ข้าราชการไทยระวัง พบแฮกเกอร์มุ่งหลอกให้ติดตั้ง Yokai Backdoor ลงเครื่องด้วยเทคนิค DLL Sideload

การโจมตีระบบของทางรัฐผ่านทางข้าราชการที่ทำงานอยู่นั้น เรียกได้ว่าเป็นการโจมตีที่ค่อนข้างคลาสสิค ถูกใช้งานมาอย่างยาวนาน และในตอนนี้ก็ถึงคิวของข้าราชการไทยแล้ว

จากรายงานโดยเว็บไซต์ The Hacker News ได้มีการตรวจพบแคมเปญการโจมตีของแฮกเกอร์ครั้งใหม่โดยทางทีมวิจัยจาก Netskope บริษัทผู้เชี่ยวชาญด้านระบบความปลอดภัยเครือข่าย โดยทางทีมวิจัยได้กล่าวว่า แคมเปญการโจมตีในครั้งนี้นั้นได้มุ่งเน้นไปยังกลุ่มข้าราชการไทยโดยเฉพาะ โดยใช้เทคนิคการดาวน์โหลดไฟล์ DLL ที่เป็นอันตราย (ฝังมัลแวร์) โดยไม่ได้รับอนุญาตลงสู่เครื่องของเหยื่อ เพื่อติดตั้งมัลแวร์ประเภทเปิดประตูหลังของระบบ (Backdoor) ที่มีชื่อว่า Yokai

ซึ่งการแพร่กระจายของมัลแวร์แบบ Backdoor ดังกล่าวนั้น จะมาในรูปแบบการ Phishing โดยแฮกเกอร์จะทำการส่งไฟล์บีบอัดในรูปแบบไฟล์ .RAR (รูปแบบการส่งนั้นทางทีมวิจัยระบุว่า ยังสืบสวนไม่พบตัวกลางต้นเหตุ แต่คาดว่าจะเป็นการโจมตีแบบเฉพาะกลุ่ม (Spear-Phishing) อย่างเช่น การส่งอีเมลหลอกลวงเฉพาะกลุ่มที่ทำงานราชการ เป็นต้น ซึ่งหลังจากคลายไฟล์ออกมาแล้วจะพบไฟล์ 2 ไฟล์ ในรูปแบบ PDF และ Doc ที่มีชื่อเกี่ยวข้องกับการขอความร่วมมือจากรัฐบาล และกระทรวงยุติธรรมประเทศสหรัฐอเมริกา แต่แท้จริงแล้วกลับไม่ใช่ไฟล์ที่เป็นไปตามนามสกุลที่ถูกตั้งชื่อไว้ แต่เป็นไฟล์ Internet Shortcut ที่เมื่อกดไปแล้ว จะนำไปสู่การดาวน์โหลดไฟล์หลอกลวง (Decoy) ที่มีเนื้อหาภายในที่เกี่ยวข้องกับผู้ต้องหาที่มีชื่อว่า วรวิทย์ เมฆตระการ (Woravit Mektrakarn) ซึ่งกำลังหลบหนีอยู่ในปัจจุบัน

ภาพจาก : https://thehackernews.com/2024/12/thai-officials-targeted-in-yokai.html

แต่ในขณะเดียวกันนั้นเอง นอกจากไฟล์หลอกลวงข้างต้น ยังมีการดาวน์โหลดไฟล์อีก 3 ตัวลงมา นั่นคือ IdrInit.exe ซึ่งเป็นไฟล์สำหรับรันของซอฟต์แวร์ที่มีชื่อว่า iTop Data Recovery, ไฟล์ DLL ของตัวมัลแวร์ ProductStatistics3.dll และไฟล์ DATA ที่บรรจุข้อมูลที่ถูกส่งมาจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) จากนั้นตัวไฟล์ IdrInit.exe ก็จะถูกนำมาใช้ในการดึงเอาไฟล์ DLL หลักสำหรับการวาง Backdoor (DLL Sideloading) ลงมาสู่เครื่อง ซึ่งตัวมัลแวร์ Yokai นี้เองมีความสามารถในการเข้าถึง cmd.exe เพื่อป้อนคำสั่งต่าง ๆ และมีความสามารถในการรัน ShellCode บนเครื่องของเหยื่ออีกด้วย ส่วนรายละเอียดความสามารถของมัลแวร์ Yokai นั้น ทางแหล่งข่าวยังไม่มีข้อมูลเพิ่มเติม ณ เวลานี้

ภาพจาก : ภาพจาก : https://thehackernews.com/2024/12/thai-officials-targeted-in-yokai.html

เห็นดังนี้แล้ว ข้าราชการไทยอาจต้องมีความตื่นตัวมากขึ้นในด้านความปลอดภัยไซเบอร์ ด้วยการหมั่นสังเกตไฟล์แปลกประหลาดต่าง ๆ ที่ถูกส่งมาจากบุคคลที่ดูน่าสงสัย จะต้องห้ามทำการเปิดเป็นอันขาด และแจ้งหน่วยงานด้านความปลอดภัยไซเบอร์โดยเร็วที่สุดเพื่อจัดการกับปัญหาดังกล่าว