สรุปข้อมูล
นักวิจัยค้นพบมัลแวร์ที่ชื่อว่า GoGra ซึ่งใช้ Microsoft Graph API ในการสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) โดย GoGra จะอ่านคำสั่งที่เข้ารหัสจากบัญชี Outlook และดำเนินการตามคำสั่งเหล่านั้น นอกจากนี้ยังมีมัลแวร์อื่นๆ เช่น Grager ที่ใช้ OneDrive ในการเชื่อมต่อกับ C2 และ MoonTag ที่ใช้ Google Drive การใช้บริการคลาวด์เหล่านี้ทำให้แฮกเกอร์สามารถหลีกเลี่ยงการตรวจจับได้ง่ายขึ้น เนื่องจากมีการเข้ารหัสและการใช้โดเมนที่เชื่อถือได้
รายละเอียดเชิงเทคนิค
- มัลแวร์ GoGra กำหนดเป้าหมายไฟล์ .jpg ในไดเร็กทอรี System32 และใช้ Token ในการเข้ารหัส ผู้โจมตีจะอัปโหลดไฟล์ RAR ที่ถูกเข้ารหัส ซึ่งประกอบด้วยเอกสารบันทึกการประชุม บันทึกการโทร แผนการก่อสร้าง โฟลเดอร์อีเมล และข้อมูลทางการเงินไปยังบัญชี Google Drive
- มัลแวร์ Grager ใช้ Graph API ในการเชื่อมต่อกับเซิร์ฟเวอร์ C&C บน Microsoft OneDrive โดยโจมตีด้วยการใช้ URL ปลอม ซึ่งเป็นโปรแกรมติดตั้ง 7-Zip (hxxp://7-zip.tw/a/7z2301-x64 [.]msi) และดาวน์โหลดโปรแกรมติดตั้ง 7-Zip ของแท้ควบคู่ไปกับ DLL ที่เป็นอันตรายโดยประกอบไปด้วย (epdevmgr.dll), มัลแวร์ Tonerjam และ backdoor Grager ที่เข้ารหัส (data.dat)
- มัลแวร์ MoonTag ใช้ประโยชน์จากโค้ด Google Group สาธารณะ โดยใช้ Microsoft Graph API เพื่อดาวน์โหลดและเรียกใช้ payloads จาก OneDrive ซึ่งสร้างโฟลเดอร์เหยื่อที่ไม่ซ้ำกัน อัพโหลดสถานะการติดไวรัส และยังคงการสื่อสารผ่านไฟล์ heartbeat และการดำเนินการคำสั่งในโฟลเดอร์
ผลกระทบจากการโจมตี
ผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการขโมยข้อมูลสำคัญขององค์กรที่ได้รับผลกระทบผ่านทาง OneDrive และ Google Drive โดยความเสียหายในนั้นอาจจะประกอบไปด้วย ข้อมูลทางการเงิน ข้อมูลระบบ และข้อมูลจัดการไฟล์ต่าง ๆ
คำแนะนำ
- ให้ความรู้และการฝึกอบรมเกี่ยวกับความปลอดภัยในโลกไซเบอร์แก่พนักงาน โดยเน้นการรับรู้ถึงการโจมตีที่อาจเกิดขึ้นและวิธีการป้องกัน
- ใช้การยืนยันตัวตนหลายปัจจัย (MFA) และเครื่องมือรักษาความปลอดภัยเพิ่มเติมเพื่อเสริมความปลอดภัยในองค์กร
- ตรวจสอบและอัปเดตเพตซ์ระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ป้องกันไวรัสให้เป็นเวอร์ชั่นล่าสุดเสมอ
- ทำการสำรองข้อมูลระบบและข้อมูลสำคัญเสมอ
แหล่งอ้างอิง
https://cybersecuritynews.com/hackers-onedrive-google-drive-malicious-traffic/