Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ການໂຈມຕີຄັ້ງໃໝ່! ເພື່ອຕິດຕັ້ງມັນແວ (Malware) LokiBot ຜ່ານ Macros ທີ່ເປັນອັນຕະລາຍໃນ Word Docs

ການໂຈມຕີຄັ້ງໃໝ່! ເພື່ອຕິດຕັ້ງມັນແວ (Malware) LokiBot ຜ່ານ Macros ທີ່ເປັນອັນຕະລາຍໃນ Word Docs

ເມື່ອ​ບໍ່ດົນມານີ້​, ທາງ FortiGuard Labs ໄດ້​ເປີດ​ເຜີຍ​ການ​ຄົ້ນ​ພົບ​ Microsoft Office documents ທີ່​ເປັນ​ອັນຕະລາຍ​ ຊຶ່ງ​ອອກ​ແບບ​ມາ​ເພື່ອ​ໃຊ້​ປະໂຫຍດ​ຈາກ​ຊ່ອງ​ໂຫວ່​ Remote code execution ທີ່​ເປັນ​ທີ່​ຮູ້​ຈັກ​ຄື: CVE-2021-40444 ແລະ​ CVE-2022-30190 (Follina) ເພື່ອເອີ້ນໃຊ້​ມັນ​ແວ​ (Malware) LokiBot (ຫຼື ​ທີ່​ຮູ້​ຈັກ​ກັນ​ໃນ​ຊື່​ Loki PWS) ໄປ​ຫາລະບົບ​ຂອງ​ເຫຍື່ອ.​

LokiBot ເປັນ​ໂທ​ຈັນ (Trojan) ​ທີ່​ມີ​ການ​ໃຊ້​ງານ​ມາ​ຕັ້ງ​ແຕ່​ປີ​ 2015 ຊຶ່ງ​ຖືກ​ໃຊ້​ໃນ​ການ​ລັກ​ຂໍ້​ມູນ​ທີ່​ສຳຄັນ​ຈາກ​ເຄື່ອງ​ Windows ຊຶ່ງ​ເປັນໄ​ພ​ຄຸກ​ຄາມ​ທີ່​ສຳຄັນ​ຕໍ່​ຂໍ້​ມູນ​ຂອງ​ຜູ້​ໃຊ້​ງານ​.

FortiGuard Labs ໄດ້​​ວິ​ເຄາະ​ Word documents ສອງ​ປະ​ເພດ​ທີ່​ແຕກ​ຕ່າງ​ກັນ​ ຊຶ່ງ​ທັງ​ສອງ​ຟາຍ​ເປັນ​ໄພ​ຄຸກ​ຄາມ​ຮ້າຍແຮງ​ຕໍ່​ຜູ້​ໃຊ້​ງານ​ທີ່​ບໍ່​ໄດ້​ລະ​ມັດ​ລະ​ວັງ​ ໂດຍ​ຟາຍປະ​ເພດ​ທໍາອິດ​ຈະ​ມີ​ລິ້ງ​ພາຍນອກ​ທີ່​ຝັງ​ຢູ່ໃນ​ຟາຍ​ XML ຊື່​ "word/rels/document.XML.rels" ແລະ ​ຟາຍປະເພດ​ທີ່​ສອງ​ຈະ​ໃຊ້​ VBA script ທີ່​ເອີ້ນ​ໃຊ້​ມາ​ໂຄ (Macro) ​ທີ່​ເປັນ​ອັນຕະລາຍ​ເມື່ອ​ເປີດ​ເອກະສານ​ ສິ່ງ​ທີ່​ໜ້າສົ​ນ​ໃຈ​ຄື​ຟາຍ​ທັງ​ສອງ​ມີ​ຮູບພາບ​ເຫຍື່ອ​ທີ່​ຄ້າຍຄື​ກັນ​ ດັ່ງ​ຮູບ​ທີ​ 1 ຊຶ່ງ​ສະແດງ​ໃຫ້​ເຫັນ​ເຖິງ​ຄວາມ​ເຊື່ອມ​ໂຍງ​ທີ່​ເປັນ​ໄປ​ໄດ້​ລະຫວ່າງ​ການ​ໂຈມ​ຕີ​.


Word document ທີ່​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ CVE-2021-40444 ມີ​ຟາຍຊື່​ “document.xml.rels” ຊຶ່ງ​ມີ​ລິ້ງ​ພາຍນອກ​ທີ່​ໃຊ້​ MHTML (MIME Encapsulation of Aggregate HTML document) ໂດຍ​ລິ້ງ​​ນີ້​ຈະ​ໃຊ້​ Cuttly ຊຶ່ງ​ເປັນ​ URL shortener ແລະ ​ແພັດ​ຟອມ (Platform) ​ການ​ຈັດການ​ລິ້ງ​ ເພື່ອ​ປ່ຽນ​ເສັ້ນ​ທາງ​ຜູ້​ໃຊ້​ໄປ​ຫາ​ເວັບ​ໄຊ​​ແຊ​ຣ໌​ຟາຍ​ເທິງຄລາວ​ (Cloud) ​ທີ່​ເອີ້ນວ່າ​ “GoFile”.

ຈາກ​ການ​ວິ​ເຄາະ​ເພີ່ມຕື່ມພົບ​ວ່າ​ການ​ເຂົ້າ​ເຖິງ​ລິ້ງ​ຈະ​ເລີ່ມ​ຕົ້ນ​ການ​ດາວ​ໂຫຼດ​ຟາຍ​ຊື່​ “defrt.html” ໂດຍ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ທີສອງ​ CVE-2022-30190 ແລະ ​ເມື່ອ​ດຳ​ເນີນ​ການ​ເພ​ໂຫຼດ​ (Payload) ແລ້ວ​ຈະ​ກະຕຸ້ນ (Trigger)​ ການ​ດາວ​​ໂຫຼດ​ຟາຍ​ Injector ທີ່​ຊື່​ວ່າ​ “oehrjd.exe” ຈາກ​ URL “http[:]//pcwizardnet/yz/ftp/”.

​ສະຄິບ (Script) ​ສ້າງ​ຟາຍ “ema.tmp” ເພື່ອ​ເກັບ​ຂໍ້​ມູນ​ ແລະ​ ເຂົ້າ​ລະ​ຫັດ​ດ້ວຍ​ຟັງ​​ຊັ່ນ​ “ecodehex” ແລະ​ ບັນ​ທຶກ​ເປັນ​ “des.jpg” ຈາກ​ນັ້ນ​ສະຄິບ​ຈະ​ໃຊ້​ rundll32 ເພື່ອ​ໂຫຼດ​ຟາຍ​ DLL ທີ່​ມີ​ຟັງ​​ຊັ່ນ​ "maintst" ແລະ​ຟາຍ​ຊົ່ວ​ຄາວ​, ຟາຍ​ JPG ແລະ​ ຟາຍ​ INF ທີ່​ສ້າງ​ຂຶ້ນ​ໃນ​ຂະ​ບວນ​ການ​ທັງ​ໝົດ​ນີ້​ຈະ​ຖືກ​ລຶບ​ຖິ້ມ​ຢ່າງ​ເປັນ​ລະບົບ​.

ການສ້າງ​ຟາຍ​ INF ຂອງ​ສະຄິບ​ VBA ມີ​ຈຸດປະສົງ​ເພື່ອ​ໂຫຼດຟາຍ​ DLL ທີ່​ຊື່​ວ່າ​ “des.jpg” ທີ່​ໃຊ້​ໃນ​ການ​ດາວ​​ໂຫຼດ​ injector ຈາກ​ URL “https[:]//vertebromedmd/temp/dhssdfexe” ເພື່ອ​ນຳ​ມາ​ໃຊ້​ໃນ​ພາຍ​ຫຼັງ​
ເປັນ​ທີ່​ໜ້າ​ສັງເກດ​ວ່າ​ລິ້ງ​​ດາວ​ໂຫຼດ​ຈະ​ມີ​ຄວາມ​ແຕກ​ຕ່າງ​ຈາກ​ແພັດ​ຟອມ​ຄລາວ​ແຊ​ຣ໌​ຟາຍ​ທົ່ວ​ໄປ​ ຫຼື ​ເ​ຊີ​ເວີ​​ command-and-control (C2) ຂອງ​ຜູ້​ໂຈມ​ຕີ​ ແຕ່​ຈະ​ໃຊ້​ປະໂຫຍດ​ຈາກ​ເວັບ​ໄຊ​​ “vertebromed.md” ຊຶ່ງ​ເປັນ​ໂດ​ເມນ​ທີ່​ໃຊ້​ງານ​ມາ​ຕັ້ງ​ແຕ່​ປີ​ 2018.

ນອກ​ຈາກ​ນີ້​ໃນ​ໂຟນ​ເດີ​ (Folder) ​ດຽວ​ກັນ​ FortiGuard Labs ຍັງ​ພົບ​ຕົວ​ໂຫຼດ​ MSIL ອີກ​ຕົວ​ທີ່​ຊື່​ IMG_3360_103pdf.exe ຊຶ່ງ​ຖືກ​ສ້າງ​ຂຶ້ນ​ເມື່ອ​ວັນທີ​ 30 ພ​ຶດສະ​ພາ​ 2023 ເຖິງວ່າ​ຈະ​ບໍ່​ໄດ້​ມີ​ສ່ວນ​ກ່ຽວ​ຂ້ອງ​ໂດຍ​ກົງ​ກັບ​ການ​ໂຈມ​ຕີ​ Word document ແຕ່​ຟາຍນີ້​ຍັງມີ​ການ​ໂຫຼດ​ LokiBot ແລະ ​ເຊື່ອມ​ຕໍ່​ກັບ​ C2 IP ດຽວ​ກັນ.​

LokiBot ເປັນ​ມັນ​ແວ​ທີ່​ຖືກ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ຢ່າງ​ແຜ່​ຫຼາຍ​ ແລະ ​ໄດ້ຮັບ​ການ​ພັດທະນາ​ຢ່າງ​ຕໍ່​ເນື່ອງ​ໃນ​ຊ່ວງ​ຫຼາຍ​ປີ​ທີ່​ຜ່ານມາ​ ຊຶ່ງໄດ້​ມີ​ການ​ປັບ​ປ່ຽນ​ວິທີ​ການ​ເລີ່ມ​ຕົ້ນ​ການ​ເຂົ້າ​ເຖິງ​ ເພື່ອ​​ແຜ່ກ​ະ​ຈາຍ​ມັນ​ແວ​ ແລະ​ ໂຈມ​ຕີ​ລະບົບ​ໄດ້​ຢ່າງ​ມີປະ​ສິດ​ທິ​ພາບ​ຫຼາຍ​ຂຶ້ນ ​ດ້ວຍ​ການ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ຕ່າງ​ໆ​ ແລະ ​ໃຊ້​ປະໂຫຍດ​ຈາກ​ VBA macro ເຮັດໃຫ້​ LokiBot ຍັງ​ເປັນ​ໄພຄຸກ​ຄາມ​ທີ່​ສຳຄັນ​ສຳລັບ​ການ​ຮັກສາ​ຄວາມ​ປອດ​ໄພທາງ​ໄຊ​ເບີ​​ ຊຶ່ງ​ການ​ໃຊ້​ VB Injector ຊ່ວຍ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ຫຼີກ​ລ້ຽງ​ການ​ກວດ​ຈັບ​ ແລະ​ ການ​ວິ​ເຄາະ​ ເຮັດໃຫ້​ການ​ໂຈມ​ຕີ​ມີ​ຄວາມ​ຮຸນແຮງ​ຂຶ້ນ​.

ຄຳ​ແນະ​ນຳ​

  • ຜູ້​ໃຊ້​ງານ​ຄວນ​ລະ​ວັງ​ການ​ຈັດການ​ກັບ​ Office documents ຫຼື ​ຟາຍ​ທີ່​ບໍ່​ຮູ້​ຈັກ​ ໂດຍ​ສະເພາະຟາຍ​ທີ່​ມີ​ລິ້ງ​ໄປ​ຫາ​ເວັບ​ໄຊ​​ພາຍນອກ;​
  • ຫຼີກ​ລ້ຽງ​ການ​ກົດ​ລິ້ງ​​ທີ່​ໜ້າສົງໄສ​ ຫຼື ​ເປີດ​ຟາຍ​ແນບ​ຈາກ​ແຫຼ່ງ​ທີ່​ບໍ່​ໜ້າ​ເຊື່ອ​ຖື​;
  • ອັບ​ເດດ​ແພັດ​ (Patch) ຄວາມ​ປອດ​ໄພ​ຂອງ​ຊອບແວ​​ ແລະ​ ລະບົບ​ປະຕິບັດການ​ໃຫ້ເປັນ​ເວີ​​ຊັ່ນ​ລ່າ​ສຸດ​ ເພື່ອ​ຊ່ວຍ​ຫຼຸດ​ຄວາມ​ສ່ຽງ​ໃນ​ການ​ຕົກ​ເປັນ​ເຫຍື່ອ​ຂອງ​ການ​ໂຈມ​ຕີ​ຂອງ​ມັນ​ແວ​.

 

ເອກະສານອ້າງອີງ:

  1. https://www.hackread.com/lokibot-malware-malicious-macros-word-docs/?web_view=true
  2. https://www.i-secure.co.th/2023/07/%e0%b8%81%e0%b8%b2%e0%b8%a3%e0%b9%82%e0%b8%88%e0%b8%a1%e0%b8%95%e0%b8%b5%e0%b8%84%e0%b8%a3%e0%b8%b1%e0%b9%89%e0%b8%87%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88%e0%b9%80%e0%b8%9e%e0%b8%b7%e0%b9%88%e0%b8%ad/

ລາຍການຮູບ

laocert 25 July 2023 606 Print