Kimsuky กลับมาอีกครั้ง: ใช้ JavaScript และ certutil ฝังตัวใน Windows แบบแนบเนียน
กลุ่ม APT (Advanced Persistent Threat) จากเกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky ได้เปิดตัวแคมเปญจารกรรมไซเบอร์ล่าสุด โดยใช้ JavaScript loader และเครื่องมือในระบบ Windows อย่าง certutil เพื่อสร้างความคงอยู่ (persistence) ในเครื่องเหยื่อทุกๆ นาทีผ่าน Scheduled Task
แคมเปญนี้เริ่มต้นด้วยไฟล์ชื่อ Themes.js ซึ่งเป็น JavaScript ที่ดาวน์โหลด payload ถัดไปจากโดเมนที่ควบคุมโดยผู้โจมตี จากนั้นจะมีการรวบรวมข้อมูลระบบ รายการโปรเซส และไฟล์ในไดเรกทอรีของผู้ใช้ แล้วบีบอัดเป็นไฟล์ .cab และเข้ารหัสด้วย certutil ก่อนส่งกลับไปยังเซิร์ฟเวอร์
สิ่งที่น่ากลัวคือการสร้าง Scheduled Task ที่ชื่อว่า Windows Theme Manager ซึ่งจะรันไฟล์ Themes.js ทุกๆ 1 นาที! พร้อมกับการปล่อยไฟล์ Word ปลอมที่ดูเหมือนไม่มีอะไร เพื่อเบี่ยงเบนความสนใจของเหยื่อ
เสริมความรู้: certutil และ Scheduled Task คืออะไร?
certutil เป็นเครื่องมือใน Windows ที่ใช้จัดการใบรับรองดิจิทัล แต่แฮกเกอร์มักใช้มันเป็น LOLBIN (Living Off the Land Binary) เพื่อเข้ารหัส/ถอดรหัสไฟล์โดยไม่ต้องใช้มัลแวร์ภายนอก
Scheduled Task คือระบบตั้งเวลาให้ Windows รันคำสั่งหรือโปรแกรมตามช่วงเวลาที่กำหนด เช่น ทุกนาที ทุกวัน ฯลฯ ซึ่งหากถูกใช้ในทางที่ผิด ก็สามารถทำให้มัลแวร์รันซ้ำได้ตลอดเวลา
กลุ่ม Kimsuky และเป้าหมาย
เป็นกลุ่ม APT จากเกาหลีเหนือที่เน้นจารกรรมข้อมูลจากรัฐบาลและองค์กรนโยบาย
ใช้เทคนิคใหม่ที่เน้นความแนบเนียนและต่อเนื่อง
ขั้นตอนการโจมตี
เริ่มจากไฟล์ Themes.js ที่ดาวน์โหลด payload จากโดเมนปลอม
ใช้ JavaScript รวบรวมข้อมูลระบบและส่งกลับไปยังเซิร์ฟเวอร์
ใช้ certutil เข้ารหัสข้อมูลก่อนส่งออก
สร้าง Scheduled Task ให้รัน Themes.js ทุกนาที
ปล่อยไฟล์ Word ปลอมเพื่อเบี่ยงเบนความสนใจ
เทคนิคที่ใช้
ใช้ LOLBIN (certutil) เพื่อหลีกเลี่ยงการตรวจจับ
ใช้ Scheduled Task เพื่อความคงอยู่แบบต่อเนื่อง
ใช้ subdomain ของเว็บจริงเพื่อหลอกระบบรักษาความปลอดภัย
ความเสี่ยงต่อองค์กร
หากระบบไม่มีการตรวจสอบ Scheduled Task อย่างสม่ำเสมอ อาจถูกฝังมัลแวร์โดยไม่รู้ตัว
การใช้ certutil ทำให้การตรวจจับยากขึ้น เพราะเป็นเครื่องมือของระบบเอง
คำแนะนำด้านความปลอดภัย
ควรตรวจสอบ Scheduled Task ที่รันถี่ผิดปกติ
ควรจำกัดการใช้ certutil และตรวจสอบการเข้ารหัส/ถอดรหัสที่ไม่ปกติ
ใช้ระบบ EDR ที่สามารถตรวจจับพฤติกรรมแบบ LOLBIN ได้
https://securityonline.info/kimsuky-apt-uses-javascript-loader-and-certutil-to-achieve-minute-by-minute-persistence-via-windows-scheduled-task/
กลุ่ม APT (Advanced Persistent Threat) จากเกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky ได้เปิดตัวแคมเปญจารกรรมไซเบอร์ล่าสุด โดยใช้ JavaScript loader และเครื่องมือในระบบ Windows อย่าง certutil เพื่อสร้างความคงอยู่ (persistence) ในเครื่องเหยื่อทุกๆ นาทีผ่าน Scheduled Task
แคมเปญนี้เริ่มต้นด้วยไฟล์ชื่อ Themes.js ซึ่งเป็น JavaScript ที่ดาวน์โหลด payload ถัดไปจากโดเมนที่ควบคุมโดยผู้โจมตี จากนั้นจะมีการรวบรวมข้อมูลระบบ รายการโปรเซส และไฟล์ในไดเรกทอรีของผู้ใช้ แล้วบีบอัดเป็นไฟล์ .cab และเข้ารหัสด้วย certutil ก่อนส่งกลับไปยังเซิร์ฟเวอร์
สิ่งที่น่ากลัวคือการสร้าง Scheduled Task ที่ชื่อว่า Windows Theme Manager ซึ่งจะรันไฟล์ Themes.js ทุกๆ 1 นาที! พร้อมกับการปล่อยไฟล์ Word ปลอมที่ดูเหมือนไม่มีอะไร เพื่อเบี่ยงเบนความสนใจของเหยื่อ
เสริมความรู้: certutil และ Scheduled Task คืออะไร?
certutil เป็นเครื่องมือใน Windows ที่ใช้จัดการใบรับรองดิจิทัล แต่แฮกเกอร์มักใช้มันเป็น LOLBIN (Living Off the Land Binary) เพื่อเข้ารหัส/ถอดรหัสไฟล์โดยไม่ต้องใช้มัลแวร์ภายนอก
Scheduled Task คือระบบตั้งเวลาให้ Windows รันคำสั่งหรือโปรแกรมตามช่วงเวลาที่กำหนด เช่น ทุกนาที ทุกวัน ฯลฯ ซึ่งหากถูกใช้ในทางที่ผิด ก็สามารถทำให้มัลแวร์รันซ้ำได้ตลอดเวลา
กลุ่ม Kimsuky และเป้าหมาย
เป็นกลุ่ม APT จากเกาหลีเหนือที่เน้นจารกรรมข้อมูลจากรัฐบาลและองค์กรนโยบาย
ใช้เทคนิคใหม่ที่เน้นความแนบเนียนและต่อเนื่อง
ขั้นตอนการโจมตี
เริ่มจากไฟล์ Themes.js ที่ดาวน์โหลด payload จากโดเมนปลอม
ใช้ JavaScript รวบรวมข้อมูลระบบและส่งกลับไปยังเซิร์ฟเวอร์
ใช้ certutil เข้ารหัสข้อมูลก่อนส่งออก
สร้าง Scheduled Task ให้รัน Themes.js ทุกนาที
ปล่อยไฟล์ Word ปลอมเพื่อเบี่ยงเบนความสนใจ
เทคนิคที่ใช้
ใช้ LOLBIN (certutil) เพื่อหลีกเลี่ยงการตรวจจับ
ใช้ Scheduled Task เพื่อความคงอยู่แบบต่อเนื่อง
ใช้ subdomain ของเว็บจริงเพื่อหลอกระบบรักษาความปลอดภัย
ความเสี่ยงต่อองค์กร
หากระบบไม่มีการตรวจสอบ Scheduled Task อย่างสม่ำเสมอ อาจถูกฝังมัลแวร์โดยไม่รู้ตัว
การใช้ certutil ทำให้การตรวจจับยากขึ้น เพราะเป็นเครื่องมือของระบบเอง
คำแนะนำด้านความปลอดภัย
ควรตรวจสอบ Scheduled Task ที่รันถี่ผิดปกติ
ควรจำกัดการใช้ certutil และตรวจสอบการเข้ารหัส/ถอดรหัสที่ไม่ปกติ
ใช้ระบบ EDR ที่สามารถตรวจจับพฤติกรรมแบบ LOLBIN ได้
https://securityonline.info/kimsuky-apt-uses-javascript-loader-and-certutil-to-achieve-minute-by-minute-persistence-via-windows-scheduled-task/
🕵️♂️ Kimsuky กลับมาอีกครั้ง: ใช้ JavaScript และ certutil ฝังตัวใน Windows แบบแนบเนียน
กลุ่ม APT (Advanced Persistent Threat) จากเกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky ได้เปิดตัวแคมเปญจารกรรมไซเบอร์ล่าสุด โดยใช้ JavaScript loader และเครื่องมือในระบบ Windows อย่าง certutil เพื่อสร้างความคงอยู่ (persistence) ในเครื่องเหยื่อทุกๆ นาทีผ่าน Scheduled Task
แคมเปญนี้เริ่มต้นด้วยไฟล์ชื่อ Themes.js ซึ่งเป็น JavaScript ที่ดาวน์โหลด payload ถัดไปจากโดเมนที่ควบคุมโดยผู้โจมตี จากนั้นจะมีการรวบรวมข้อมูลระบบ รายการโปรเซส และไฟล์ในไดเรกทอรีของผู้ใช้ แล้วบีบอัดเป็นไฟล์ .cab และเข้ารหัสด้วย certutil ก่อนส่งกลับไปยังเซิร์ฟเวอร์
สิ่งที่น่ากลัวคือการสร้าง Scheduled Task ที่ชื่อว่า Windows Theme Manager ซึ่งจะรันไฟล์ Themes.js ทุกๆ 1 นาที! พร้อมกับการปล่อยไฟล์ Word ปลอมที่ดูเหมือนไม่มีอะไร เพื่อเบี่ยงเบนความสนใจของเหยื่อ
🧠 เสริมความรู้: certutil และ Scheduled Task คืออะไร?
🎗️ certutil เป็นเครื่องมือใน Windows ที่ใช้จัดการใบรับรองดิจิทัล แต่แฮกเกอร์มักใช้มันเป็น LOLBIN (Living Off the Land Binary) เพื่อเข้ารหัส/ถอดรหัสไฟล์โดยไม่ต้องใช้มัลแวร์ภายนอก
🎗️ Scheduled Task คือระบบตั้งเวลาให้ Windows รันคำสั่งหรือโปรแกรมตามช่วงเวลาที่กำหนด เช่น ทุกนาที ทุกวัน ฯลฯ ซึ่งหากถูกใช้ในทางที่ผิด ก็สามารถทำให้มัลแวร์รันซ้ำได้ตลอดเวลา
✅ กลุ่ม Kimsuky และเป้าหมาย
➡️ เป็นกลุ่ม APT จากเกาหลีเหนือที่เน้นจารกรรมข้อมูลจากรัฐบาลและองค์กรนโยบาย
➡️ ใช้เทคนิคใหม่ที่เน้นความแนบเนียนและต่อเนื่อง
✅ ขั้นตอนการโจมตี
➡️ เริ่มจากไฟล์ Themes.js ที่ดาวน์โหลด payload จากโดเมนปลอม
➡️ ใช้ JavaScript รวบรวมข้อมูลระบบและส่งกลับไปยังเซิร์ฟเวอร์
➡️ ใช้ certutil เข้ารหัสข้อมูลก่อนส่งออก
➡️ สร้าง Scheduled Task ให้รัน Themes.js ทุกนาที
➡️ ปล่อยไฟล์ Word ปลอมเพื่อเบี่ยงเบนความสนใจ
✅ เทคนิคที่ใช้
➡️ ใช้ LOLBIN (certutil) เพื่อหลีกเลี่ยงการตรวจจับ
➡️ ใช้ Scheduled Task เพื่อความคงอยู่แบบต่อเนื่อง
➡️ ใช้ subdomain ของเว็บจริงเพื่อหลอกระบบรักษาความปลอดภัย
‼️ ความเสี่ยงต่อองค์กร
⛔ หากระบบไม่มีการตรวจสอบ Scheduled Task อย่างสม่ำเสมอ อาจถูกฝังมัลแวร์โดยไม่รู้ตัว
⛔ การใช้ certutil ทำให้การตรวจจับยากขึ้น เพราะเป็นเครื่องมือของระบบเอง
‼️ คำแนะนำด้านความปลอดภัย
⛔ ควรตรวจสอบ Scheduled Task ที่รันถี่ผิดปกติ
⛔ ควรจำกัดการใช้ certutil และตรวจสอบการเข้ารหัส/ถอดรหัสที่ไม่ปกติ
⛔ ใช้ระบบ EDR ที่สามารถตรวจจับพฤติกรรมแบบ LOLBIN ได้
https://securityonline.info/kimsuky-apt-uses-javascript-loader-and-certutil-to-achieve-minute-by-minute-persistence-via-windows-scheduled-task/
0 Comments
0 Shares
18 Views
0 Reviews
Thai