พบมัลแวร์ GONEPOSTAL มีความสามารถในการลอบใช้งาน Outlook เป็นตัวกลางในการแลกเปลี่ยนข้อมูล กับเซิร์ฟเวอร์

Microsoft Outlook อาจเป็นโปรแกรมจัดการอีเมลที่หลายคนคุ้นเคยเนื่องจากเป็นซอฟต์แวร์ที่ติดมากับ Windows อยู่แล้ว แต่หลายคนอาจไม่ทราบว่าตัวซอฟต์แวร์นั้นมีเครื่องมือภายในที่มัลแวร์สามารถนำไปใช้งานเพื่อประโยชน์ของตัวมัลแวร์เองได้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบมัลแวร์ตัวใหม่ GONEPOSTAL ที่มีความสามารถพิเศษในการใช้งาน Microsoft Outlook เป็นจุดเชื่อมต่อในการติดต่อ และรับคำสั่งจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ซึ่งการตรวจพบมัลแวร์ดังกล่าวนั้นเป็นผลงานของทีมวิจัยจาก Kroll บริษัทผู้เชี่ยวชาญด้านการจัดการความเสี่ยง โดยทางทีมวิจัยได้อธิบายว่า มัลแวร์ดังกล่าวนั้นจะเน้นในการโจมตีเหยื่อในรูปแบบองค์กรธุรกิจขนาดกลางในเขตพื้นที่ทวีปอเมริกาเหนือ ผ่านทางการหลอกลวงแบบเฉพาะเจาะจง (Spearhead Phishing) ด้วยการส่งเอกสารปลอมไปทางอีเมล พร้อมทั้งใช้วิธีการหลอกลวงด้วยการทำวิศวกรรมทางสังคม (Social Engineering) เพื่อลวงให้เหยื่อเปิดไฟล์มัลแวร์ขึ้นมา สำหรับจุดมุ่งหมายในการปล่อยมัลแวร์ตัวนี้ใส่บริษัทต่าง ๆ นั้น ก็เพื่อที่ทางแฮกเกอร์จะสามารถขโมยข้อมูลอีเมลต่าง ๆ ของบริษัทได้ รวมทั้งทำการแอบเปลี่ยนเนื้อหาภายในอีเมลโดยที่เหยื่อไม่รู้ตัว ซึ่งจุดประสงค์หลักนั้นจะเป็นการขโมยรหัสผ่าน รวมทั้งข้อมูลลับต่าง ๆ ภายในบริษัท ทั้งยังเปิดโอกาสให้เหยื่อแฝงตัวอยู่ในเครือข่าย (Network) ขององค์กร ไม่เพียงเท่านั้นยังมีการตรวจพบไฟล์ JSON แบบเข้ารหัสที่มีการซุกซ่อนข้อมูลการสำรวจระบบของเหยื่อ (System Reconnaissance) และคำสั่งในรูปแบบ Shell Command อยู่ในไฟล์ดังกล่าวอีกด้วย

ภาพจาก : https://cybersecuritynews.com/new-gonepostal-malware-hijacking-outlook/

มัลแวร์ดังกล่าวนี้ อย่างที่กล่าวไว้ข้างต้นนั้นคือ ตัวมัลแวร์จะมากับเอกสารด้านธุรกิจ (ปลอม) ที่ส่งให้เหยื่อ โดยมัลแวร์นั้นจะแฝงตัวในรูปแบบโค้ด VBA Macro ที่อยู่บนเอกสาร ที่จะทำหน้าที่ในการปล่อยมัลแวร์นกต่อ (Launcher) ลงไปยังโฟลเดอร์ชั่วคราวบนระบบของเหยื่อ หลังจากนั้นตัว Launcher จะทำการดาวน์โหลดโมดูล (Module) ต่าง ๆ ของมัลแวร์ GONEPOSTAL สร้างเซิร์ฟเวอร์ของแฮกเกอร์ ทั้งยังหลีกเลี่ยงการถูกตรวจจับด้วยการเนียนตัวเองไปกับการทำงานเป็นกิจวัตร (Routine) ของตัวซอฟต์แวร์ MS Outlook โดยทางทีมวิจัยได้เปิดเผยว่าโค้ด VBA Macro ดังกล่าวนั้นมีการแทรกโค้ดเพื่อสร้างความสับสนให้กับระบบตรวจจับ (Obfuscation) อย่างหนักหน่วง โดยเริ่มต้นจากการ Declare ส่วนของ Outlook COM Object ในรูปแบบดังนี้

Dim OutlookApp As Object

Set OutlookApp = CreateObject("Outlook.Application")

Dim MailItem As Object

Set MailItem = OutlookApp.CreateItem(0)

MailItem.To = recipientAddress

MailItem.Subject = "Monthly Report"

MailItem.Attachments.Add payloadPath

MailItem.Send

ซึ่งตัวโค้ดดังกล่าวนอกจากจะช่วยในการฝังมัลแวร์ (Payload) ตัวแรกแล้ว ยังมีการวางตารางการทำงาน (Task Scheduling) ผ่านทาง Windows Task Scheduler อีกด้วย เพื่อรับประกันว่า Microsoft Outlook จะเป็นตัวหลักในการรับคำสั่งจากทางแฮกเกอร์

หลังจากที่ตัวมัลแวร์ดาวน์โหลดโมดูลตัวที่ 2 ลงมาแล้ว โมดูลจะทำการอ่านสมุดบันทึกที่อยู่อีเมล (Address Book) ที่ถูกบันทึกไว้บน Outlook ซึ่งทางทีมวิจัยคาดว่าอาจเพื่อใช้งานเพื่อการเคลื่อนตัวในแนวราบของมัลแวร์ (Lateral Movement) เพื่อแพร่กระจายตัวมัลแวร์ภายในระบบของบริษัทเป้าหมาย หลังจากนั้นตัวมัลแวร์จะทำการสร้างอีเมลสำหรับส่งกลับไปเซิร์ฟเวอร์ C2 (Outbound Email) พร้อมกับตัวกำกับการใช้คำสั่ง (Command Instruction) ที่ถูกเข้ารหัสในรูปแบบ Base-64 ซึ่งตัวชุดคำสั่งกำกับนี้จะฝังตัวบนอีเมล (Embeded) ด้วยการปลอมตัวเป็นโลโก้บริษัท หรือใบปลิวโฆษณาโปรโมชันที่ดูไม่มีพิษมีภัย เพื่อหลอกระบบกลั่นกรองอีเมล

ในขั้นที่ 3 จะเป็นการสร้างการคงอยู่บนระบบ (Persistence) ด้วยการสร้าง Registry ภายใน HKCUSoftwareMicrosoftWindowsCurrentVersionRun โดยตัว Registry ที่ถูกสร้างขึ้นมานั้นจะทำงานด้วยการสั่งให้มองหาและใช้งานไฟล์ Word ที่มีชื่อว่า “Company_Update.docx” ซึ่งไฟล์นี้จะมีการบรรจุ OLE Object (Object Linking and Embedding) ไว้อยู่ โดย Object ดังกล่าวจะถูกเปิดขึ้นถ้าเหยื่อมีการดูไฟล์ดังกล่าวผ่าน Outlook Preview ซึ่งจะนำไปสู่การรันมัลแวร์อีกครั้งโดยไม่สามารถถูกตรวจจับได้โดยระบบรักษาความปลอดภัยรวมทั้งเหยื่อก็จะไม่รู้ตัวอีกด้วย

นอกจากนั้นตัวมัลแวร์ยังมีการเขียนไฟล์ DLL ลงไปบนโฟลเดอร์ AppDataRoamingMicrosoftOutlook และทำการลงทะเบียนไฟล์ DLL ดังกล่าวเป็นส่วนเสริมของ Outlook (Add-On) เพื่อรับประกันว่า Outlook จะทำการรันไฟล์ DLL ของมัลแวร์ขึ้นมาทุกครั้งที่ตัวแอปพลิเคชันถูกเปิดใช้งาน โดยตัว DLL ดังกล่าวจะแฝงตัวภายใต้ชื่อของส่วนเสริมคือ “OfficeUpdate” ทำให้มัลแวร์ตัวนี้นั้น ทางทีมวิจัยได้ให้ความเห็นว่า เป็นอีกตัวอย่างหนึ่งของมัลแวร์ยุคสมัยใหม่ ที่มีการทำงานอย่างเงียบเชียบ โดยหลอมรวมไปกับเครื่องมือที่ใช้ในชีวิตการทำงานประจำวัน อันนำไปสู่การสูญเสียข้อมูลคุณค่าสูงโดยที่ผู้ใช้งานไม่รู้ตัว