นักวิจัยด้านความปลอดภัยเปิดเผยรายละเอียดของ backdoor framework ที่ใช้ภาษา Python ชื่อ DEEP#DOOR ซึ่งมีความสามารถในการเข้าถึงระบบอย่างถาวรและขโมยข้อมูลสำคัญจากเครื่องที่ถูกโจมตี โดยจุดเริ่มต้นของการโจมตีมาจากการรันสคริปต์ batch (‘install_obf.bat’) ที่ปิดการทำงานของ Windows security controls และดึง Python payload ที่ซ่อนอยู่ (‘svc.py’) ออกมา พร้อมสร้าง persistence ผ่านหลายกลไก เช่น Startup folder, Registry Run keys, scheduled tasks และ WMI subscriptions

สิ่งที่ทำให้การโจมตีนี้โดดเด่นคือ Python implant ถูกฝังอยู่ใน dropper script โดยตรง ทำให้ไม่ต้องเชื่อมต่อกับโครงสร้างภายนอกบ่อยครั้งและลดร่องรอยทางนิติวิทยาศาสตร์ เมื่อทำงานแล้ว มัลแวร์จะเชื่อมต่อกับ ‘bore[.]pub’ ซึ่งเป็นบริการ tunneling แบบ Rust-based เพื่อให้ผู้โจมตีสามารถส่งคำสั่งต่างๆ เช่น reverse shell, keylogging, การขโมย credentials จากเบราว์เซอร์ (Chrome, Firefox), Windows Credential Manager, และ cloud credentials (AWS, Google Cloud, Azure) นอกจากนี้ยังมีความสามารถในการหลบเลี่ยงการตรวจจับ เช่น การตรวจสอบ sandbox, debugger, VM, การแก้ไข AMSI และ ETW, การปิด Microsoft Defender และการล้าง log

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• Backdoor – ช่องโหว่ที่ผู้โจมตีใช้เพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต
• Tunneling service – บริการที่ใช้ส่งข้อมูลผ่านเครือข่ายโดยเข้ารหัสและซ่อนการเชื่อมต่อ
• Persistence – กลไกที่ทำให้มัลแวร์ยังคงอยู่ในเครื่องแม้จะรีสตาร์ท
• Credentials – ข้อมูลรับรองตัวตน เช่น ชื่อผู้ใช้และรหัสผ่าน