มัลแวร์ CloudZ ใช้ประโยชน์จาก Microsoft Phone Link
มัลแวร์ CloudZ ใช้ประโยชน์จาก Microsoft Phone Link ดูด SMS จากคอมบริษัท
การลักลอบดูดช้อความสั้น (Short Message Service หรือ SMS) โดยมัลแวร์นั้น ใช่ว่าจะเกิดชึ้นบนโทรศัพท์เพียงอย่างเดียว เพราะปัจจุบันด้วยการใช้เครื่องมือเพื่อเชื่อมต่อโทรศัพท์มือถือ กับคอมพิวเตอร์นั้น ทำให้แฮกเกอร์สามารถขโมยข้อมูลผ่านคอมพิวเตอร์ได้อย่างง่ายดาย ดังเช่นในช่าวนี้
จากรายงานโดยเว็บไซต์ CSO Online ได้กล่าวถึงการตรวจพบมัลแวร์แบบเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า CloudZ และปลั๊กอิน (Pheno) ที่มีความสามารถในการทำงานร่วมกันเพื่อขโมยข้อมูลของโทรศัพท์มือถือผ่านเครื่องมือสำหรับเชื่อมต่อโทรศัพท์มือถือ ทั้งแบบระบบปฏิบัติการ iOS และ Android กับคอมพิวเตอร์อย่าง Microsoft Phone Link ได้ ซึ่งเครื่องมือตัวนี้มักจะถูกใช้งานในระดับองค์กรขนาดใหญ่ (Enterprise) เนื่องจากสามารถช่วยให้พนักงานสามารถมองเห็นการแจ้งเตือน, ข้อความ และสายเรียกเข้าต่าง ๆ ที่เข้ามายังโทรศัพท์ที่เชื่อมต่อกับคอมพิวเตอร์ผ่านแอปพลิเคชันนี้ได้ และข้อสำคัญของซอฟต์แวร์ตัวนี้คือ ข้อมูลทั้งหมดที่รับผ่านซอฟต์แวร์ตัวนี้จะถูกบันทึกไว้บนเครื่องคอมพิวเตอร์ (Local) และนี่ก็เป็นจุดอ่อนที่มัลแวร์ และปลั๊กอินดังกล่าวใช้งานเพื่อขโมยข้อมูลที่มาจากโทรศัพท์มือถือ
โดยในการเข้าถึงระบบของเหยื่อนั้น ทางทีมวิจัยจาก Cisco Talos ซึ่งเป็นผู้ตรวจพบมัลแวร์ตัวนี้นั้นกล่าวว่า ตัวพาหะนั้นยังไม่ชัดเจนว่าแฮกเกอร์ใช้งานสิ่งใดมาเป็นพาหะ หรือช่องทางในการเข้าถึงเหยื่อ แต่ที่ชัดเจนคือ ไฟล์แรกที่แฮกเกอร์หลอกให้รัน (Execution) นั้นจะเป็นไฟล์ที่อ้างว่าเป็นตัวอัปเดตของเครื่องมือสำหรับการใช้งาน Remote Desktop ชื่อว่า ScreenConnect โดยตัวไฟล์นั้นจะเป็นไฟล์มัลแวร์นกต่อ (Loader) ที่ถูกเขียนขึ้นด้วยภาษา Rust และมีชื่อไฟล์ว่า “systemupdates.exe” ซึ่งหลังจากรันขึ้นมาแล้วก็จะนำมาสู่การคลายไฟล์มัลแวร์ Loader ที่ถูกเขียนขึ้นบนพื้นฐานของ .NET ลงมาอีกทีหนึ่งโดยปลอมตัวเป็นไฟล์ Text ในโฟลเดอร์ระบบ (System) ของตัว Windows ซึ่ง .NET Loader ตัวนี้จะทำการใช้งานเครื่องมือต่อต้านการถูกวิเคราะห์ (Anti-Analysis) เพื่อตรวจสอบตัวระบบก่อนที่จะทำการคลายมัลแวร์ CloudZ ตัวจริงออกมา ซึ่งตัวมัลแวร์ CloudZ นั้นจะถูกถอดรหัส (Decryption) และรันบนหน่วยความจำโดยตรง (In-Memory Execution) ทำให้ถูกตรวจสอบโดยเครื่องมือตรวจจับได้ยาก
ในขณะเดียวกัน ตัวมัลแวร์ Loader ตัวแรกก็จะทำการสร้างความคงทนบนระบบ (Persistence) ให้กับตัวมัลแวร์ด้วยการตั้งเวลาการทำงาน (Task Scheduling) ภายใต้ชื่อ “SystemWindowsApis” โดยจะถูกตั้งเวลาให้รันทุกครั้งเวลาที่ถูกเปิดเครื่องขึ้นมาใหม่ (Startup) พร้อมทั้งอัปเกรดสิทธิ์ในการเข้าถึงระบบ (Privilege) ด้วยการใช้งานเครื่องมือ (Utility) ของตัว Windows ที่มีชื่อว่า regasm.exe
หลังจากที่ตัวมัลแวร์ CloudZ ได้ฝังตัวเองลงระบบเป็นที่เรียบร้อยแล้ว มัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ในทันทีผ่านทางช่องทางเข้ารหัส (Encryption) เพื่อดึงฟังก์ชันต่าง ๆ ที่จำเป็นลงมา ไม่ว่าจะเป็น ฟังก์ชันขโมยรหัสผ่าน (Credential Harvesting), เครื่องมือจัดการไฟล์ (File Operation) และฟังก์ชันการรันคำสั่งจากระยะไกล (Remote Command Execution) นอกจากนั้นยังได้มีการดาวน์โหลดการตั้งค่า (Configuration) ชุดที่ 2 ลงมาจากเซิร์ฟเวอร์ C2 อี�กด้วย
หนึ่งในเครื่องมือที่สำคัญในแคมเปญนี้คือ ปลั๊กอินของมัลแวร์ที่มีชื่อว่า Pheno ซึ่งจะทำหน้าที่ในการสแกนว่ามีการใช้งาน Phone Link อยู่บนคอมพิวเตอร์ของเหยื่อหรือไม่ ด้วยการสแกนหา Process ที่มีชื่อว่า ‘YourPhone,’ ‘PhoneExperienceHost,’ หรือ ‘Link to Windows’ และบันทึกการทำงาน (Log) ของซอฟต์แวร์ดังกล่าวที่ถูกบันทึกอยู่บนเครื่อง โดยถ้ามีการตรวจพบ ตัวปลั๊กอินก็จะทำการปักธง (Flagged) ว่าเครื่องมีการใช้งาน Phone Link อยู่ แล้วทำการส่งข้อมูลกลับไปให้ทางแฮกเกอร์เพื่อใช้งานมัลแวร์ CloudZ ในการขโมยข้อมูลของโทรศัพท์มือถือที่ถูกส่งมาบน Phone Link ที่ได้ถูกบันทึกไว้เป็นไฟล์ฐานข้อมูล (Database) แบบ SQLite ในทันที โดยข้อมูลที่ขโมยได้นั้นจะครอบคลุมตั้งแต่ ข้อความ SMS, รหัสผ่านแบบใช้งานครั้งเดียว (One-Time Password หรือ OTP), และข้อมูลสำหรับใช้ในการยืนยันตัวตน (Authentication) ต่าง ๆ ที่อยู่บนแอปพลิเคชันสำหรับใช้ในการยืนยันตัวตน (Authenticator) ที่โทรศัพท์มือถือของเหยื่อใช้งานอยู่
ในยุคที่เทคโนโลยีก้าวหน้า การใช้งานเครื่องมือเชื่อมต่อระหว่างโทรศัพท์มือถือและคอมพิวเตอร์ เช่น Microsoft Phone Link กลายเป็นเรื่องธรรมดาสำหรับองค์กรขนาดใหญ่เพื่อความสะดวกในการทำงาน แต่สิ่งนี้กลับกลายเป็นช่องทางให้มัลแวร์อย่าง CloudZ โจมตีขโมยข้อมูลส่วนตัวที่สำคัญอย่างไม่น่าเชื่อ จากประสบการณ์การทำงานในสาย IT Security ผมเองเคยเจอปัญหาคล้าย ๆ กับแคมเปญนี้ คือการที่มัลแวร์ถูกฝังตัวผ่านโปรแกรมที่ดูเหมือนถูกต้อง เช่นอัปเดตซอฟต์แวร์ จากนั้นจึงแฝงตัวเพื่อสร้างความคงทนบนระบบและขโมยข้อมูลอย่างเงียบ ๆ ซึ่งโดยเฉพาะในองค์กรที่มีการใช้ Phone Link เพื่อรับส่งข้อความและแจ้งเตือนจากโทรศัพท์บนคอมพิวเตอร์ ความเสี่ยงต่อการถูกขโมยข้อมูล SMS และ OTP จึงสูงมาก มัลแวร์ CloudZ แข็งแกร่งด้วยการใช้เทคนิค In-Memory Execution ที่ซ่อนตัวในหน่วยความจำ ทำให้เครื่องมือป้องกันบางตัวตรวจจับได้ยาก และมีปลั๊กอิน Pheno ที่สแกนตรวจสอบการใช้งาน Phone Link เพื่อเก็บข้อมูล SQLite database ไฟล์บนเครื่องทันที ข้อมูลที่ถูกขโมยครอบคลุมตั้งแต่ SMS, รหัสผ่านใช้ครั้งเดียว ไปจนถึงข้อมูลยืนยันตัวตนในแอป authenticator ซึ่งอาจนำไปสู่การถูกแฮ็กบัญชีหรือข้อมูลสำคัญอื่น ๆ ได้ ในฐานะผู้ดูแลระบบหรือผู้ใช้เอง มีข้อควรระวังที่น่าสนใจคือ การติดตั้งโปรแกรมจากแหล่งที่เชื่อถือได้เท่านั้น ควรตรวจสอบไฟล์ที่รันหรืออัปเดตซอฟต์แวร์ด้วยความระมัดระวัง และใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่อัปเดตอยู่เสมอ รวมถึงจำกัดสิทธิ์การเข้าถึงระบบให้เหมาะสม ส่วนในระดับองค์กร ควรมีมาตรการตรวจสอบและเฝ้าระวังการทำงานของโปรเซสที่เกี่ยวข้องกับ Phone Link และสแกนหามัลแวร์อย่างสม่ำเสมอ พร้อมทั้งฝึกอบรมพนักงานให้รับรู้ถึงความเสี่ยงและวิธีป้องกันภัยไซเบอร์เบื้องต้น เพื่อป้องกันไม่ให้แฮกเกอร์เข้าถึงข้อมูลสำคัญผ่านช่องทางนี้ได้อย่างง่ายดาย ด้วยวิธีการเหล่านี้ แม้เทคโนโลยีจะพัฒนาขึ้นรวดเร็ว แต่เราก็ไม่ควรละเลยความปลอดภัยของข้อมูลส่วนตัวและข้อมูลขององค์กร เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นจากมัลแวร์ CloudZ และภัยคุกคามที่ซับซ้อนอื่น ๆ ในอนาคต
