Sandbox is a multipurpose HTML5 template with various layouts which will be a great solution for your business.

Contact Info

Moonshine St. 14/05
Light City, London
info@email.com
00 (123) 456 78 90

Learn More

Follow Us

แฮกเกอร์ชาวเกาหลีเหนือใช้มัลแวร์ RokRat ในการโจมตีประเทศที่เกี่ยวข้องกับเกาหลีใต้

Mar 11, 2025 Variya Kittiwattanachok

สรุปข้อมูล

พบกลุ่มแฮกเกอร์ APT37 หรือรู้จักในชื่อ ScarCruft, Reaper และ Red Eyes ที่ได้รับการสนับสนุนจากประเทศเกาหลีเหนือ มุ่งโจมตีไปยังหน่วยงานสาธารณสุขและอุตสาหกรรมต่าง ๆ เช่น เทคโนโลยี อิเล็กทรอนิกส์ ยานยนต์และการบิน ในประเทศเวียดนาม ญี่ปุ่น ตะวันออกกลาง โดยเฉพาะประเทศเกาหลีใต้ ผ่านการโจมตีรูปแบบ Email Phishing ที่มีไฟล์และ Script ที่อันตรายเพื่อใช้ในการติดตั้งมัลแวร์ RokRat ซึ่งเป็น Remote Access Trojan ที่สามารถรวบรวมข้อมูลบนระบบของเหยื่อและใช้ API ของ Cloud Service เป็นช่องทางติดต่อสื่อสารกับ C2 Server

รายละเอียดการโจมตี

A diagram of a computer system Description automatically generated

รูปที่ 1: ขั้นตอนการโจมตี

  1. การโจมตีเริ่มต้นจากแฮกเกอร์ส่ง Email Phishing พร้อมเอกสารที่ปลอมเป็นเอกสารเกี่ยวกับเหตุการณ์ระหว่างประเทศและข้อตกลงทางการค้าในรูปแบบไฟล์ ZIP ที่มีไฟล์ LNK อยู่ภายใน
  2. เมื่อเหยื่อเปิดไฟล์เอกสารอันตราย กลไกการโจมตีจะเริ่มขึ้นโดย Code ที่ฝังอยู่ในไฟล์ LNK นั้นจะใช้ Command เรียกใช้ PowerShell เพื่อดำเนินการดังนี้:
    • ตรวจสอบว่าไฟล์กำลังทำงานโดย System32 หรือ Program Files หากทำงานด้วยโฟลเดอร์ดังกล่าว จะย้ายไปที่ Directory “%temp%” และ Read ไฟล์โดยการค้นหาไฟล์ LNK ที่มีขนาด “0x0DD4B11F” Byte
    • เมื่อพบไฟล์ LNK แล้วจะทำการแยก Payload ออกจากไฟล์ข้างต้นโดยใช้ประโยชน์จาก Byte Offset และบันทึกลงใน Directory “%temp%” เช่น [.]hwpx, caption[.]dat, elephant[.]dat และ shark[.]bat
    • หลังจากแยกไฟล์สำเร็จ แฮกเกอร์จะทำการลบไฟล์ LNK เดิม ผ่าน Script ที่ฝังไว้
  3. ไฟล์ [.]hwpx จะทำหน้าที่เป็นเอกสารปลอมให้เหยื่อคิดว่ากำลังเปิดเอกสารปกติในระหว่างกระบวนการโจมตี ได้แก่
    • ไฟล์ Batch Script ชื่อ sharke[.]bat จะเรียกใช้ PowerShell เพื่อ Read ไฟล์ elephant[.]dat จาก Directory “%temp%” และโหลดลงในหน่วยความจำพร้อมสั่งทำงานโดย Invoke-Command
    • elephant[.]dat ทำการ Read ไฟล์ caption[.]dat ที่ถูก Encrypt ใน Directory “%temp%” และ Decrypt โดยใช้ Single-byte XOR Key “d”
    • เมื่อ Decrypt ไฟล์ caption[.]dat สำเร็จ Script จะโหลดฟังก์ชันที่ใช้ในการโจมตีจาก kernel32[.]dll เพื่อสั่งให้ Payload ทำงานในหน่วยความจำ นอกจากนี้ยังทำการ Allocate และสร้าง Thread ในหน่วยความจำสำหรับการรัน Payload ที่ถูก Decrypt เพิ่มเติม
  4. จากกระบวนการโจมตีดังกล่าว ShellCode ที่ถูก Decrypt จะทำการ Decrypt ไฟล์ Portable Executable (PE) ซึ่งเป็นมัลแวร์ RokRat และมัลแวร์ใช้ API ของ Cloud Service เช่น pCloud, Yandex และ Dropbox เป็นช่องทาง C2

ผลกระทบจากการโจมตี

การโจมตีโดยใช้มัลแวร์ RokRat ของกลุ่มแฮกเกอร์ APT37 ส่งผลให้แฮกเกอร์สามารถเข้าถึง รวบรวมและขโมยข้อมูล Sensitive ต่าง ๆ เช่น ข้อมูลของระบบ อย่าง เวอร์ชันของ OS ชื่อเครื่อง และข้อมูล Credential ในการเข้าสู่ระบบของผู้ใช้งาน รวมไปถึง Capture หน้าจอและบันทึกการใช้งานแป้นพิมพ์ นอกจากนี้แฮกเกอร์ยังสามารถทำการขยายขอบเขตการโจมตีต่อไปได้ เช่น การติดตั้งมัลแวร์เพิ่มเติมและโจมตีเครือข่ายที่เกี่ยวข้อง

สรุปการโจมตี

กลุ่มแฮกเกอร์ APT37 เริ่มการโจมตีโดยการส่ง Email Phishing พร้อมแนบไฟล์ ZIP ที่มีไฟล์ LNK อันตรายอยู่ภายใน เพื่อให้เหยื่อทำการเปิดไฟล์ขึ้นมา กลไกการโจมตีจะทำงานโดยไฟล์ LNK จะใช้ PowerShell Command เพื่อแยกไฟล์ที่ใช้ในการโจมตีออกมาจากไฟล์เดิม รวมไปถึงไฟล์ของมัลแวร์ RokRat ด้วย

คำแนะนำ

  • Awareness Training เรื่องรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น Phishing
  • เปิดใช้งาน Mail Gateway เพื่อป้องการอีเมลและลิงก์ที่อันตราย
  • จำกัดสิทธิ์หรือปิดการใช้งาน PowerShell Script จากภายนอกหากไม่จำเป็น
  • ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
  • อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
  • พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม

แหล่งอ้างอิง

hxxps://cybersecuritynews[.]com/north-korean-hackers-weaponizing-zip-files/

hxxps://zw01f[.]github[.]io/malware%20analysis/apt37/


Tags: RokRAT Phishing

เข้าร่วมเป็นส่วนหนึ่งในสมาชิกของเรา

สมัครสมาชิกเพื่อรับข่าวสารด้าน Cybersecurity ในทุกๆวัน ไม่พลาดอัปเดต และคำแนะนำต่างๆ