เราทราบกันดีอยู่แล้วว่าการแพร่กระจายของ malware เป็นไปได้หลายทาง แต่ทางที่มักเจอกันมากก็คือการแพร่กระจายผ่านเอกสาร ซึ่ง Zyklon malware ก็เป็นหนึ่งในนั้น แต่ประเด็นก็คือ Zyklon นั้นมีการพัฒนาอย่างต่อเนื่องมากและถือเป็น malware อีกตัวหนึ่งที่มีการติดต่อโดยระบุ IP เป็นแบบ dotless

นักวิจัยจาก FireEye กล่าวว่าพบการแพร่กระจาย malware ที่ชื่อว่า Zyklon ซึ่งเป็น malware ที่มีมาตั้งแต่ 2 ปีก่อน แต่ก็มีการพัฒนามาเรื่อยๆ มักจะมุ่งเป้าการโจมตีไปที่บริษัท Telecom, ประกัน และ Finance

ตัว Zyklon นั้นเริ่มโจมตีตั้งแต่ปี 2016 ทาง Zyklon นั้นเป็น malware ที่เป็น HTTP Botnet รับคำสั่งผ่าน Tor Network และอนุญาตให้ attacker สามารถเข้าไปขโมย keylog, ข้อมูลสำคัญเช่น password ที่เก็บไว้ใน browser และ email client จากระยะไกลได้ หนำซ้ำยังสามารถโจมตีเพิ่มเติมด้วยการไป DDoS คนอื่นหรือกระทำการฝัง cryptocurrency mining ก็สามารถทำได้เช่นกัน โดยตัว Zyklon นั้นมีราคาขายอยู่ที่ 75 เหรียญสำหรับการสร้างแบบปกติ และ $125 สำหรับการใช้งานผ่าน Tor network

ประเด็นคือ Zyklon นั้นมีการแพร่กระจายที่น่าสนใจคือการ execute powershell script ผ่าน Microsoft Office ซึ่งช่องโหว่ที่ใช้มี 3 ตัวด้วยกันคือ

1) .NET Framework RCE Vulnerability (CVE-2017-8759)

2) Microsoft Office RCE Vulnerability (CVE-2017-11882)

3) Dynamic Data Exchange Protocol (DDE Exploit)

เมื่อ document ถูกเปิดจะกระทำการ run powershell script ทันที เพื่อไป download Final payload  โดยการเชื่อมต่อของ powershell นั้นจะเป็นการติดต่อไปยัง IP แบบที่เป็น dotless หมายความเป็น IP ที่ไม่มี ‘.’ เช่น http://3627732942 แต่จริงๆแล้วคือ http://216.58.207.206 เป็นต้น

จะเห็นว่าผู้พัฒนา Malware นั้นมีการ update ตัวเองอยู่เสมอ ดังนั้นหากเป็นไปได้ก็แนะนำให้หมั่น update software ของเราให้ใหม่สุดเสมอเพื่อป้องกันการโจมตีใดๆที่อาจเกิดขึ้นได้เช่นกันครับ

Source:: FireEye,IP Converter