Share

แฮกเกอร์ใช้ประโยชน์จาก OneDrive และ Google Drive เพื่อซ่อนการรับส่งข้อมูลที่เป็นอันตราย

Last updated: 9 Aug 2024
69 Views
แฮกเกอร์ใช้ประโยชน์จาก OneDrive และ Google Drive เพื่อซ่อนการรับส่งข้อมูลที่เป็นอันตราย

สรุปข้อมูล 

นักวิจัยค้นพบมัลแวร์ที่ชื่อว่า GoGra ซึ่งใช้ Microsoft Graph API ในการสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) โดย GoGra จะอ่านคำสั่งที่เข้ารหัสจากบัญชี Outlook และดำเนินการตามคำสั่งเหล่านั้น นอกจากนี้ยังมีมัลแวร์อื่นๆ เช่น Grager ที่ใช้ OneDrive ในการเชื่อมต่อกับ C2 และ MoonTag ที่ใช้ Google Drive การใช้บริการคลาวด์เหล่านี้ทำให้แฮกเกอร์สามารถหลีกเลี่ยงการตรวจจับได้ง่ายขึ้น เนื่องจากมีการเข้ารหัสและการใช้โดเมนที่เชื่อถือได้


รายละเอียดเชิงเทคนิค

  1. มัลแวร์ GoGra กำหนดเป้าหมายไฟล์ .jpg ในไดเร็กทอรี System32 และใช้ Token ในการเข้ารหัส ผู้โจมตีจะอัปโหลดไฟล์ RAR ที่ถูกเข้ารหัส ซึ่งประกอบด้วยเอกสารบันทึกการประชุม บันทึกการโทร แผนการก่อสร้าง โฟลเดอร์อีเมล และข้อมูลทางการเงินไปยังบัญชี Google Drive
  2. มัลแวร์ Grager ใช้ Graph API ในการเชื่อมต่อกับเซิร์ฟเวอร์ C&C บน Microsoft OneDrive โดยโจมตีด้วยการใช้ URL ปลอม ซึ่งเป็นโปรแกรมติดตั้ง 7-Zip (hxxp://7-zip.tw/a/7z2301-x64 [.]msi) และดาวน์โหลดโปรแกรมติดตั้ง 7-Zip ของแท้ควบคู่ไปกับ DLL ที่เป็นอันตรายโดยประกอบไปด้วย (epdevmgr.dll), มัลแวร์ Tonerjam และ backdoor Grager ที่เข้ารหัส (data.dat)
  3. มัลแวร์ MoonTag ใช้ประโยชน์จากโค้ด Google Group สาธารณะ โดยใช้ Microsoft Graph API เพื่อดาวน์โหลดและเรียกใช้ payloads จาก OneDrive ซึ่งสร้างโฟลเดอร์เหยื่อที่ไม่ซ้ำกัน อัพโหลดสถานะการติดไวรัส และยังคงการสื่อสารผ่านไฟล์ heartbeat และการดำเนินการคำสั่งในโฟลเดอร์


ผลกระทบจากการโจมตี

ผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการขโมยข้อมูลสำคัญขององค์กรที่ได้รับผลกระทบผ่านทาง OneDrive และ Google Drive โดยความเสียหายในนั้นอาจจะประกอบไปด้วย ข้อมูลทางการเงิน ข้อมูลระบบ และข้อมูลจัดการไฟล์ต่าง ๆ


คำแนะนำ

  • ให้ความรู้และการฝึกอบรมเกี่ยวกับความปลอดภัยในโลกไซเบอร์แก่พนักงาน โดยเน้นการรับรู้ถึงการโจมตีที่อาจเกิดขึ้นและวิธีการป้องกัน
  • ใช้การยืนยันตัวตนหลายปัจจัย (MFA) และเครื่องมือรักษาความปลอดภัยเพิ่มเติมเพื่อเสริมความปลอดภัยในองค์กร
  • ตรวจสอบและอัปเดตเพตซ์ระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ป้องกันไวรัสให้เป็นเวอร์ชั่นล่าสุดเสมอ
  • ทำการสำรองข้อมูลระบบและข้อมูลสำคัญเสมอ


แหล่งอ้างอิง 
https://cybersecuritynews.com/hackers-onedrive-google-drive-malicious-traffic/

Related Content
Compare product
0/4
Remove all
Compare