ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

แฮกเกอร์ใช้ Google Calendar เป็นตัวกลางในการสื่อสารของมัลแวร์แบบ NPM กับเซิร์ฟเวอร์

แฮกเกอร์ใช้ Google Calendar เป็นตัวกลางในการสื่อสารของมัลแวร์แบบ NPM กับเซิร์ฟเวอร์
ภาพจาก : https://9to5google.com/2024/09/27/google-calendar-new-backgrounds-coming/
เมื่อ :
|  ผู้เข้าชม : 834
เขียนโดย :
0 %E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%AD%E0%B8%A3%E0%B9%8C%E0%B9%83%E0%B8%8A%E0%B9%89+Google+Calendar+%E0%B9%80%E0%B8%9B%E0%B9%87%E0%B8%99%E0%B8%95%E0%B8%B1%E0%B8%A7%E0%B8%81%E0%B8%A5%E0%B8%B2%E0%B8%87%E0%B9%83%E0%B8%99%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%AA%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%AA%E0%B8%B2%E0%B8%A3%E0%B8%82%E0%B8%AD%E0%B8%87%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B9%81%E0%B8%9A%E0%B8%9A+NPM+%E0%B8%81%E0%B8%B1%E0%B8%9A%E0%B9%80%E0%B8%8B%E0%B8%B4%E0%B8%A3%E0%B9%8C%E0%B8%9F%E0%B9%80%E0%B8%A7%E0%B8%AD%E0%B8%A3%E0%B9%8C
A- A+
แชร์หน้าเว็บนี้ :

ระหว่างที่ข่าวในไทยกำลังวุ่นวายกับเรื่องปฏิทินของประกันสังคม การใช้ปฏิทินเพื่อกำหนดตารางเวลาในปัจจุบันที่หลายคนนิยมใช้คงหนีไม่พ้น Google Calendar ที่ทำงานได้สารพัดประโยชน์ ทว่าแฮกเกอร์ก็ได้พบช่องโหว่ที่สามารถนำมาใช้การทำงานร่วมกับมัลแวร์ได้

จากรายงานโดยเว็บไซต์ SC World ได้กล่าวถึงการตรวจพบช่องโหว่ของ Google Calendar ที่แฮกเกอร์นำมาใช้ในการเป็นตัวการในการติดต่อระหว่างเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) กับตัวมัลแวร์ที่ไม่ถูกระบุชื่อตัวหนึ่ง ซึ่งถูกระบุแต่เพียงว่าเป็นมัลแวร์ที่มาในรูปแบบแพ็คเกจ NPM ที่มีชื่อว่า “os-info-checker-es6” โดยแพคเกจดังกล่าวนั้นทางทีมวิจัยจาก Veracode Threat Research ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการตรวจสอบภัยที่อยู่ภายในห่วงโซ่อุปทาน (Supply Chain) ของซอฟต์แวร์  ได้พบว่าได้ถูกปล่อยออกมาสู่สาธารณะในวันที่ 19 มีนาคม ที่ผ่านมานี่เอง

บทความเกี่ยวกับ NPM อื่นๆ

โดยทางทีมวิจัยได้กล่าวว่ามัลแวร์ในแพ็คเกจดังกล่าวได้มีการพัฒนาอย่างต่อเนื่อง อย่างช่วงประมาณวันที่ 22 - 23 มีนาคม ที่ผ่านมาได้มีการแอบเพิ่มค่า String ลงไปในส่วนเครื่องหมายรูปแบบ Unicode แบบล่องหน และในช่วงวันที่ 7 พฤษภาคม ที่ผ่านมานั้นได้มีการเปลี่ยนค่า String อีกครั้ง โดยมีการเพิ่มกลไกการรับตัวมัลแวร์ (Payload) จาก URL ที่ถูกเข้ารหัสในรูปแบบ Based-64 ที่ถูกเก็บไว้ในส่วน Google Calendar เพื่อรันติดตั้งลงสู่เครื่องของเหยื่อ โดยการทำงานของแพ็คเกจดังกล่าวนั้นยังต้องอาศัย (Dependency) กับแพ็คเกจเพิ่มเติมอีก 4 ตัว นั่นคือ skip-tot, vue-dev-serverr, vue-dummy และ vue-bit

นอกจากนั้น ทางทีมวิจัยยังได้เปิดเผยข้อมูลจากการวิเคราะห์ผ่านวิธีการทำวิศวกรรมย้อนหลัง (Reverse Engineering) พบว่าตัวโค้ดที่ถูกซ่อนไว้นั้นมีการใช้ตัวเลือกตัวแปร (Variation Selector) จาก Variation Selectors Supplement Unicode บล็อกที่ (U+E0100 to U+E01EF) โดยตัวเลือกดังกล่าวนั้นจะเป็นกลุ่มเครื่องหมายแบบ Unicode ที่ล่องหน ไม่สามารถมองเห็นได้ในตัวเอง ซึ่งโดยทั่วไปมักจะใช้ในการแก้ไขอักขระที่อยู่ก่อนหน้า เช่น การแก้ไขตัวอักษาคันจิในภาษาญี่ปุ่นจากรูปแบบหนึ่ง ให้เป็นอีกรูปแบบหนึ่งเป็นต้น โดยตัวโค้ดนั้นจะใช้ฟังก์ชั่นถอดรหัส decode() กับค่า String ที่แสดงผลเป็นเส้นแนวตั้งเส้นเดี่ยว (|) แต่แท้จริงแล้วเป็นค่า String ที่ถูกเข้ารหัสในรูปแบบ Based-64 จากนั้นจึงทำการถอดรหัสด้วยฟังก์ชัน atob() และ รันด้วยฟังก์ชัน eval() ซึ่งในมัลแวร์เวอร์ชัน 1.0.8 จะใช้โค้ดซ่อนเร้นดังกล่าวในการรันเพื่อรับ Payload ผ่านทาง Google Calendar

โดยในขั้นต่อมานั้นตัวมัลแวร์จะทำการดึงลิงก์สั้น (Short Link) ของ Google Calendar (https://calendar[ . ]app[ . ]google/t56nfUUcugH9ZUkx9) ซึ่งมัลแวร์จะทำการลบตัวแปร Attribute ที่มีชื่อว่า “data-base-title” ออกจากหน้าเพจ HTML ของ Google Calendar Event ซึ่งทางทีมวิจัยระบุว่า แฮกเกอร์ได้ทำการซ่อนโค้ดเข้ารหัสแบบ Based-64 ไว้ในส่วนนี้นั่นเอง โดย URL แปลกประหลาดที่ถูกเข้ารหัสนี้ จะถูกมัลแวร์ใช้ฟังก์ชั่น eval() ถอดรหัสเป็น URL ที่แท้จริงเพื่อดาวน์โหลด Payload ลงมาจากเซิร์ฟเวอร์ C2 ซึ่งทางทีมวิจัยยังได้สังเกตอีกว่า ทางทีมไม่สามารถเข้าถึง หรือถอดรหัส URL แบบถอดรหัสเรียบร้อยแล้วได้ว่า Payload ตัวสุดท้ายที่ถูกดาวน์โหลดลงมาจากเซิร์ฟเวอร์ C2 นั้นคือไฟล์อะไรกันแน่ ? ซึ่งอาจมาจากระบบป้องกันการวิเคราะห์ (Anti-Analysis) ที่ตัวมัลแวร์ใช้งานอยู่

ทางทีมวิจัยยังได้เปิดเผยสถิติอันน่าตกใจนั่นคือ มีการตรวจพบว่าแพ็คเกจดังกล่าวนั้นมีการดาวน์โหลดที่มากถึง 566 ครั้งต่อสัปดาห์ ซึ่งหลังจากที่ทางทีมวิจัยได้จัดการวิเคราะห์แพ็คเกจอันตรายดังกล่าวเป็นที่เรียบร้อยแล้วนั้น ทางทีมวิจัยก็ได้ทำการแจ้งเตือนทางทีมงานของ NPM ซึ่งเป็นผู้รับผิดชอบในส่วนของคลังเก็บไฟล์ดิจิทัล (Repository) ที่เก็บไฟล์ดังกล่าวไว้อยู่ แต่ในปัจจุบันไฟล์ก็ยังไม่ถูกลบออกแต่อย่างใด


ที่มา : www.scworld.com

0 %E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%AD%E0%B8%A3%E0%B9%8C%E0%B9%83%E0%B8%8A%E0%B9%89+Google+Calendar+%E0%B9%80%E0%B8%9B%E0%B9%87%E0%B8%99%E0%B8%95%E0%B8%B1%E0%B8%A7%E0%B8%81%E0%B8%A5%E0%B8%B2%E0%B8%87%E0%B9%83%E0%B8%99%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%AA%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%AA%E0%B8%B2%E0%B8%A3%E0%B8%82%E0%B8%AD%E0%B8%87%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C%E0%B9%81%E0%B8%9A%E0%B8%9A+NPM+%E0%B8%81%E0%B8%B1%E0%B8%9A%E0%B9%80%E0%B8%8B%E0%B8%B4%E0%B8%A3%E0%B9%8C%E0%B8%9F%E0%B9%80%E0%B8%A7%E0%B8%AD%E0%B8%A3%E0%B9%8C
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น