บริษัท Bitdefender รายงานการโจมตีโดยอาศัยฟีเจอร์ของบริการ remote desktop ใน Windows เพื่อแพร่กระจายและสั่งรันมัลแวร์ในลักษณะ fileless ซึ่งเป็นการสั่งรันโค้ดของมัลแวร์จากแรมโดยตรง ไม่สร้างไฟล์ไว้ในฮาร์ดดิสก์ จุดประสงค์เพื่อขโมยข้อมูลและขุดเงินดิจิทัล พบเครื่องในไทยตกเป็นเหยื่อด้วย
ลักษณะการโจมตีจะอาศัยฟีเจอร์ Terminal Server ของบริการ remote deskop ที่อนุญาตให้เครื่องไคลเอนต์แชร์ไดรฟ์หรือไดเรกทอรีแบบให้สิทธิ์ในการแก้ไขข้อมูลได้ โดยตัวไดรฟ์ที่ถูกแชร์จะปรากฎในชื่อ ‘tsclient’ จุดสำคัญของฟีเจอร์นี้คือรองรับการตั้งค่าให้มีการสั่งรันโปรแกรมได้เมื่อล็อกอิน โดยโปรแกรมดังกล่าวจะถูกรันในแรมของฝั่งไคลเอนต์ ทำให้ผู้ประสงค์ร้ายสามารถใช้ช่องทางนี้ในการสั่งรันมัลแวร์ผ่านเครือข่ายได้โดยไม่ปรากฎข้อมูลใน log
ทาง Bitdefender พบการติดตั้งไฟล์มัลแวร์ลงในเครื่องไคลเอนต์ไว้ก่อนแล้ว (ช่องทางการโจมตียังไม่ยืนยัน อาจเป็นไปได้ว่าผู้ประสงค์ร้ายได้รหัสผ่านไปก่อนหน้านี้แล้ว) จากนั้นตั้งค่าให้มีการเรียกใช้งานไฟล์มัลแวร์โดยอัตโนมัติเมื่อมีการเข้าถึงไดรฟ์ที่ถูกแชร์ผ่านเครือข่าย ตัวมัลแวร์ที่พบนี้มีความสามารถหลายอย่างไม่ว่าจะเป็นการขโมยข้อมูล ติดตั้งมัลแวร์ขุดเงินดิจิทัล หรือติดตั้งมัลแวร์เรียกค่าไถ่
ทั้งนี้ รายละเอียดช่องทางการโจมตีหรือกลุ่มที่อยู่เบื้องหลังการโจมตีในครั้งนี้ยังไม่ปรากฎแน่ชัด ประเทศที่ตกเป็นเหยื่อมากที่สุดคือบราซิล สหรัฐฯ และโรมาเนีย โดยมีเหยื่อในไทยประมาณ 10 เครื่องถูกโจมตีด้วย ข้อมูล IOC ของมัลแวร์ที่เกี่ยวข้องสามารถดูเพิ่มเติมได้จากรายงานฉบับเต็ม
การป้องกันสามารถทำได้โดยตั้งค่า Group Policy เพื่อปิดในส่วน Do not allow Clipboard redirection และ Do not allow drive redirection ซึ่งสามารถศึกษาวิธีทำและผลกระทบได้จากที่มา
—————————————————–
ที่มา : ThaiCERT / 23 ธันวาคม 2562
Link : https://www.thaicert.or.th/newsbite/
