ผมเชื่อว่าผู้ใช้งานสายวินโดว์น่าจะพอคุ้นเคยกับไฟล์ประเภท Cabinet ที่มีนามสกุลไฟล์คือ .cab (ต่อไปนี้เราจะเรียกแบบย่อว่า CAB) ซึ่งโดยปกติแล้วมักจะถูกใช้ในการเก็บไฟล์และข้อมูลที่ถูกบีบอัด (compressed) เอาไว้ภายใน แต่นอกเหนือจากการใช้งานแบบปกติทั่วไปแล้ว ผู้โจมตีหรือแฮกเกอร์สามารถดัดแปลงไฟล์ CAB เพื่อใช้ในการรันมัลแวร์บนเครื่องเหยื่อด้วยการกดดับเบิ้ลคลิ๊กเพียงครั้งเดียวเท่านั้นครับ
ครั้งนี้เราจะใช้เทคนิคในการวิเคราะห์ข่าวกรองทางไซเบอร์ (Cyber Threat Intelligence: CTI) เพื่อขยายผลจาก phishing domain เพียงอันเดียว ไปสู่การตรวจพบอีก 8,500+ โดเมน ที่อยู่ในมือของแฮกเกอร์กลุ่มเดียวกัน ซึ่งกระบวนการนี้อาจจะเรียกได้ว่าเป็น proactive threat intelligence ก็ว่าได้ครับ
คนที่ติดตามข่าวสารด้าน cybersecurity น่าจะพอทราบกันดีว่ากลุ่มแฮกเกอร์จากประเทศเวียดนามมีความถนัดและให้ความสนใจในการใช้มัลแวร์เพื่อขโมยข้อมูล (InfoStealer) โดยมุ่งเป้าไปที่ข้อมูลจากเว็บเบราว์เซอร์ เช่น username และ password ที่บันทึกเอาไว้, cookies, และ web data เป็นต้น
ในครั้งนี้เราจะมาวิเคราะห์มัลแวร์สายมิจดังกล่าว โดยใช้ไฟล์จาก Any.Run ซึ่งถูกอัพโหลดจากประเทศไทย
เชื่อว่าหลายคนน่าจะเคยพบเห็นเพจปลอมบน Facebook ซึ่งพยายามปลอมเป็นเพจชื่อดังในไทย หรือบางครั้งก็ปลอมเป็นบุคคลชื่อดัง เช่น สรุยุทธ สุทัศนะจินดา โดยดูเหมือนว่าช่วงหลังมานี้จะระบาดหนักมาก จนเจ้าตัวต้องเข้าไปคอมเม้นท์ด่าถึงในเพจปลอม แต่จะมีใครสงสัยบ้างไหมว่า จริง ๆ แล้วใครอยู่เบื้องหลังเพจปลอมเหล่านี้และเขาต้องการอะไรจากเรากันแน่?
กลุ่มแฮกเกอร์ชื่อ Lazarus Group หรือที่รู้จักกันในนาม APT38 ซึ่งได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ (State-sponsored) กำลังโจมตีประเทศไทยด้วย Operation Dream Job โดยมุ่งเป้าไปยังผู้ที่กำลังมองหางานใหม่ด้วยการหลอกให้ติดตั้งมัลแวร์ซึ่งจะส่งผลให้กลุ่มแฮกเกอร์สามารถรัน shellcode บนคอมพิวเตอร์เป้าหมายได้อย่างอิสระ