ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการตรวจพบ Python Infostealer Malware ซึ่งเป็นไฟล์สคริปต์ที่พัฒนาด้วยภาษา Python และทำงานในลักษณะของ Infostealer ถูกนำมาใช้ในการโจมตีผู้ใช้งานในประเทศไทย โดยคาดว่าเป็นฝีมือของกลุ่มแฮกเกอร์ที่ใช้ภาษาเวียดนามในการสื่อสาร

ศูนย์ TTC-CERT ได้ตรวจพบไฟล์ประเภท Zip ต้องสงสัยซึ่งถูกตั้งชื่อไฟล์ว่า "ที่อยู่-หมายเลขโทรศัพท์-และรูปภาพของฉัน-1.zip" โดยภายในไฟล์ดังกล่าวถูกปกป้องเอาไว้ด้วยรหัสผ่านและบรรจุไฟล์สคริปต์ประเภท batch file เอาไว้ จึงได้นำมาวิเคราะห์เพิ่มเติมและพบว่าไฟล์ดังกล่าวเป็นส่วนหนึ่งของการโจมตีทางไซเบอร์โดยใช้มัลแวร์ซึ่งเป็นไฟล์สคริปต์ที่พัฒนาด้วยภาษา Python ทำงานในลักษณะของ Infostealer เพื่อขโมยข้อมูลที่บันทึกเอาไว้ในเว็บเบราว์เซอร์ของเหยื่อ ได้แก่ รายชื่อเว็บไซต์กับบัญชีผู้ใช้งานและรหัสผ่านที่เกี่ยวข้อง รวมไปถึงบัญชีผู้ใช้งาน (user account) ของระบบปฏิบัติการ Windows โดยข้อมูลทั้งหมดจะถูกส่งออก (exfiltrate) ไปยัง Command and Control (C2) ผ่าน Ngrok ซึ่งเป็นเครื่องมือที่ทำงานในลักษณะของ reverse proxy เพื่อซ่อนหมายเลขไอพีที่แท้จริงของ C2 เอาไว้

ศูนย์ TTC-CERT ตรวจสอบในรายละเอียดการโจมตีพบว่า infrastructure ที่ผู้โจมตีใช้งานล้วนมีแหล่งที่มาหรือมีความเกี่ยวข้องกับบริษัทสัญชาติเวียดนามทั้งสิ้น อีกทั้งข้อมูลที่ตรวจพบจากเว็บไซต์ VirusTotal พบว่ามีไฟล์อื่น ๆ ที่ผู้โจมตีใช้งานซึ่งมีชื่อไฟล์ที่เขียนด้วยภาษาเวียดนาม นอกจากนี้ผู้โจมตียังได้กำหนดให้มัลแวร์ตรวจสอบตำแหน่งทางภูมิศาสตร์ของเครื่องคอมพิวเตอร์เป้าหมายก่อนที่จะลงมือโจมตีเพื่อหลีกเลี่ยงไม่ให้มัลแวร์ทำการโจมตีเครื่องคอมพิวเตอร์ที่มีตำแหน่งทางภูมิศาสตร์ที่ตั้งอยู่ในประเทศเวียดนามซึ่งอาจไปได้ว่าผู้โจมตีต้องการลดความเสี่ยงด้านกระบวนการทางกฏหมาย เนื่องจากตัวผู้โจมตีเองอาจอยู่ภายใต้ขอบเขตการบังคับใช้กฏหมายของประเทศเวียดนาม

ทั้งนี้ ศูนย์ TTC-CERT ได้พิจารณาถึงข้อมูลของ infrastructure ที่ตรวจพบรวมถึงขีดความสามารถของ มัลแวร์ดังกล่าวร่วมกับข้อมูลแนวโน้มภัยคุกคามทางไซเบอร์ในภูมิภาคเอเชียตะวันออกเฉียงใต้ ณ ปัจจุบัน ซึ่งมีกลุ่มแฮกเกอร์ที่ใช้ภาษาเวียดนามในการสื่อสารนิยมใช้มัลแวร์ประเภท Infostealer ในการโจมตีผู้ใช้งานทั่วโลกรวมถึงผู้ใช้งานชาวไทย ทำให้สามารถคาดการณ์ด้วยความเชื่อมั่นระดับสูง (high level of confidence) ได้ว่า ผู้โจมตีที่อยู่เบื้องหลังการโจมตีในครั้งนี้เป็นกลุ่มผู้โจมตีที่ใช้ภาษาเวียดนามในการสื่อสาร (Vietnamese-based) โดยภาพรวมของ infection chain มีรายละเอียดตามภาพ

ภาพแสดงภาพรวมของ infection chain ที่ใช้ในการโจมตี

ทั้งนี้ข้อมูลรายละเอียดการวิเคราะห์ทางเทคนิคเกี่ยวกับรูปแบบการโจมตีสามารถแบ่งเป็นขั้นตอนต่าง ๆ ได้ดังนี้

ขั้นตอนที่ 1: ดาวน์โหลด batch file สำหรับขั้นตอนที่ 2

• ไฟล์ Zip ถูกป้องกันด้วยรหัสผ่านและประกอบด้วย batch file ชื่อ "photo.bat"
• batch file นี้ใช้เทคนิค obfuscate เอาไว้ด้วยเทคนิคโบราณโดยการแทนที่ไบต์จำนวน 4 ตัวแรกของไฟล์ ด้วยค่า hexadecimal คือ "FF FE 0D 0A" ซึ่งจะส่งผลให้ซอฟต์แวร์ประเภท Text Editor อ่านข้อมูลในไฟล์ด้วยรูปแบบ Unicode ทำให้ข้อมูลที่ปรากฏไม่สามารถแสดงผลได้ตามปกติ แต่หากใช้ Hex Editor จะสามารถอ่านเนื้อหาภายในไฟล์ได้
• ไฟล์ "photo.bat" จะเรียกใช้โปรแกรม curl เพื่อดาวน์โหลด batch file ลำดับที่สองจาก C2 และบันทึกไว้ในโฟลเดอร์ C:\Users\Public โดยเปลี่ยนชื่อเป็น "mems.bat"

ขั้นตอนที่ 2: ดาวน์โหลดไฟล์สคริปต์ Python สำหรับขั้นตอนที่ 3

• ไฟล์ "mems.bat" จะทำหน้าที่ในการสร้าง persistence mechanism ในระบบด้วยการใช้ PowerShell เพื่อดาวน์โหลด batch file (WindowsUpdate.bat) และบันทึกไฟล์ดังกล่าวไว้ภายใต้โฟลเดอร์ Startup ของผู้ใช้งาน
• ไฟล์ "mems.bat" เรียกใช้โปรแกรม curl เพื่อดาวน์โหลดและติดตั้ง Python ในโฟลเดอร์ C:\Users\Public\python39
• ไฟล์ "mems.bat" ดาวน์โหลดไฟล์สคริปต์ Python ลำดับที่สามจาก C2 และบันทึกไว้ในโฟลเดอร์ C:\Users\Public\python39 ด้วยชื่อ "documents.py"

ขั้นตอนที่ 3: การเรียกใช้ payload

• ไฟล์ "documents.py" เป็นไฟล์สคริปต์ Python ที่ถูกใช้ในการอิมพอร์ตโมดูลและดาวน์โหลดไฟล์สคริปต์ลำดับสุดท้าย (payload) จาก C2
• ไฟล์สคริปต์สุดท้าย (payload) ที่ดาวน์โหลดจาก C2 จะเริ่มกระบวนการทำงานโดยตรวจสอบตำแหน่งทางภูมิศาสตร์ของเครื่องคอมพิวเตอร์ผ่านเว็บไซต์ geolocation-db.com และตรวจสอบค่าข้อมูลภายในหัวข้อ country_code จาก response ที่ได้รับ
• หากตำแหน่ง country_code ที่ได้รับไม่ใช่ค่า "VN" (ประเทศเวียดนาม) มัลแวร์จะเริ่มกระบวนการเก็บรวบรวมข้อมูลที่เกี่ยวข้องกับบัญชีผู้ใช้งาน (user account) ของระบบปฏิบัติการ ชื่อเว็บไซต์ บัญชีผู้ใช้งานและรหัสผ่านที่บันทึกเอาไว้ในเว็บเบราว์เซอร์ โดยมัลแวร์จะมุ่งเป้าโจมตีเฉพาะเว็บเบราว์เซอร์จำนวน 3 รายการ ได้แก่ Google Chrome, Cốc Cốc, และ Microsoft Edge
• ผู้โจมตีจะทำการส่งออกข้อมูล (exfiltrate) ไปยัง C2 โดยแบ่งออกเป็นสองรอบ ในครั้งแรก มัลแวร์จะทำการเก็บรวบรวมและส่งออกข้อมูลเฉพาะส่วนที่เกี่ยวข้องกับบัญชีผู้ใช้งาน (user account) ของระบบปฏิบัติการ และบัญชีผู้ใช้งานรวมถึงรหัสผ่านของเว็บไซต์ Facebook เท่านั้น และครั้งที่สอง มัลแวร์จะทำการเก็บรวบรวมและส่งออกข้อมูลบัญชีผู้ใช้งานและรหัสผ่านทั้งหมดที่เก็บรวบรวมมาได้

โดยหากผู้อ่าน สนใจข้อมูลการวิเคราะห์อย่างละเอียดจาก ศูนย์ TTC-CERT สามารถอ่านต่อได้ที่ การแจ้งเตือน-รายงานการวิเคราะห์กรณีพบ Python Infostealer Malware มีเป้าหมายในการโจมตีผู้ใช้งานในประเทศไทย

ที่มา - TTC-CERT, การแจ้งเตือน-รายงานการวิเคราะห์กรณีพบ Python Infostealer Malware มีเป้าหมายในการโจมตีผู้ใช้งานในประเทศไทย