ผู้เชี่ยวชาญพบมัลแวร์ใช้ Windows BITS เพื่อติดต่อเซิร์ฟเวอร์ควบคุม

ผู้เชี่ยวชาญจาก ESET ได้ออกมาเปิดเผยเรื่องราวของมัลแวร์ใช้ Windows BITS เพื่อลอบติดต่อกับเซิร์ฟเวอร์ควบคุม โดยคาดว่าจะเป็นกลุ่มของแฮ็กเกอร์ที่มีนามแฝงว่า Stealth Falcon

Background Intelligence Transfer Service (BITS) เป็นส่วนประกอบหนึ่งใน Windows ที่ถูกใช้เพื่อนำส่งการอัปเดตต่างๆ สู่ผู้ใช้งานเมื่อไม่ได้ใช้งานเครือข่าย เช่น Windows Update, Microsoft Update, Server Update และ System Center Configuration Update เป็นต้น รวมถึง Windows Defender ก็ใช้ช่องทางนี้เพื่ออัปเดต Signature ด้วย ทั้งนี้แอปพลิเคชันอื่นก็มีความเป็นไปได้ที่จะเข้ามาใช้ช่องทางนี้ อย่างตอนนี้ที่ Mozilla กำลังพยายามพัฒนาให้ Firefox สามารถใช้ BITS เพื่ออัปเดตได้

อย่างไรก็ตามดูเหมือนว่าเหรียญย่อมมีสองด้านเสมอเพราะหลายปีที่ผ่านมา BITS เคยถูกใช้ในแคมเปญการโจมตีมาแล้วหลายครั้ง ซึ่งมีแนวโน้มว่าจะพบเห็นได้บ่อยขึ้นด้วย โดยล่าสุด ESET ก็ได้เผยถึงกลุ่ม Stealth Falcon ที่ได้ใช้ช่องทางนี้กับ Backdoor ของตนเพื่อลอบติดต่อกับเซิร์ฟเวอร์ ที่คาดว่าหลายองค์กรไม่ค่อยใส่ใจกับทราฟฟิคทางของ BITS เท่าไหร่นัก

สำหรับ Stealth Falcon นั้นเป็นกลุ่มแฮ็กเกอร์ระดับรัฐที่รายงานของ Citizen Lab องค์กรไม่แสวงหาผลกำไรด้านความมั่นคงปลอดภัยและสิทธิมนุษยชนได้ออกรายงานครั้งแรกในปี 2016 ว่ามุ่งโจมตีฝั่งตรงข้ามของ UAE โดยคาดว่าเริ่มเคลื่อนไหวมาตั้งแต่ปี 2012 แล้วด้วยซ้ำ พร้อมกับเครื่องมือ Backdoor ที่เขียนด้วย PowerShell อย่างไรก็ดีจากการวิเคราะห์ของ ESET ในรอบใหม่ก็ค่อนข้างแน่ใจว่าเป็นกลุ่มเดียวกันเพราะใช้โดเมนเดียวกันกับรอบก่อน รวมถึงยังมีการ Hardcoded เลข ID เอาไว้ด้วยเพียงแต่พัฒนามัลแวร์ด้วยคนละภาษากัน ดังนั้นจากนี้ต่อไปผู้ใช้งานทุกท่านก็ใส่ใจกับ BITS ให้มากขึ้นด้วยนะครับ

ที่มา :  https://www.zdnet.com/article/newly-discovered-cyber-espionage-malware-abuses-windows-bits-service/https://www.techtalkthai.com/found-stealth-falcon-campaign-abuse-windows-bits-to-connect-c2-server/?fbclid=IwAR1ghvliTSL5ZOk9lWv8pTK0Hy2ZhLFY-QwVAHkso91yLcz650BzTrxdGIw

Comments are closed.