ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการวิเคราะห์มัลแวร์ Bookworm ซึ่งมุ่งเป้าโจมตีองค์กรในประเทศไทยโดยเฉพาะหน่วยงานภาครัฐมาเป็นเวลาเกือบทศวรรษ โดยผู้โจมตี (threat actor) ยังคงมีการปรับปรุงเทคนิคการโจมตีอย่างต่อเนื่อง
มัลแวร์ Bookworm ถูกค้นพบครั้งแรกในปี พ.ศ. 2558 โดยกลุ่มนักวิจัยจากบริษัท Palo Alto Networks ซึ่งระบุว่ามัลแวร์ดังกล่าวมีรูปแบบการทำงานที่ซับซ้อนในลักษณะของ modular architecture และถูกใช้เพื่อบรรลุวัตถุประสงค์ด้านการจารกรรมข้อมูลทางไซเบอร์ (cyber espionage) โดยมีเป้าหมายเจาะจงประเทศไทยโดยเฉพาะ
นับจากปี พ.ศ. 2558 ไม่ปรากฏว่ามีรายงานใดที่พูดถึงมัลแวร์ดังกล่าวอีก จนกระทั่งเดือนพฤศจิกายน พ.ศ. 2565 TTC-CERT ได้รับมอบไฟล์ต้องสงสัยจากหน่วยงานด้านความมั่นคงแห่งหนึ่งในประเทศไทยและตรวจพบว่าไฟล์ดังกล่าวคือมัลแวร์ Bookworm ซึ่งมีการเปลี่ยนแปลง Techniques, Tactics, and Procedures (TTPs) ในช่วงต้นของการโจมตีไปจากของเดิมเมื่อปี พ.ศ. 2558 เป็นอย่างมาก
ผู้โจมตีใช้ธีมที่เกี่ยวข้องกับ Microsoft Assistant ในการลวงเหยื่อ โดยใช้ไฟล์ประเภท Microsoft Windows Installer (.msi) ในการแพร่กระจายมัลแวร์ ซึ่งเมื่อถูก execute จะทำการเรียกใช้งาน powershell script ที่ฝังอยู่ภายในโครงสร้างของไฟล์เพื่อส่งบีคอน (beacon) กลับไปยัง command and control (C2)
ต่อมามัลแวร์จะสร้าง schedule task ชื่อ MicrosoftAssistantUpdateTaskMachine เพื่อสร้างความสามารถด้าน persistence mechanism รวมถึงใช้ประโยชน์ในการเพิ่มสิทธิ์ให้ทำงานในระดับ SYSTEM และหลังจากนั้นมัลแวร์จึงจะทำการสร้างไฟล์ payload ลงบนเครื่องคอมพิวเตอร์ โดยหนึ่งในไฟล์ payload เป็นไฟล์ประเภท Dynamic-link library (DLL) ซึ่งจะถูกใช้ในการโจมตีด้วยเทคนิคที่เรียกว่า DLL Side-loading โดยไฟล์ DLL ดังกล่าวมีการฝัง shellcode ซึ่งถูกเข้ารหัส (obfuscate) เอาไว้ในรูปแบบของ Universally Unique IDentifier (UUID)
เมื่อไฟล์ DLL ถูกโหลดเข้าสู่หน่วยความจำหลัก (RAM) แล้วจะทำการ deobfuscate ข้อมูล UUID shellcode ก่อนจะทำการ execute โดยใช้เทคนิคที่เรียกว่า Callback Shellcode Injection และหลังจากนั้น shellcode จะทำหน้าที่ในการ decrypt ไฟล์ payload ในลำดับที่ 2 โดยใช้อัลกอริทึม Rivest Cipher 4 (RC4) และต่อมาไฟล์ payload ในลำดับที่ 2 จะทำหน้าที่ในการ decrypt และ inject ไฟล์ payload อื่น ๆ อีกเป็นจำนวนมากและเริ่มดำเนินการโจมตีในลำดับต่อไป ซึ่งกระบวนการโจมตีทั้งหมดที่เกิดขึ้นนับตั้งแต่ UUID shellcode เริ่มต้นทำงาน จะถูกดำเนินการอยู่ภายในหน่วยความจำหลัก (RAM) เท่านั้นโดยที่ไม่มีการสร้างไฟล์ใด ๆ เพิ่มเติมลงบนเครื่องคอมพิวเตอร์เลย
TTC-CERT ได้เผยแพร่ข้อมูล Indicators of Compromise (IOCs) และ TTPs ของมัลแวร์ Bookworm รวมถึงวิธีการในการตรวจจับการโจมตีผ่าน sigma rule และ YARA rule ซึ่งผู้อ่านสามารถตรวจสอบได้จากรายงานการวิเคราะห์มัลแวร์ Bookworm
ที่มา - TTC-CERT, รายงานการวิเคราะห์มัลแวร์ Bookwork
แผนภาพ (diagram) แสดงภาพรวมการทำงานของมัลแวร์ Bookworm ในช่วงเริ่มต้นของ Chain of Infection