ຜູ້ຊ່ຽວຊານເຕືອນ PowerShell Backdoor ທີ່ເຊື່ອງຢູ່ໃນ Windows Update
Tomer Bar ຜູ້ອຳນວຍການຝ່າຍວິໄຈດ້ານຄວາມປອດໄພຂອງ SafeBreach(1) ໄດ້ກ່າວເຖິງ ເຄື່ອງມືທີ່ຖືກຄິດຄົ້ນ ແລະ ພັດທະນາຂຶ້ນໃໝ່ ໂດຍກຸ່ມຜູ້ໂຈມຕີ ທີ່ບໍ່ຮູ້ຈັກ ລວມເຖິງການໃຊ້ຄຳສັ່ງ (C2) .
ຜູ້ໂຈມຕີມຸ້ງເປົ້າໄປທີ່ຜູ້ໃຊ້ງານ 100 ຄົນ ແລະ ເນື່ອງຈາກຍັງບໍ່ຮູ້ວ່າ ຜູ້ໂຈມຕີເປັນໃຜ ຊຶ່ງພົບພຽງຟາຍເອກະສານ Microsoft Word(2) ທີ່ຖືກອັບໂຫຼດຈາກປະເທດຈໍແດນ ເມື່ອວັນທີ 25 ສິງຫາ 2022 ທີ່ຜ່ານມາ.
ຈາກຂໍ້ມູນຂອງທາງ Meta ພົບວ່າຟາຍ Microsoft Word ນັ້ນ ເປັນຈຸດເລີ່ມຕົ້ນ ໃນການໂຈມຕີແບບ spear-phishing ໃນ LinkedIn-based ແລະ ນຳໄປສູ່ການ execution ໃນ PowerShell script ຜ່ານ macro code ທີ່ຖືກຝັງໄວ້.
ຜູ້ໂຈມຕີໃຊ້ PowerShell script ຕົວທີ່ 1 (Script1.ps1)(3) ເພື່ອທຳການເຊື່ອມຕໍ່ໄປທີ່ remote command-and-control (C2) server ຫຼັງຈາກນັ້ນຈະໃຊ້ PowerShell script ຕົວທີ່ 2 (temp.ps1)(4) ເພື່ອຮຽກໃຊ້ຄຳສັ່ງເປີດໃຊ້ງານເທິງເຄື່ອງເປົ້າໝາຍທີ່ຖືກໂຈມຕີ ແຕ່ຖ້າເກີດຂໍ້ຜິດພາດ ລະຫວ່າງ ດຳເນີນການ ຜູ້ໂຈມຕີຈະເພີ່ມລາຍລະອຽດໃນຊຸດຄຳສັ່ງ ເພື່ອເປັນການລະບຸຜູ້ໃຊ້ແຕ່ລະລາຍເພີ່ມເຕີມ ເຊັ່ນ: 0, 1, 2, ຕໍ່ທ້າຍ ຊຶ່ງຊຸດຄຳສັ່ງຖືກສ້າງຂຶ້ນໃໝ່ຈາກ (C2) server ຊຶ່ງຈະປະກອບໄປດ້ວຍ ການກັ່ນຕອງ process ການເຮັດວຽກຕ່າງໆ, ການນັບຟາຍທີ່ຢູ່ໃນໂຟນເດີສະເພາະ, ການເປີດໃຊ້ງານ whoami ແລະ ການລຶບຟາຍ ທີ່ຢູ່ໃນໂຟນເດີຜູ້ໃຊ້ສາທາລະນະ.
ການຄົ້ນພົບເທື່ອນີ້ ເກີດຂຶ້ນໃນຂະນະທີ່ທາງ Microsoft ໄດ້ດຳເນີນການຕາມຂັ້ນຕອນໃນການ block ການໃຊ້ງານ Excel 4.0 (XLM ຫລື XL4) ແລະ Visual Basic ທີ່ໃຊ້ສຳລັບ Application (VBA) macros ຕາມຄ່າເລີ່ມຕົ້ນຂອງ Microsoft Office
ເອກະສານອ້າງອີງ
- https://www.safebreach.com/resources/blog/safebreach-labs-researchers-uncover-new-fully-undetectable-powershell-backdoor/
- https://www.virustotal.com/gui/file/45f293b1b5a4aaec48ac943696302bac9c893867f1fc282e85ed8341dd2f0f50
- https://www.virustotal.com/gui/file/bda4484bb6325dfccaa464c2007a8f20130f0cf359a7f79e14feeab3faa62332
- https://www.virustotal.com/gui/file/16007ea6ae7ce797451baec2132e30564a29ee0bf8a8f05828ad2289b3690f55
- https://thehackernews.com/2022/10/experts-warn-of-stealthy-powershell.html
- https://cybertron.co.th/powershell-backdoor/
ລາຍການຮູບ
