282e85ed8341dd2f0f50
  3. https://www.virustotal.com/gui/file/bda4484bb6325dfccaa464c2007a8f20130f0cf359a7f79e14feeab3faa62332
  4. https://www.virustotal.com/gui/file/16007ea6ae7ce797451baec2132e30564a29ee0bf8a8f05828ad2289b3690f55
  5. https://thehackernews.com/2022/10/experts-warn-of-stealthy-powershell.html
  6. https://cybertron.co.th/powershell-backdoor/

ລາຍການຮູບ

Porher 03 November 2022 1,349 Print