Stealthy MerDoor malware uncovered after five years of attacks
กลุ่มแฮ็กเกอร์ APT กลุ่มใหม่ที่ใช้ชื่อว่า Lancefly ใช้มัลแวร์แบ็คดอร์ Merdoor แบบกำหนดเองเพื่อกำหนดเป้าหมายองค์กรรัฐบาล การบิน และโทรคมนาคมในเอเชียใต้และเอเชียตะวันออกเฉียงใต้ นักวิจัยของ Symantec Threat Labs เปิดเผยในวันนี้ว่า Lancefly ได้นำแบ็คดอร์ Merdoor ที่มีความสามารถในการซ่อนตัวมาใช้ในการโจมตีแบบกำหนดเป้าหมายสูงตั้งแต่ปี 2018 เพื่อสร้างการคงอยู่ ดำเนินการคำสั่ง และดำเนินการคีย์ล็อกบนเครือข่ายองค์กร นักวิจัยยังสังเกตเห็นว่ามีการใช้แบ็คดอร์ Merdoor ในปี 2020 และ 2021 เช่นเดียวกับแคมเปญล่าสุดนี้ ซึ่งดำเนินต่อไปจนถึงไตรมาสแรกของปี 2023 โดยเชื่อกันว่า Lancefly มุ่งเน้นไปที่การจารกรรมทางไซเบอร์ โดยมีเป้าหมายเพื่อรวบรวมข่าวกรองจากเครือข่ายของเหยื่อในช่วงเวลาที่ยาวนาน
ทางด้าน Symantec ไม่พบจุดเริ่มต้นของการโจมตีที่ Lancefly ใช้ แต่พบหลักฐานว่ากลุ่มนี้ได้ใช้อีเมลฟิชชิ่ง การบังคับใช้ข้อมูลประจำตัว SSH และการใช้ประโยชน์จากช่องโหว่ของเซิร์ฟเวอร์ที่เปิดเผยต่อสาธารณะเพื่อการเข้าถึงโดยไม่ได้รับอนุญาตในช่วงหลายปีที่ผ่านมา เมื่อผู้โจมตีแสดงตัวตนบนระบบของเป้าหมาย พวกเขาจะฝังแบ็คดอร์ Merdoor ผ่านการโหลด DLL ลงใน perfhost.exe หรือ svchost.exe ซึ่งเป็นกระบวนการ Windows ที่ถูกต้องซึ่งช่วยให้มัลแวร์หลบเลี่ยงการตรวจจับ แบ็คดอร์ Merdoor ช่วยให้กลุ่ม Lancefly สามารถเข้าถึงและคงอยู่บนระบบของเหยื่อ โดยการติดตั้งตัวเองเป็นบริการที่คงอยู่ระหว่างการรีบูต จากนั้นแบ็คดอร์ Merdoor จะทำการสื่อสารกับเซิร์ฟเวอร์ C2 โดยใช้หนึ่งในโปรโตคอลการสื่อสารที่รองรับ (HTTP, HTTPS, DNS, UDP และ TCP) และรอคำแนะนำ นอกจากนี้แบ็คดอร์ Merdoor ยังสามารถบันทึกการกดแป้นพิมพ์ของผู้ใช้เพื่อเก็บข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน หรือความลับอื่นๆ
กลุ่ม Lancefly ยังได้รับการสังเกตว่าใช้คุณลักษณะ Atexec ของ Impacket เพื่อเรียกใช้งานตามกำหนดเวลาบนเครื่องระยะไกลทันทีผ่าน SMB เชื่อกันว่าผู้โจมตีกำลังใช้คุณสมบัตินี้เพื่อแพร่กระจายไปยังอุปกรณ์อื่นในเครือข่ายหรือลบไฟล์เอาต์พุตที่สร้างจากคำสั่งอื่น ผู้โจมตีพยายามขโมยข้อมูลประจำตัวโดยการทิ้งหน่วยความจำของกระบวนการ LSASS หรือขโมย SAM และ SYSTEM registry และสุดท้ายกลุ่ม Lancefly จะเข้ารหัสไฟล์ที่ถูกขโมยโดยใช้ WinRAR เวอร์ชันปลอมแล้วกรองข้อมูลออก
https://www.bleepingcomputer.com/news/security/stealthy-merdoor-malware-uncovered-after-five-years-of-attacks/