WAITING

May 08th, 2024
Software Financial Services Cybersecurity Aerospace Agriculture Chemical Construction Defense Education Energy Finance Government Healthcare Hospitality Manufacturing Media NGO Retail Semiconductor Technology Telecommunications Transportation Views 12
ไฟล์ .LNK ถูกใช้ประโยชน์ในการแพร่มัลแวร์ RokRAT

    AhnLab Security Intelligence หรือ ASEC ได้ยืนยันการแพร่กระจายของไฟล์ .LNK ขนาดที่ผิดปกติซึ่งแพร่กระจายมัลแวร์ประเภท Backdoor อย่างต่อเนื่อง พบว่าเป้าหมายเป็นประเทศเกาหลีใต้ ชื่อของไฟล์ .LNK ที่ได้รับการยืนยันคือ:

National Information Academy 8th Integrated Course Certificate (Final).lnk

Gate access roster 2024.lnk

Northeast Project (US Congressional Research Service (CRS Report).lnk

Facility list.lnk

    ไฟล์ .LNK ที่เป็นอันตรายจะมีคำสั่งในการ Execute PowerShell ผ่าน CMD และประเภทของไฟล์นั้นคล้ายกับประเภทที่พบใน "RokRAT Malware Distributed Through LNK Files (*.lnk): RedEyes (ScarCruft)" ที่โพสต์ไว้ในปีที่แล้ว ซึ่งในไฟล์ .LNK จะประกอบไปด้วยไฟล์เอกสารที่ถูกต้อง, เขียนโค้ดสคริปต์ และข้อมูล PE ที่เป็นอันตราย

กระบวนการดำเนินการของมัลแวร์ RokRAT มีดังต่อไปนี้:

    เมื่อไฟล์ .LNK ถูกดำเนินการ มันจะรันคำสั่ง PowerShell เพื่อสร้างและเรียกใช้ไฟล์เอกสาร หลังจากนั้นจะสร้างไฟล์ขึ้นมา 3 ไฟล์ในโฟลเดอร์ %public% โดยชื่อและคุณสมบัติของไฟล์ที่สร้างในขั้นตอนนี้มีดังต่อไปนี้

    การทำงานขั้นแรกคือ "find.bat" ซึ่งรัน "search.dat" ผ่าน PowerShell จากนั้น "search.dat" จะอ่านไฟล์ "viewer.dat" และ Execute ไฟล์นั้น ซึ่งจะกระตุ้นให้เกิดการทำงานของ RokRAT ที่เป็นมัลแวร์ Backdoor ที่มีความสามารถในการใช้ Cloud APIs เพื่อเก็บข้อมูลของเหยื่อและดำเนิน Activities ที่เป็นอันตรายตามคำสั่งของผู้ไม่ประสงค์ดี โดยข้อมูลจะถูกส่งไปยังเซิร์ฟเวอร์ใน Cloud ของผู้ไม่ประสงค์ดี เช่น pCloud, Yandex, และ DropBox จุดนี้ UserAgent ในส่วน Request Header จะถูกปลอมแปลงเป็น Googlebot และ Cloud URLs ดังต่อไปนี้

Activities ที่เป็นอันตรายที่สามารถดำเนินได้ตามคำสั่งของผู้ไม่ประสงค์ดี:

1.การ Execute คำสั่ง CMD

2.การเก็บ Directory Listings

3.การลบไฟล์ที่ระบุด้วยส่วนขยาย VBS, CMD, BAT, และ LNK ภายในโฟลเดอร์ Startup

4.การเก็บ Startup Folder Listings, %APPDATA% Folder Listings, และ Recently Used File Listings

5.การเก็บข้อมูลเครื่องคอมพิวเตอร์ ข้อมูลระบบ, IP, ข้อมูลเราเตอร์, ฯลฯ


คำแนะนำ

-ควรอัปเดตโปรแกรมและระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด

-ควรติดตั้งและอัปเดตโปรแกรมแอนตี้ไวรัสให้เป็นเวอร์ชันล่าสุด

-ควรกำหนดสิทธิ์การเข้าถึงตามลำดับความสำคัญ

-ควรสำรองไฟล์ที่สำคัญไว้ในอุปกรณ์สำรองไฟล์หลาย ๆ แห่ง


Indicators of Compromise (IOC)

Ref: https://asec.ahnlab.com/en/65076/