โทรจัน StreamSpy
การปกป้องอุปกรณ์ส่วนตัวและที่ทำงานจากมัลแวร์ยุคใหม่มีความสำคัญยิ่งกว่าที่เคย เนื่องจากภัยคุกคามในปัจจุบันไม่ได้ออกแบบมาเพื่อขโมยข้อมูลเท่านั้น แต่ยังขยายขอบเขตการโจมตีของผู้โจมตีอย่างเงียบๆ เข้าไปในระบบที่ถูกบุกรุกอีกด้วย หนึ่งในตัวอย่างล่าสุดคือ StreamSpy ซึ่งเป็นโทรจันหลายขั้นตอนที่เชื่อมโยงกับกลุ่ม Patchwork (APT-Q-36) การออกแบบแบบแยกส่วน วิธีการสื่อสารที่ซ่อนเร้น และชุดคุณสมบัติที่หลากหลาย ทำให้เป็นข้อกังวลด้านความปลอดภัยที่ร้ายแรง
สารบัญ
ช่องทางการสื่อสารขั้นสูงแบบแอบแฝง
StreamSpy โดดเด่นด้วยการใช้ทั้ง WebSocket และ HTTP เพื่อสื่อสารกับเซิร์ฟเวอร์คำสั่ง ช่องทาง WebSocket จะส่งคำสั่งและส่งผลลัพธ์กลับไปยังผู้โจมตีแบบเกือบเรียลไทม์ ขณะที่ HTTP จัดการการถ่ายโอนข้อมูลขนาดใหญ่ เช่น ไฟล์ที่อัปโหลดหรือดาวน์โหลด ซึ่งคล้ายกับพฤติกรรมที่พบใน Spyder downloader ซึ่งบ่งบอกถึงเทคนิคการพัฒนาร่วมกันหรือวิวัฒนาการของเครื่องมือที่มีอยู่
ก่อนที่จะดำเนินการใดๆ ที่เป็นอันตราย โทรจันจะปลดล็อกชุดค่าคอนฟิกูเรชันที่ฝังอยู่ การตั้งค่าเหล่านี้จะช่วยกำหนดพฤติกรรมการสื่อสาร ระบุพารามิเตอร์ประจำตัว และกำหนดวิธีการคงอยู่ของโทรจันที่จะใช้เพื่ออยู่รอดหลังจากรีบูตระบบ
การจัดทำโปรไฟล์ระบบและการระบุเหยื่อ
เมื่อเปิดใช้งาน StreamSpy จะทำการสแกนระบบที่ติดไวรัสอย่างละเอียด โดยรวบรวมข้อมูลเมตาของโฮสต์ เช่น ชื่ออุปกรณ์ ผู้ใช้ปัจจุบัน เวอร์ชันระบบปฏิบัติการ เครื่องมือป้องกันไวรัสที่ติดตั้ง ตัวระบุฮาร์ดแวร์ และรายละเอียดสภาพแวดล้อมอื่นๆ จากข้อมูลนี้ ระบบจะสร้างรหัสเฉพาะของเหยื่อและส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี ทำให้ผู้ปฏิบัติการสามารถติดตามการติดเชื้อแต่ละรายภายในแคมเปญของตนได้
เพื่อรับประกันว่าจะเปิดใช้งานโดยอัตโนมัติ โทรจันจึงสร้างกลไกการคงอยู่โดยใช้การทำงานตามกำหนดเวลา คีย์การเรียกใช้รีจิสทรี หรือทางลัดการเริ่มต้น
คำสั่งระยะไกลที่หลากหลาย
StreamSpy รองรับชุดคำสั่งที่ครอบคลุม ซึ่งช่วยให้ผู้โจมตีสามารถโต้ตอบกับสภาพแวดล้อมที่ติดไวรัสได้อย่างยืดหยุ่นและรุกรานสูง คุณสมบัติที่สร้างความเสียหายมากที่สุด ได้แก่:
- ความสามารถในการดำเนินการและการปรับใช้
- การรันคำสั่งตามอำเภอใจด้วย cmd.exe หรือ PowerShell ช่วยให้สามารถควบคุมฟังก์ชันระบบได้เต็มรูปแบบ
- การดาวน์โหลดและเปิดใช้งานเพย์โหลดเพิ่มเติม รวมถึงไฟล์ ZIP ที่เข้ารหัสซึ่งจะถอดรหัสและนำไปใช้งานในเครื่อง
- การดำเนินการไฟล์และการนับอุปกรณ์
- การอัพโหลดหรือขโมยไฟล์ไปยังหรือจากเครื่องที่ถูกบุกรุก
- การเปลี่ยนชื่อหรือการลบไฟล์เพื่อซ่อนกิจกรรมหรือเตรียมขั้นตอนการติดตามผล
- ตรวจสอบอุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อทั้งหมด รวมถึงความจุ ระบบไฟล์ และคุณลักษณะไดรฟ์แบบถอดได้
คุณสมบัติเหล่านี้ทำให้ StreamSpy เป็นเครื่องมือที่มีประสิทธิภาพสำหรับการจารกรรม การเคลื่อนไหวในแนวขวาง การขโมยข้อมูล และการเข้าถึงในระยะยาว
การจัดส่งผ่านไฟล์ ZIP หลอกลวง
เจ้าหน้าที่สืบสวนยืนยันว่า StreamSpy แพร่กระจายผ่านไฟล์ ZIP ที่เป็นอันตราย กรณีที่ทราบกันดีคือไฟล์ชื่อ 'OPS-VII-SIR.zip' ซึ่งโฮสต์อยู่บนเซิร์ฟเวอร์ภายนอก ไฟล์เก็บถาวรดังกล่าวประกอบด้วย:
- ไฟล์ปฏิบัติการ StreamSpy ปลอมตัวด้วยไอคอนสไตล์ PDF
- เพิ่มเอกสารล่อ PDF ที่ถูกต้องเพื่อทำให้ไฟล์เก็บถาวรดูไม่เป็นอันตราย
เทคนิคนี้อาศัยวิศวกรรมสังคม ผู้ใช้เปิดไฟล์เก็บถาวร เห็นเอกสารที่ดูเหมือนถูกต้อง และเปิดใช้งานมัลแวร์ที่แฝงตัวอยู่โดยไม่รู้ตัว ไฟล์ล่อลวงเริ่มต้นอาจถูกส่งผ่านหลายช่องทาง รวมถึงเว็บไซต์หลอกลวง อีเมลปลอม โฆษณาที่เป็นอันตราย ข้อความส่วนตัว หรือโพสต์บนโซเชียลมีเดีย
ภัยคุกคามร้ายแรงที่ต้องกำจัดทันที
ด้วยความสามารถที่ครอบคลุม StreamSpy ช่วยให้ผู้โจมตีสามารถดูดข้อมูลสำคัญ ปล่อยมัลแวร์เพิ่มเติม แทรกแซงไฟล์ และอาจขโมยข้อมูลบัญชีหรือข้อมูลประจำตัวได้ การปรากฏตัวของมันบนอุปกรณ์ทำให้เหยื่อเสี่ยงต่อความเสี่ยงอย่างมาก รวมถึงการสูญเสียทางการเงินและการถูกบุกรุก หากตรวจพบ ควรลบมันออกทันทีโดยใช้เครื่องมือรักษาความปลอดภัยที่มีชื่อเสียงและขั้นตอนการล้างระบบอย่างละเอียด
การเฝ้าระวังไฟล์ที่น่าสงสัย ไฟล์ ZIP ที่ไม่คาดคิด และการสื่อสารที่ไม่พึงประสงค์เป็นสิ่งสำคัญยิ่ง ในขณะที่ภัยคุกคามอย่าง StreamSpy เริ่มมีความน่าเชื่อถือมากขึ้น การสร้างความตระหนักรู้ของผู้ใช้อย่างเข้มแข็งจึงเป็นหนึ่งในระบบป้องกันที่มีประสิทธิภาพที่สุด
