แฮกเกอร์ใช้ Google Calendar เป็นตัวกลางในการสื่อสารของมัลแวร์แบบ NPM กับเซิร์ฟเวอร์

ระหว่างที่ข่าวในไทยกำลังวุ่นวายกับเรื่องปฏิทินของประกันสังคม การใช้ปฏิทินเพื่อกำหนดตารางเวลาในปัจจุบันที่หลายคนนิยมใช้คงหนีไม่พ้น Google Calendar ที่ทำงานได้สารพัดประโยชน์ ทว่าแฮกเกอร์ก็ได้พบช่องโหว่ที่สามารถนำมาใช้การทำงานร่วมกับมัลแวร์ได้

จากรายงานโดยเว็บไซต์ SC World ได้กล่าวถึงการตรวจพบช่องโหว่ของ Google Calendar ที่แฮกเกอร์นำมาใช้ในการเป็นตัวการในการติดต่อระหว่างเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) กับตัวมัลแวร์ที่ไม่ถูกระบุชื่อตัวหนึ่ง ซึ่งถูกระบุแต่เพียงว่าเป็นมัลแวร์ที่มาในรูปแบบแพ็คเกจ NPM ที่มีชื่อว่า “os-info-checker-es6” โดยแพคเกจดังกล่าวนั้นทางทีมวิจัยจาก Veracode Threat Research ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการตรวจสอบภัยที่อยู่ภายในห่วงโซ่อุปทาน (Supply Chain) ของซอฟต์แวร์  ได้พบว่าได้ถูกปล่อยออกมาสู่สาธารณะในวันที่ 19 มีนาคม ที่ผ่านมานี่เอง

โดยทางทีมวิจัยได้กล่าวว่ามัลแวร์ในแพ็คเกจดังกล่าวได้มีการพัฒนาอย่างต่อเนื่อง อย่างช่วงประมาณวันที่ 22 - 23 มีนาคม ที่ผ่านมาได้มีการแอบเพิ่มค่า String ลงไปในส่วนเครื่องหมายรูปแบบ Unicode แบบล่องหน และในช่วงวันที่ 7 พฤษภาคม ที่ผ่านมานั้นได้มีการเปลี่ยนค่า String อีกครั้ง โดยมีการเพิ่มกลไกการรับตัวมัลแวร์ (Payload) จาก URL ที่ถูกเข้ารหัสในรูปแบบ Based-64 ที่ถูกเก็บไว้ในส่วน Google Calendar เพื่อรันติดตั้งลงสู่เครื่องของเหยื่อ โดยการทำงานของแพ็คเกจดังกล่าวนั้นยังต้องอาศัย (Dependency) กับแพ็คเกจเพิ่มเติมอีก 4 ตัว นั่นคือ skip-tot, vue-dev-serverr, vue-dummy และ vue-bit

นอกจากนั้น ทางทีมวิจัยยังได้เปิดเผยข้อมูลจากการวิเคราะห์ผ่านวิธีการทำวิศวกรรมย้อนหลัง (Reverse Engineering) พบว่าตัวโค้ดที่ถูกซ่อนไว้นั้นมีการใช้ตัวเลือกตัวแปร (Variation Selector) จาก Variation Selectors Supplement Unicode บล็อกที่ (U+E0100 to U+E01EF) โดยตัวเลือกดังกล่าวนั้นจะเป็นกลุ่มเครื่องหมายแบบ Unicode ที่ล่องหน ไม่สามารถมองเห็นได้ในตัวเอง ซึ่งโดยทั่วไปมักจะใช้ในการแก้ไขอักขระที่อยู่ก่อนหน้า เช่น การแก้ไขตัวอักษาคันจิในภาษาญี่ปุ่นจากรูปแบบหนึ่ง ให้เป็นอีกรูปแบบหนึ่งเป็นต้น โดยตัวโค้ดนั้นจะใช้ฟังก์ชั่นถอดรหัส decode() กับค่า String ที่แสดงผลเป็นเส้นแนวตั้งเส้นเดี่ยว (|) แต่แท้จริงแล้วเป็นค่า String ที่ถูกเข้ารหัสในรูปแบบ Based-64 จากนั้นจึงทำการถอดรหัสด้วยฟังก์ชัน atob() และ รันด้วยฟังก์ชัน eval() ซึ่งในมัลแวร์เวอร์ชัน 1.0.8 จะใช้โค้ดซ่อนเร้นดังกล่าวในการรันเพื่อรับ Payload ผ่านทาง Google Calendar

โดยในขั้นต่อมานั้นตัวมัลแวร์จะทำการดึงลิงก์สั้น (Short Link) ของ Google Calendar (https://calendar[ . ]app[ . ]google/t56nfUUcugH9ZUkx9) ซึ่งมัลแวร์จะทำการลบตัวแปร Attribute ที่มีชื่อว่า “data-base-title” ออกจากหน้าเพจ HTML ของ Google Calendar Event ซึ่งทางทีมวิจัยระบุว่า แฮกเกอร์ได้ทำการซ่อนโค้ดเข้ารหัสแบบ Based-64 ไว้ในส่วนนี้นั่นเอง โดย URL แปลกประหลาดที่ถูกเข้ารหัสนี้ จะถูกมัลแวร์ใช้ฟังก์ชั่น eval() ถอดรหัสเป็น URL ที่แท้จริงเพื่อดาวน์โหลด Payload ลงมาจากเซิร์ฟเวอร์ C2 ซึ่งทางทีมวิจัยยังได้สังเกตอีกว่า ทางทีมไม่สามารถเข้าถึง หรือถอดรหัส URL แบบถอดรหัสเรียบร้อยแล้วได้ว่า Payload ตัวสุดท้ายที่ถูกดาวน์โหลดลงมาจากเซิร์ฟเวอร์ C2 นั้นคือไฟล์อะไรกันแน่ ? ซึ่งอาจมาจากระบบป้องกันการวิเคราะห์ (Anti-Analysis) ที่ตัวมัลแวร์ใช้งานอยู่

ทางทีมวิจัยยังได้เปิดเผยสถิติอันน่าตกใจนั่นคือ มีการตรวจพบว่าแพ็คเกจดังกล่าวนั้นมีการดาวน์โหลดที่มากถึง 566 ครั้งต่อสัปดาห์ ซึ่งหลังจากที่ทางทีมวิจัยได้จัดการวิเคราะห์แพ็คเกจอันตรายดังกล่าวเป็นที่เรียบร้อยแล้วนั้น ทางทีมวิจัยก็ได้ทำการแจ้งเตือนทางทีมงานของ NPM ซึ่งเป็นผู้รับผิดชอบในส่วนของคลังเก็บไฟล์ดิจิทัล (Repository) ที่เก็บไฟล์ดังกล่าวไว้อยู่ แต่ในปัจจุบันไฟล์ก็ยังไม่ถูกลบออกแต่อย่างใด