ภัยคุกคามใหม่! ชุดเครื่องมือ CTRL รัสเซีย แอบส่งผ่านไฟล์ลิงก์ปลอม โจมตีระบบ RDP
พบชุดเครื่องมือ CTRL จากรัสเซีย แอบส่งผ่านไฟล์ LNK ปลอมเพื่อยึดการควบคุม RDP ผ่านอุโมงค์ FRP ขโมยข้อมูลและบันทึกการกดแป้นพิมพ์
นักวิจัยความปลอดภัยไซเบอร์ค้นพบชุดเครื่องมือสำหรับเข้าถึงระบบจากระยะไกลที่มีต้นกำเนิดจากรัสเซีย ซึ่งถูกแจกจ่ายผ่านไฟล์ทางลัดหรือ LNK ไฟล์ของวินโดวส์ที่เป็นอันตราย โดยแอบอ้างเป็นโฟลเดอร์คีย์ส่วนตัว
ชุดเครื่องมือที่ชื่อว่า CTRL นี้ สร้างขึ้นเองโดยใช้ .NET และประกอบด้วยไฟล์ปฏิบัติการต่างๆ เพื่ออำนวยความสะดวกในการฟิชชิ่งข้อมูลประจำตัว การบันทึกการกดแป้นพิมพ์ การยึดการควบคุมโปรโตคอล RDP และการสร้างอุโมงค์ย้อนกลับผ่าน Fast Reverse Proxy หรือ FRP
กลไกการโจมตีหลายขั้นตอน
การโจมตีเริ่มต้นด้วยไฟล์ LNK ที่ถูกดัดแปลงให้มีไอคอนเป็นโฟลเดอร์ เพื่อหลอกให้ผู้ใช้คลิก จากนั้นจะกระตุ้นกระบวนการหลายขั้นตอน โดยแต่ละขั้นตอนจะถอดรหัสหรือแตกไฟล์ไปสู่ขั้นต่อไป จนนำไปสู่การติดตั้งชุดเครื่องมือ CTRL ไฟล์ LNK นี้จะเรียกใช้คำสั่ง PowerShell ที่ซ่อนอยู่ ซึ่งจะลบกลไกการคงอยู่เดิมในโฟลเดอร์ Startup ของวินโดวส์ออก
นอกจากนี้ มันยังถอดรหัสข้อมูลที่เข้ารหัส Base64 และรันในหน่วยความจำ สเตจเจอร์จะทดสอบการเชื่อมต่อ TCP ไปยังเซิร์ฟเวอร์ควบคุม จากนั้นดาวน์โหลดเพย์โหลดขั้นต่อไป ปรับเปลี่ยนกฎไฟร์วอลล์ สร้างการคงอยู่โดยใช้งานที่กำหนดเวลา สร้างผู้ใช้ท้องถิ่นที่เป็นแบ็กดอร์ และเปิดเซิร์ฟเวอร์เชลล์บนพอร์ตที่เข้าถึงได้ผ่านอุโมงค์ FRP
สถาปัตยกรรมและฟังก์ชันการทำงานของ CTRL
หนึ่งในเพย์โหลดที่ดาวน์โหลดมาคือ ctrl.exe ทำหน้าที่เป็นโหลดเดอร์ .NET สำหรับเรียกใช้แพลตฟอร์มจัดการ CTRL ซึ่งสามารถทำงานเป็นเซิร์ฟเวอร์หรือไคลเอนต์ได้ การสื่อสารเกิดขึ้นผ่าน Named Pipe ของวินโดวส์
การออกแบบแบบสองโหมดนี้หมายความว่าผู้โจมตีจะติดตั้ง ctrl.exe หนึ่งครั้งบนเครื่องเป้าหมาย จากนั้นจะโต้ตอบด้วยการรัน ctrl.exe ในโหมดไคลเอนต์ผ่านเซสชัน RDP ที่สร้างอุโมงค์ FRP สถาปัตยกรรมนี้ทำให้การสื่อสารคำสั่งควบคุมทั้งหมดอยู่ภายในเครื่องเป้าหมาย ไม่มีการส่งผ่านเครือข่ายนอกจากเซสชัน RDP เอง
โมดูลขโมยข้อมูลและบันทึกการกดแป้นพิมพ์
คำสั่งที่รองรับช่วยให้มัลแวร์สามารถรวบรวมข้อมูลระบบ เรียกใช้โมดูลที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัว และเริ่มการบันทึกการกดแป้นพิมพ์เป็นบริการพื้นหลัง โมดูลบันทึกการกดแป้นพิมพ์จะบันทึกทุกการกดแป้นไปยังไฟล์และส่งข้อมูลออก
ส่วนประกอบขโมยข้อมูลประจำตัวจะถูกเรียกใช้เป็นแอปพลิเคชัน WPF ที่เลียนแบบพรอมต์การยืนยัน PIN ของวินโดวส์จริงเพื่อดักจับ PIN ของระบบ โมดูลนี้จะบล็อกความพยายามหลบหนีจากหน้าต่างฟิชชิ่งผ่านทางลัดแป้นพิมพ์ต่างๆ และตรวจสอบความถูกต้องของ PIN ที่ป้อนกับพรอมต์ข้อมูลประจำตัวจริงของวินโดวส์
การสร้างอุโมงค์และความปลอดภัยในการปฏิบัติการ
เพย์โหลดอื่นๆ ที่ถูกติดตั้งรวมถึง FRPWrapper.exe ซึ่งเป็น DLL ที่เขียนด้วย Go ที่โหลดในหน่วยความจำเพื่อสร้างอุโมงค์ย้อนกลับสำหรับ RDP และเชลล์ TCP ผ่านเซิร์ฟเวอร์ FRP ของผู้โจมตี และ RDPWrapper.exe ซึ่งเปิดใช้งานเซสชัน RDP พร้อมกันได้ไม่จำกัด
ชุดเครื่องมือนี้แสดงให้เห็นถึงความใส่ใจในด้านความปลอดภัยในการปฏิบัติการ โดยไม่มีไฟล์ปฏิบัติการใดที่โฮสต์อยู่มีที่อยู่เซิร์ฟเวอร์ควบคุมฝังตัวอยู่ การส่งข้อมูลออกทั้งหมดเกิดขึ้นผ่านอุโมงค์ FRP ทางเซสชัน RDP สถาปัตยกรรมนี้ทิ้งร่องรอยทางนิติวิทยาศาสตร์เครือข่ายน้อยมากเมื่อเทียบกับรูปแบบการส่งสัญญาณ C2 แบบดั้งเดิม
Reference
The Hacker Newsหากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINE ดูสินค้าทั้งหมด