แคมเปญมัลแวร์ EtherRAT และ EtherHiding
พบแคมเปญมัลแวร์ EtherRAT และ EtherHiding มีการใช้เทคนิคพิเศษซ่อนโครงสร้างพื้นฐานไว้บน Ethereum
เมื่อพูดถึง Ethereum หรือ ETH นั้นหลายคนอาจจะนึกถึงเหรียญคริปโตเคอร์เรนซีที่โด่งดังที่สุดจนเป็นรองแค่เพียง Bitcoin เท่านั้น แต่ตัวเครือข่ายบล็อกเชนของระบบ Ethereum นี้ กลับสามารถช่วยเสริมสร้างให้ระบบโครงสร้างพื้นฐาน (Infrastructure) ของมัลแวร์มีความแข็งแกร่งอีกด้วย
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ชื่อ EtherRAT (แหล่งข่าวได้ระบุว่ามีความสามารถเป็นมัลแวร์แบบเปิดประตูหลังของระบบ หรือ Backdoor อีกด้วย) โดยทางทีมวิจัยจาก eSentire บริษัทผู้พัฒนาเครื่องมือต่อต้านภัยไซเบอร์แบบ (Endpoint Detection and Response) ซึ่งสามารถตรวจจับการมีอยู่ของมัลแวร์ตัวนี้ได้จากระบบของลูกค้าที่ใช้บริการจากทางบริษัทอยู่ในช่วงเดือนมีนาคมที่ผ่านมา โดยหลังจากที่ทำการตรวจสอบแล้วพบว่า มัลแวร์ตัวนี้มีความเกี่ยวข้องกับกลุ่มแฮกเกอร์จากประเทศเกาหลีเหนือ ที่ใช้การหลอกลวงเหยื่อให้เข้ารับการสัมภาษณ์งาน และในบางครั้ง อาจหลอกลวงเหยื่อว่าเป็นทีมงานไอทีที่ต้องเข้ามาจัดการปัญหาของระบบ นำมาสู่การที่มัลแวร์ดังกล่าวสามารถแทรกซึมเข้าสู่ระบบได้
ซึ่งในส่วนของการหลอกลวงเพื่อเข้าสู่เครื่องเหยื่อนั้นเรียกได้ว่ามีหลากหลาย เช่น แบบแรกคือหลังจากที่แฮกเกอร์จัดการเกลี้ยกล่อมเหยื่อจนเชื่อใจได้แล้ว แฮกเกอร์ก็จะหลอกให้เหยื่อกดเข้าลิงก์ปลอม ที่จะพาเหยื่อไปยังเว็บไซต์ หลอกให้เหยื่อพบกับคำแจ้งเตือนข้อผิดพลาดปลอมแล้วหลอกให้รันคำสั่งดาวน์โหลด และติดตั้งมัลแวร์ลงบนเครื่องซึ่งจะเป็นการรันคำสั่งผ่านทาง pcalua.exe ให้ทำการดึง (Fetch) สคริปท์แบบ HTA (HTML Application) ของมัลแวร์ลงมารันติดตั้งบนเครื่อง ซึ่งเป็นวิธีที่เรียกว่า ClickFix และอีกวิธีหนึ่งคือ การหลอกลวงเหยื่อผ่านทางโปรแกรมอย่าง Microsoft Team แล้วเข้าสู่ระบบของเหยื่อผ่านทางเครื่องมืออย่าง QuickAssist เพื่อเข้าสู่เครื่องของเหยื่อโดยที่ไม่ได้รับอนุญาต
และที่พิเศษกว่ามัลแวร์หลาย ๆ ตัวคือ มัลแวร์ตัวนี้ใช้วิธีการหลบซ��่อนโครงสร้างพื้นฐานไว้บนเครือข่ายของ Ethereum ด้วยเทคนิค EtherHiding ซึ่งเป็นเทคนิคที่นำเอาระบบสัญญาอัจฉริยะ หรือ Smart Contract เข้ามาใช้งานช่วยเหลือในการติดต่อระหว่างเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) กับตัวมัลแวร์ ให้สามารถติดต่อกันได้ตลอดเวลาถึงแม้ทางฝ่ายเหยื่อจะพยายามตัดการเชื่อมต่อก็ตาม
ซึ่งการทำงานของเทคนิคนี้คือ หลังจากที่ได้มีการรันมัลแวร์ขึ้นมา ตัวมัลแวร์ก็จะทำการส่งคำขอ (Quries) ไปยัง Ethereum RPC Providers ที่เป็นสาธารณะ (Public) หลาย ๆ แห่ง เพื่อที่จะเลือกตัวที่มีความสม่ำเสมอ (Consistent) ที่สุดในการนำเอามาใช้ในการเป็นที่อยู่ติดต่อของเซิร์ฟเวอร์ C2 แล้วทางแฮกเกอร์ที่จัดการในส่วนของเซิร์ฟเวอร์ ก็จะทำการเชื่อมต่อเซิร์ฟเวอร์กับที่อยู่ใหม่นี้ด้วยการตั้งค่าผ่านทาง setString ซึ่งทำให้ในเวลาเดียวกัน เครื่องที่ติดมัลแวร์ทั้งหมดก็จะทำการติดต่อมายังที่อยู่เซิร์ฟเวอร์บนเครือข่าย Ethereum นี้อย่างอัตโนมัติโดยที่ไม่ต้องลงมัลแวร์ซ้ำบนเครื่องต่าง ๆ และเพื่อที่จะช่วยให้การตรวจจับสามารถทำได้ยากยิ่งขึ้น ตัวมัลแวร์ก็จะทำการปลอมการส่งข้อมูลผ่านช่องทางการจราจรข้อมูล (Traffic) ให้เหมือนการส่งคำขอแบบ CDN Request ตามปกติ นอกจากนั้นในส่วนของ Beacon URL นั้นเองก็มีการจัดทำให้เหมือนกับคำเรียกขอไฟล์ตามแบบปกติที่เป็นค่าคงที่ (Static File Request) โดยสกุลไฟล์ที่ร้องขอนั้นก็ไม่มีสิ่งที่บอกความผิดปกติแต่อย่างใด ซึ่งตัวไฟล์มักจะลงท้ายด้วยสกุล .ico, .png, หรือ .css
ที่ไปไกลกว่านั้น ในบางครั้งตัวมัลแวร์ก็อาจจะทำการส่งโค้ดต้นฉบับ (Source Code) ไปยังเซิร์ฟเวอร์ C2 เพื่อขอโค้ดต้นฉบับตัวใหม่ในฉบับปรับปรุง มาเขียนทับตัวเดิม ส่งผลให้เครื่องมือตรวจจับคุณลักษณะของมัลแวร์ (Signature-based Defense) ตรวจจับได้ยากกว่าเดิมอีกด้วย นอกจากนั้นในส่วนของการสร้างความคงทนของระบบนั้น ตัวมัลแวร์ยังได้ทำการเข้าแก้ไขในส่วน Windows Registry ในส่วนของกุญแจ Run (Run Key) กับการเพิ่มตัว Entry ที่ถูกตั้งชื่อด้วยค่าเลขฐานหก (Hexadecimal) ที่มีความยาว 12 ตัวอักษรในแบบสุ่ม เพื่อป้องกันการตรวจจับด้วยรูปแบบซ้ำ ๆ (Pattern Detection) ซึ่งตัวมัลแวร์นั้นจะทำการรันตัวเองผ่านทาง conhost.exe ในโหมดไร้ค่าส่วนหัว (Headless Mode)
สำหรับการป้องกันนั้น ทางทีมวิจัยได้แนะนำให้ผู้ใช้งานทำการปิดใช้งาน mshta.exe และ pcalua.exe ผ่านทาง AppLocker หรือ Windows Defender Application Control (WDAC) เพื่อป้องกันไม่ให้สคริปท์��ของมัลแวร์สามารถทำงานได้บนเครื่อง
