Merlin ซึ่งใช้ประโยชน์จาก Open Source

พบผู้ไม่ประสงค์ดีใช้เครื่องมือ Merlin ซึ่งใช้ประโยชน์จาก Open Source เพื่อทำการโจมตี 

By admin News

ยูเครนแจ้งเตือนเรื่องการโจมตีรูปแบบใหม่ที่กำหนดเป้าหมายไปยังองค์กรรัฐต่างๆ
โดยใช้เครื่องมือ Merlin ซึ่งเป็น Open Source หลังการใช้ประโยชน์จากคําสั่งและการ Control Framework  

Merlin เป็นชุดเครื่องมือที่ใช้ภาษาโปรแกรม Go ซึ่งสามารถใช้งานได้หลายแพลตฟอร์ม โดยสามารถ      
ดาวน์โหลดฟรีได้ผ่าน GitHub และยังมีเอกสารประกอบอย่างครบถ้วนสำหรับผู้เชี่ยวชาญด้านความปลอดภัย          เพื่อใช้ในการฝึกซ้อมของ Red Team  

  • การสนับสนุน HTTP/1.1 ผ่านทาง TLS และ HTTP/3 (HTTP/2 ผ่าน QUIC)
    ใช้สำหรับการสื่อสารCommand and Control 
  • การเข้ารหัสสำหรับรับส่งข้อมูลด้วย PBES2 (RFC 2898) และ AES Key Wrap (RFC 3394) 
  • OPAQUE Asymmetric Password Authenticated Key Exchange (PAKE) และ Encrypted JWT สำหรับการยืนยันตัวตนของผู้ใช้ 
  • สนับสนุนเทคนิคการทำ Shellcode Execution เช่น CreateThread, CreateRemoteThread, RtlCreateUserThread, และ QueueUserAPC 
  • การใช้ Domain Fronting เพื่อหลีกเลี่ยงการตรวจสอบของเน็ตเวิร์ค 
  • การรวม Donut, sRDI, และ SharpGen ให้เข้ากับเครื่องมือที่ใช้ 
  • การเปลี่ยนแปลงแบบ Dynamic Change ใน JA3 hash ซึ่งใช้การเติมข้อความในการสื่อสาร C2 เพื่อหลีกเลี่ยงการตรวจสอบ 

เครื่องมือ Sliver และ Merlin ถูกนำมาใช้ในการโจมตี โดยผู้ไม่ประสงค์ดีได้ใช้ Merlin
เพื่อเพิ่มประสิทธิภาพและการเผยแพร่ผ่านเครือข่ายที่ถูกโจมตี 

หน่วยงานด้านความปลอดภัย CERT-UA รายงานว่าได้ตรวจพบ Merlin ในการโจมตี โดยใช้อีเมลฟิชชิ่ง             
ที่แอบอ้างเป็นบุคคลขององค์กรซึ่งใช้เมล์ชื่อ [email protected]
ส่งผลให้ผู้รับมีความเชื่อมั่นและทำตามคำแนะนำ ที่ให้มาในอีเมล์ 

อีเมลล์นี้แนบไฟล์ประเภท CHM ถ้าถูกเปิดจะทำการเรียกใช้โค้ด JavaScript และ PowerShell                        
เพื่อดาวน์โหลดและถอดรหัสโดยทำการบีบอัดไฟล์ GZIP ที่มีไฟล์ Ctlhost.exe ซึ่งหากผู้ที่ได้รับเมล์เปิดไฟล์ คอมพิวเตอร์ของผู้ใช้ก็จะติดไวรัส MerlinAgent ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลในเครื่องคอมพิวเตอร์ของผู้ใช้ได้ 

หน่วยงานด้านความปลอดภัย CERT-UA ได้กำหนดให้ภัยคุกคามนี้มีตัวระบุคือ UAC-0154 โดยการโจมตี          
ครั้งแรกถูกบันทึกไว้เมื่อวันที่ 10 กรกฎาคม พ.ศ.2566 ที่ผู้ไม่ประสงค์ดีใช้การโจมตีแบบฟิชชิ่งเพื่อขโมยข้อมูลจากผู้ใช้ โดยการใช้เครื่องมือ Merlin เพื่อโจมตีหน่วยงานของรัฐหรือองค์กรทำให้ระบุตัวผู้โจมตียากขึ้น  

คำแนะนำ 

  • ไม่ควรเปิดอ่านอีเมลล์ที่ไม่ทราบแหล่งที่มา 
  • ไม่ควรคลิกลิงก์ที่ไม่ทราบแหล่งที่มา 
  • ควรอัปเดตซอฟต์แวร์และรักษาความปลอดภัยให้เป็นเวอร์ชันล่าสุดอยู่เสมอ 
  • Full scan เครื่องคอมพิวเตอร์เป็นประจำเพื่อตรวจสอบภัยคุกคาม 

REF: https://www.bleepingcomputer.com/news/security/hackers-use-open-source-merlin-post-exploitation-toolkit-in-attacks/ 

Share