แฮกเกอร์ใช้สคริปท์ Microsoft Management Console เพื่อฝังมัลแวร์ MysterySnail RAT ลงบนระบบ Windows

MMC หรือ Microsoft Management Console เป็นเครื่องมือที่เรียกว่าสร้างความสะดวกให้กับผู้ดูแลระบบ ให้สามารถจัดการในส่วนของการควบคุมระบบ และเซิร์ฟเวอร์ได้อย่างง่ายดายยิ่งขึ้น แต่เครื่องมือที่ดูสารพัดประโยชน์นี้ก็มักจะถูกนำไปใช้งานในการกระจายมัลแวร์อยู่เสมอเช่นเดียวกัน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการที่แฮกเกอร์ได้ค้นพบช่องโหว่บนเครื่องมือ MMC ที่สามารถนำมาใช้งานเพื่อรันสคริปท์ ฝังมัลแวร์ประเภทเข้าควบคุมระบบจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า MysterySnailRAT โดยทางทีมวิจัยจาก Kaspersky บริษัทผู้พัฒนาเครื่องมือแอนตี้ไวรัสยอดนิยม

โดยการแพร่กระจายของมัลแวร์ดังกล่าวนั้นเป็นฝีมือของกลุ่มแฮกเกอร์จากจีนที่มีชื่อว่า IronHusky โดยการโจมตีที่ทางทีมวิจัยยกตัวอย่างมานั้นเป็นการโจมตีที่เกิดขึ้นในประเทศมองโกเลีย ซึ่งจะเริ่มต้นจากการที่แฮกเกอร์ส่งอีเมลแบบ Phishing พร้อมไฟล์สคริปท์ MMC ปลอมตัวเป็นเอกสารที่แอบอ้างว่ามาจากกรมที่ดินแห่งประเทศมองโกเลีย (Mongolia’s National Land Agency หรือ ALAMGAC) ซึ่งถ้าเหยื่อเผลอกดรันไฟล์ดังกล่าว ก็จะนำไปสู่การฝังมัลแวร์ลงเครื่องโดยการอาศัยขั้นตอนหลายชั้น (Multi-Stage Infection) โดยเริ่มจากการดาวน์โหลดไฟล์ .Zip ที่ภายในมีไฟล์ติดตั้งมัลแวร์ (Payload) ตัวที่ 2 ลงมาจาก file[.]io พร้อมกับไฟล์ .DOCX ของจริงที่ทำหน้าที่เป็นตัวล่อลวงเหยื่อว่าไม่มีอะไรพิเศษเกิดขึ้น ซึ่งการคลายไฟล์นั้น ตัวไฟล์จะตกไปอยู่ในโฟลเดอร์ที่ถูกกำหนดโดยมัลแวร์มาก่อนแล้ว อย่างเช่น

%AppData%CiscoPluginsX86binetcUpdate

หลังจากนั้นตัวมัลแวร์จะทำการรันแอปที่มีชื่อว่า CiscoCollabHost.exe ซึ่งเป็นแอปพลิเคขันสำหรับการจัดการโฮสต์ของ Cisco ขึ้นมาทำการรันไฟล์ DLL ที่ถูกดาวน์โหลดตามมาภายหลัง (DLL Sideloading) โดย DLL นี้ภายในจะเป็นตัวมัลแวร์ ซึ่งตัว DLL จะมีชื่อที่สอดคล้องกับตัวแอป นั่นคือ CiscoSparkLauncher.dll ซึ่งหลังจากที่ฝังมัลแวร์ลงได้สำเร็จแล้ว ตัวมัลแวร์จะทำการดัดแปลงในส่วนของ Registry เพื่อรับประกันว่า ตัวมัลแวร์จะสามารถคงทนทำงานอยู่บนตัวระบบได้ตลอดเวลา (Persistence) ในขณะเดียวกัน ตัวมัลแวร์จะทำการเปิดไฟล์เอกสารปลอมขึ้นมาอย่างอัตโนมัติ เพื่อให้เหยื่อชะล่าใจ

ในส่วนของการทำงานของมัลแวร์นั้น ทางทีมวิจัยยังได้พบถึงวิธีการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่ถูกตั้งอยู่ที่j https://ppng[.]io ด้วยวิธีการเปิดประตูหลังของระบบ (Backdoor) แล้วใช้งานเครื่องมือ Open Source ที่ถูกเรียกว่า เป็นการติดต่อด้วยระบบท่อสู่เซิร์ฟเวอร์ (Pipping-Server) ในส่วนของ Backdoor นี้เอง ทางทีมวิจัยยังตรวจพบระบบการป้องกันการถูกวิเคราะห์ (Anti-Analysis) โดยในส่วนนี้จะมีการบรรจุข้อมูลของ Windows API ไว้บนไฟล์ต่างหากที่มีชื่อว่า logMYFC.log  ซึ่งจะถูกเข้ารหัสไว้ด้วยเทคนิคแบบ XOR Cipher โดยตัวไฟล์จะถูกมัลแวร์เปิดขึ้นมาใช้งานทุกครั้งในช่วงที่มัลแวร์กำลังทำงาน (Runtime)

นอกจากนั้นแล้วทางทีมวิจัยยังได้เปิดเผยถึง คำสั่งที่เซิร์ฟเวอร์ C2 ใช้ในการสั่งงานมัลแวร์ดังส่วน ดังต่อไปนี้

• RCOMM: รัน command shells.
• FSEND: ดาวน์โหลดไฟล์จาก from C2.
• FRECV: อัปโหลดไฟล์ไปยัง C2.
• FEXEC: สร้าง process ใหม่
• FDELE: ลบไฟล์

คำสั่งเหล่านี้ถึงจำนวนจะดูเล็กน้อย แต่ก็เป็นพัฒนาการที่เปลี่ยนแปลงไปจากเวอร์ชันดั้งเดิมที่ออกมาในช่วง ค.ศ. 2021 (พ.ศ. 2564) ที่ในเวอร์ชันดังกล่าวมัลแวร์จะเป็นตัวมัลแวร์เดี่ยว ที่มีการใช้งานคำสั่งถึง 40 คำสั่ง แต่เวอร์ชันปัจจุบันนั้นกลับเป็นการทำงานในรูปแบบโมดูล (Module) ที่ตัวมัลแวร์จะทยอยดาวน์โหลดไฟล์ DLL ที่ทำหน้าที่เป็นโมดูลในการทำงานต่าง ๆ ของมัลแวร์ลงมา อย่างเช่น

• BasicMod.dll: สำหรับการจัดการรายชื่อไดร์ฟ, จัดการการลบไฟล์, และ จัดการระบบตรวจสอบลายนิ้วมือ (System Fingerprinting)
• ExplorerMoudleDll.dll: จัดการด้านการอ่านไฟล์, การดูแลจัดการบริการ (Service) ต่าง ๆ, และ การสร้าง Process
• Process.dll: ระบุรายชื่อและปิดการทำงานของ process ต่าง ๆ ที่กำลังรันอยู่.
• cmd.dll: สร้าง Process และ Command Shells.
• tcptran.dll: จัดการด้านการติดต่อกับเครือข่าย