HijackLoader พันธ์ุใหม่ กระแสแรง โลกอาชญากรรมไซเบอร์
เมื่อเทคโนโลยีมีการพัฒนาที่เพิ่มสูงขึ้น สิ่งที่ไม่สามารถหลีกเลี่ยงได้เลยคือ ภัยคุกคามที่จะหลั่งไหลมาในหลากหลายรูปแบบและนับวันก็จะทวีความรุนแรงมากยิ่งขึ้นเรื่อยๆ
ในวันนี้ผมจะขอพูดถึงตัวโหลดมัลแวร์อย่าง HijackLoader ที่ได้รับความสนใจในกลุ่มอาชญากรไซเบอร์โดยมีการส่งมอบเพย์โหลดต่างๆ อาทิ DanaBot, SystemBC และ RedLine Stealer
หากพิจารณาดูถึงคุณสมบัติของ HijackLoader นี้ จะพบว่า ไม่มีแอดวานซ์ฟีเจอร์ที่โดดเด่นใดๆ ยกเว้นแต่ตัวโหลดนี้สามารถใช้โมดูลที่มีความหลากหลายในการแทรกและรันโค้ดเพราะโครงสร้างทางสถาปัตยกรรมแบบแยกส่วน (Architecture Modular) เอื้อต่อการปรับใช้งาน และตัวโหลดส่วนใหญ่ไม่มีฟีเจอร์แบบนี้
ในเดือน ก.ค. ที่ผ่านมา มีการตรวจพบมัลแวร์นี้ซึ่งมีลักษณะพิเศษมากมายที่ใช้แอบแฝงและหลบเลี่ยงการตรวจสอบจากโซลูชันความปลอดภัย การตรวจสอบกระบวนการที่เกี่ยวข้องกับซอฟต์แวร์ความปลอดภัยอ้างอิงตามรายการบล็อคที่ฝังอยู่ และสามารถเลื่อนการเรียกใช้โค้ดออกไปได้มากถึง 40 วินาทีในแต่ละขั้นตอน
นอกจากนี้ยังมีตัวเลือกการโหลดต่างๆ สำหรับเพย์โหลดที่เป็นอันตราย แม้ว่าตัวโหลดจะอยู่ในโมดูลเครื่องมือวัดที่ใช้การโจมตีแบบ Code Injection และใช้โมดูลแบบฝัง สำหรับโฮสต์ที่ถูกบุกรุกจะตั้งรับโดยสร้างไฟล์ทางลัด (LNK) ขึ้นในโฟลเดอร์ Window Startup และจัดการส่งอัพเดตต่างๆ สู่ผู้ใช้งานที่เรียกว่า Background Intelligent Transfer Service (BITS)
มีการเปิดเผยรายละเอียดของเวอร์ชันอัพเดตของมัลแวร์ที่ชื่อว่า RisePro ซึ่งก่อนหน้านี้ได้มีการปล่อยแพลตฟอร์มให้ดาวน์โหลดเพื่อแพร่กระจายมัลแวร์แบบจ่ายต่อการติดตั้ง pay-per-install (PPI) ที่เรียกว่า PrivateLoader ซึ่งผู้ขายได้โปรโมทว่ามีการเลือกใช้ในด้านที่ดีที่สุดของ RedLine และ Vidar เพื่อสร้างตัวการขโมยที่ทรงพลัง
อีกทั้งยังนำเสนอข้อได้เปรียบใหม่สำหรับผู้ใช้งาน RisePro คือ ลูกค้าสามารถโฮสต์พาแนลของตนเองเพื่อให้แน่ใจว่าผู้ขายจะไม่ขโมยล็อก (log) โดย RisePro เขียนด้วยภาษา C++ ที่ได้รับการออกแบบมาเพื่อเก็บรวบรวมข้อมูลที่ละเอียดอ่อนบนเครื่องที่ติดไวรัส จากนั้นจะกรองข้อมูลดังกล่าวไปยังเซิร์ฟเวอร์สั่งการและควบคุม (C&C) ในรูปแบบของบันทึก log ซึ่งมีการเริ่มจัดจำหน่ายครั้งแรกเมื่อ ธ.ค. 2565
แฮกเกอร์จะเรียกใช้ฟังก์ชันหลักที่ขโมยคุกกี้และข้อมูลประจำตัวจากเว็บเบราว์เซอร์ที่ใช้ Chromium จากนั้นจะขโมยข้อมูลไปยังเซิร์ฟเวอร์ C&C และบอท Telegram นอกจากนี้ยังมีการสมัครสมาชิกไคลเอ็นต์กับเซิร์ฟเวอร์ C&C ที่ใช้ GraphQL เมื่อเซิร์ฟเวอร์ C&C ส่งข้อความถึงไคลเอนต์ ฟังก์ชันการขโมยจะทำงานอีกครั้ง
โดยเบราว์เซอร์เป้าหมาย ได้แก่ Google Chrome, Microsoft Edge, Opera (และ OperaGX) และ Brave โดยการพัฒนาดังกล่าวแสดงให้เห็นถึงการทำงานของอาชญากรรมในโลกไซเบอร์ที่พัฒนาอย่างต่อเนื่อง ซึ่งแฮกเกอร์จะปล่อยไวรัสซึ่งเป็นตัวการหลักให้แทรกซึมเข้าสู่ระบบและเริ่มแสวงหาผลประโยชน์ต่อไป
จึงไม่น่าแปลกใจเลยที่แฮกเกอร์พยายามเจาะระบบเพื่อปล่อยมัลแวร์สายพันธุ์ใหม่ เช่น Prysmax ที่รวมเอาฟังก์ชันการทำงานของ Swiss Army ที่ช่วยให้สามารถเข้าถึงระบบและสร้างผลกระทบได้อย่างสูงสุด มากกว่านั้นมัลแวร์ยังพยายามปิดการใช้งาน Windows Defender จัดการการตั้งค่า และกำหนดค่าการตอบสนองต่อภัยคุกคาม
อีกทั้งยังพยายามลดความสามารถในการตรวจสอบย้อนกลับและการดูแลระบบที่ถูกบุกรุก ซึ่งดูเหมือนว่ามัลแวร์ได้รับการออกแบบมาอย่างดีเพื่อการขโมยข้อมูลและการกรองข้อมูล ขณะเดียวกันก็หลบเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัยตลอดจนการวิเคราะห์แบบไดนามิก
ดังนั้น ผมมองว่า Endpoint Software ที่ติดอยู่ในเครื่องคอมพิวเตอร์นั้น ไม่สามารถตอบโจทย์กับภัยคุกคามในรูปแบบใหม่ได้อีกแล้ว แม้ว่าภายในระบบจะมี Endpoint Detection and Response (EDR) ก็ตาม
การมีเครื่องมืออื่นๆ เข้ามาช่วยอย่าง Network Detection and Response (NDR) รวมถึงนำเอไอมาวิเคราะห์ Traffic ต่างๆ ที่เกิดขึ้นในระบบหรือระหว่างเครื่องคอมพิวเตอร์ไปยังเซอร์ฟเวอร์ หรือ digital asset ต่างๆ ในระบบ และอุปกรณ์ไซเบอร์ซิเคียวริตี้จะต้องทำงานร่วมกันแบบ cybersecurity mesh ที่ช่วยตรวจสอบระบบอย่างแม่นยำมากขึ้นครับ