กลยุทธ์ใหม่ของ Astaroth Trojan: ใช้ GitHub ซ่อน Config และหลบเลี่ยงการถูกล้างบาง C2
สิ้นสุดยุคการพึ่งพาเซิร์ฟเวอร์หลัก: กลอุบายสร้างความยืดหยุ่นของ Astaroth
Astaroth Banking Trojan ซึ่งเป็นภัยคุกคามด้านอาชญากรรมไซเบอร์ ได้ยกระดับวิธีการทำงานไปอีกขั้น โดยใช้ประโยชน์จากแพลตฟอร์มที่ได้รับความเชื่อถืออย่าง GitHub เพื่อเป็นที่จัดเก็บไฟล์กำหนดค่า (Configuration Files) สำหรับมัลแวร์ การเคลื่อนไหวนี้ถือเป็นการพลิกเกมที่ทำให้โทรจันสามารถ หลีกเลี่ยงการถูกล้างบาง (Takedown) และดำเนินการได้อย่างต่อเนื่อง แม้ว่าเซิร์ฟเวอร์ควบคุมและสั่งการ (C2 Servers) หลักจะถูกปิดตัวลงไปแล้วก็ตาม
การใช้ GitHub เป็นฐานทัพสำรอง และห่วงโซ่การโจมตี
นักวิจัยจาก McAfee ค้นพบแคมเปญใหม่ของ Astaroth ที่มุ่งเน้นการโจมตีในภูมิภาค อเมริกาใต้เป็นหลัก (รวมถึงโปรตุเกสและอิตาลี) โดยมีกลไกการโจมตีที่ซับซ้อนดังนี้:
- เริ่มต้นด้วย Phishing: เหยื่อจะได้รับอีเมลฟิชชิ่งที่มีเนื้อหาน่าสนใจ เช่น DocuSign หรือเรซูเม่ ซึ่งมีลิงก์นำไปสู่การดาวน์โหลดไฟล์ ZIP ที่มีไฟล์ LNK อันตราย
- การติดตั้ง Payload: ไฟล์ LNK จะเปิดใช้งาน JavaScript ที่ถูกเข้ารหัส ผ่านทาง
mshta.exeซึ่งจะดาวน์โหลดไฟล์ต่าง ๆ และใช้สคริปต์ AutoIt เพื่อสร้างและรัน Shellcode ในหน่วยความจำ - การฉีดโค้ดอันตราย: Payload สุดท้ายของ Astaroth จะถูกฉีดเข้าไปในกระบวนการใหม่ของ
RegSvc.exeซึ่งเป็นเทคนิคที่ช่วยให้ตรวจจับได้ยาก
วิธีขโมยข้อมูลและการซ่อนตัวของโทรจัน
Astaroth มีความสามารถในการหลีกเลี่ยงการวิเคราะห์ โดยเฉพาะการตรวจสอบโลเคชั่น (Locales) ที่ไม่ใช่สหรัฐฯ/อังกฤษ เมื่อทำงานเสร็จสิ้นแล้ว มันจะมุ่งเน้นไปที่เป้าหมายหลัก:
- เป้าหมายเว็บไซต์การเงิน: โทรจันจะคอยเฝ้าดูหน้าต่างที่เปิดอยู่ด้านหน้า (Foreground Windows) หากพบเว็บไซต์ธนาคารหรือเว็บไซต์ที่เกี่ยวข้องกับสกุลเงินคริปโต มันจะใช้ Keylogging เพื่อขโมยข้อมูลบัญชีและรหัสผ่าน
- การส่งข้อมูลและรักษาความต่อเนื่อง: ข้อมูลที่ถูกขโมยจะถูกส่งไปยังโครงสร้างพื้นฐานของผู้โจมตีผ่าน Ngrok reverse proxy และยังคงรักษาความต่อเนื่องในการทำงานด้วยการวางไฟล์ LNK ไว้ในโฟลเดอร์ Startup ของระบบ
แนวทางการป้องกัน: ตรวจสอบความเชื่อใจในแพลตฟอร์มทั่วไป
กรณีของ Astaroth แสดงให้เห็นว่าผู้โจมตีมีความชาญฉลาดในการใช้ประโยชน์จากบริการที่เชื่อถือได้ (เช่น GitHub) เพื่อสร้างความทนทานต่อการถูกปิดระบบ ซึ่งหมายความว่ามาตรการป้องกันแบบเดิมที่เน้นการบล็อกแค่ C2 IP Address อาจไม่เพียงพออีกต่อไป องค์กรและผู้ใช้จำเป็นต้องมีมาตรการรักษาความปลอดภัยที่ครอบคลุม เพื่อป้องกันการโจมตีในขั้นตอนแรกสุด เช่น การใช้ Multi-Factor Authentication (MFA) และการฝึกอบรมพนักงานให้ตระหนักถึงภัย Phishing อย่างสม่ำเสมอ
อ้างอิงจาก : https://securityaffairs.com/183323/cyber-crime/astaroth-trojan-abuses-github-to-host-configs-and-evade-takedowns.html
