แอสทารอธ แบงกิ้ง โทรจัน
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบแคมเปญใหม่ที่ส่งโทรจัน Astaroth banking trojan ซึ่งจงใจใช้บริการที่ถูกต้องตามกฎหมายเป็นทางเลือกสำรองเพื่อเอาชีวิตรอดจากการถูกโจมตี แทนที่จะพึ่งพาเซิร์ฟเวอร์ Command-and-Control (C2) แบบดั้งเดิมเพียงอย่างเดียว ซึ่งผู้ป้องกันสามารถค้นหาและสกัดกั้นได้ ผู้ปฏิบัติการกำลังจัดเก็บข้อมูลการกำหนดค่ามัลแวร์ไว้บน GitHub และฝังข้อมูลเหล่านั้นไว้ในภาพผ่านเทคนิคซ่อนข้อมูล (steganography) ซึ่งช่วยให้มัลแวร์สามารถกู้คืนและทำงานต่อไปได้ แม้หลังจากโครงสร้างพื้นฐานถูกยึดหรือปิดใช้งาน
สารบัญ
GitHub และ Steganography กลายมาเป็นข้อมูลสำรอง C2 ได้อย่างไร
ผู้โจมตีวางบล็อกการกำหนดค่าไว้ในอิมเมจบนคลังข้อมูลสาธารณะของ GitHub เมื่อโทรจันไม่สามารถเข้าถึงเซิร์ฟเวอร์ C2 หลักได้ มันจะดึงข้อมูลการกำหนดค่าที่อัปเดตจากไฟล์อิมเมจเหล่านั้น ซึ่งส่งผลให้แพลตฟอร์มโฮสต์โค้ดที่เป็นที่รู้จักกลายเป็นช่องทางการสำรองข้อมูลที่ยืดหยุ่น เนื่องจากข้อมูลถูกซ่อนอยู่ภายในอิมเมจ จึงผสานเข้ากับทราฟฟิกและคลังข้อมูลปกติ ทำให้การตรวจจับและการลบข้อมูลมีความซับซ้อนมากขึ้น ทีมรักษาความปลอดภัยได้ทำงานร่วมกับแพลตฟอร์มของ Microsoft เพื่อลบคลังข้อมูลที่เป็นอันตรายออก ซึ่งส่งผลให้แคมเปญหยุดชะงักชั่วคราว แต่การออกแบบแสดงให้เห็นถึงเจตนาที่ชัดเจนในการต่อต้านการลบข้อมูลในอนาคต
จุดเน้นทางภูมิศาสตร์และกิจกรรมก่อนหน้า
แคมเปญปัจจุบันมุ่งเน้นไปที่บราซิลเป็นหลัก แม้ว่า Astaroth จะมุ่งเป้าไปที่กลุ่มประเทศละตินอเมริกาหลายประเทศ ได้แก่ เม็กซิโก อุรุกวัย อาร์เจนตินา ปารากวัย ชิลี โบลิเวีย เปรู เอกวาดอร์ โคลอมเบีย เวเนซุเอลา และปานามา ซึ่งสอดคล้องกับกิจกรรมของ Astaroth ก่อนหน้านี้ นักวิจัยได้ตรวจพบกลุ่มที่เกี่ยวข้อง (ติดตามด้วย PINEAPPLE และ Water Makara) ในเดือนกรกฎาคมและตุลาคม 2567 ซึ่งใช้เหยื่อล่อฟิชชิ่งเพื่อแพร่กระจายมัลแวร์ตระกูลเดียวกัน
ห่วงโซ่การติดเชื้อ
โดยทั่วไปการโจมตีจะเริ่มต้นด้วยข้อความฟิชชิ่งแบบ DocuSign ที่มีลิงก์ ลิงก์ดังกล่าวจะส่งไฟล์ ZIP ที่มีทางลัดของ Windows (.lnk) การเปิด LNK จะเปิดใช้งาน JavaScript stub ที่ถูกทำให้สับสน ซึ่งดึง JavaScript เพิ่มเติมจากเซิร์ฟเวอร์ที่โฮสต์ภายนอก JavaScript ที่ดึงมาจะดาวน์โหลดไฟล์หลายไฟล์จากเซิร์ฟเวอร์ที่ฮาร์ดโค้ดตัวใดตัวหนึ่ง หนึ่งในไฟล์เหล่านั้นคือสคริปต์ AutoIt ที่รันโดยเพย์โหลด JavaScript โดยสคริปต์ AutoIt จะโหลดและรัน shellcode ซึ่งจะโหลด DLL ที่ใช้ Delphi ต่อมา DLL ดังกล่าวจะถอดรหัสเพย์โหลด Astaroth และแทรกเข้าไปในกระบวนการ RegSvc.exe ที่สร้างขึ้นใหม่ ซึ่งทำให้การปรับใช้เสร็จสมบูรณ์
สิ่งที่ Astaroth ทำกับโฮสต์ที่ติดเชื้อ
Astaroth ถูกนำไปใช้งานใน Delphi และออกแบบมาเพื่อตรวจสอบกิจกรรมบนเว็บของผู้ใช้ โดยเน้นที่การเข้าชมเว็บไซต์ที่เกี่ยวข้องกับธนาคารและคริปโทเคอร์เรนซี Astaroth จะตรวจสอบหน้าต่างเบราว์เซอร์ที่ใช้งานอยู่ทุกวินาที เมื่อตรวจพบเว็บไซต์ธนาคารหรือคริปโทเคอร์เรนซีเป้าหมาย มันจะเชื่อมโยงเหตุการณ์แป้นพิมพ์เพื่อดักจับการกดแป้นพิมพ์และดึงข้อมูลประจำตัว โทรจันจะส่งข้อมูลที่ขโมยมากลับไปยังผู้โจมตีโดยใช้อุโมงค์พร็อกซีแบบย้อนกลับ Ngrok ซึ่งทำให้สามารถขโมยข้อมูลได้แม้ในขณะที่การเชื่อมต่อ C2 โดยตรงถูกจำกัด
ตัวอย่างของเป้าหมายที่สังเกตได้
นักวิจัยได้ระบุรายชื่อไซต์ที่เกี่ยวข้องกับการธนาคารและการเข้ารหัสที่พบว่าถูกติดตามโดยมัลแวร์:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- อีเธอร์สแกน.ไอโอ
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
ความสามารถในการต่อต้านการวิเคราะห์
Astaroth มีเทคนิคต่อต้านการวิเคราะห์มากมาย โดยจะตรวจสอบสภาพแวดล้อมสำหรับการจำลองเสมือน การจำลอง การดีบัก และเครื่องมือวิเคราะห์ทั่วไป (ตัวอย่างเช่น QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark และเครื่องมืออื่นๆ ที่คล้ายคลึงกัน) และจะหยุดการทำงานเองหากตรวจพบเครื่องมือดังกล่าว การตรวจสอบเหล่านี้ทำให้การวิเคราะห์แบบไดนามิกและการทำแซนด์บ็อกซ์ทำได้ยากขึ้นสำหรับฝ่ายป้องกัน
การตรวจสอบความคงอยู่ การกำหนดขอบเขตทางภูมิศาสตร์ และตำแหน่ง
เพื่อรักษาความต่อเนื่อง แคมเปญจะวางทางลัดไว้ในโฟลเดอร์เริ่มต้นระบบของ Windows ซึ่งจะเรียกใช้สคริปต์ AutoIt เมื่อรีบูต เพื่อให้แน่ใจว่ามัลแวร์จะเริ่มทำงานใหม่โดยอัตโนมัติ ห่วงโซ่การติดเชื้อประกอบด้วยการกำหนดขอบเขตทางภูมิศาสตร์ (geofencing) โดย URL เริ่มต้นที่ LNK ดึงมาจะถูกกำหนดเป้าหมายตามภูมิภาค และมัลแวร์ยังตรวจสอบตำแหน่งที่ตั้งของระบบด้วย โดยหลีกเลี่ยงไม่ให้ทำงานบนเครื่องที่ตั้งค่าตำแหน่งที่ตั้งเป็นภาษาอังกฤษ/สหรัฐอเมริกา การป้องกันเหล่านี้ช่วยจำกัดโปรไฟล์เหยื่อและลดโอกาสการถูกโจมตีโดยไม่ได้ตั้งใจ
ผลกระทบต่อการปฏิบัติงาน
ด้วยการใช้ GitHub ในทางที่ผิดเพื่อโฮสต์การอัปเดตการกำหนดค่าแบบแอบแฝง ผู้ดำเนินการจึงได้สร้างช่องทางสำรองข้อมูลขนาดเล็กและยากต่อการถอดถอนสำหรับ Astaroth นักวิจัยได้ประสานงานกับแพลตฟอร์มของ Microsoft เพื่อลบคลังข้อมูลที่เป็นอันตราย ซึ่งขัดขวางแคมเปญชั่วคราว การใช้บริการที่ถูกต้องตามกฎหมายสำหรับการสำรองข้อมูลแสดงให้เห็นถึงความจำเป็นที่ผู้ป้องกันจะต้องตรวจสอบการใช้งานแพลตฟอร์มคลาวด์และโฮสต์โค้ดในทางที่ผิด ซึ่งเป็นส่วนหนึ่งของการล่า C2
สรุป
แคมเปญนี้เน้นย้ำถึงสองแนวโน้มที่ผู้ป้องกันต้องพิจารณา ได้แก่ (1) ผู้ก่อภัยคุกคามหันมาใช้แพลตฟอร์มของบุคคลที่สามที่ได้รับการยอมรับมากขึ้นเป็นโครงสร้างพื้นฐานที่ยืดหยุ่น และ (2) มัลแวร์สมัยใหม่ผสมผสานสคริปต์และส่วนประกอบที่คอมไพล์แล้วหลายตัว (JavaScript → AutoIt → shellcode → Delphi DLL) เข้าด้วยกัน ทำให้การวิเคราะห์และการลบข้อมูลแบบ Persistence มีความซับซ้อนมากขึ้น การผสมผสานระหว่างการตั้งค่าสำรองบน GitHub, การกำหนดขอบเขตทางภูมิศาสตร์แบบกำหนดเป้าหมาย, การตรวจสอบการป้องกันการวิเคราะห์อย่างเข้มงวด และการตรวจสอบกิจกรรมเบราว์เซอร์ ทำให้ Astaroth เป็นโทรจันธนาคารที่ยืดหยุ่นและรุกล้ำความเป็นส่วนตัวเป็นพิเศษ การเฝ้าระวังเหยื่อฟิชชิ่ง, การตรวจสอบกิจกรรมอิมเมจ GitHub ที่ผิดปกติ และการตรวจจับจุดสิ้นสุดที่แข็งแกร่งซึ่งตรวจพบเชนหลายขั้นตอน ล้วนเป็นกุญแจสำคัญในการตรวจจับและหยุดยั้งการติดเชื้อ
