กลุ่มภัยคุกคามก่อนหน้านี้เกี่ยวข้องกับโทรจันการเข้าถึงระยะไกล (RAT) ของ ShadowPad ที่มีชื่อเสียง ถูกสังเกตว่าใช้แพ็คเกจซอฟต์แวร์ยอดนิยมรุ่นเก่าและล้าสมัยเพื่อโหลดมัลแวร์ในระบบที่เป็นของรัฐบาลเป้าหมายและองค์กรป้องกันหลายแห่งในเอเชีย
เหตุผลในการใช้ซอฟต์แวร์ที่ถูกกฎหมายเวอร์ชันที่ล้าสมัยเป็นเพราะพวกเขาอนุญาตให้ผู้โจมตีใช้วิธีการที่รู้จักกันดีซึ่งเรียกว่าการไซด์โหลดไดนามิกลิงก์ไลบรารี (DLL) เพื่อดำเนินการเพย์โหลดที่เป็นอันตรายบนระบบเป้าหมาย ผลิตภัณฑ์เดียวกันเวอร์ชันปัจจุบันส่วนใหญ่ป้องกันเวกเตอร์โจมตี ซึ่งโดยพื้นฐานแล้วเกี่ยวข้องกับผู้ไม่หวังดีที่ปลอมแปลงไฟล์ DLL ที่เป็นอันตรายเป็นไฟล์ที่ถูกต้องและวางลงในไดเร็กทอรีที่แอปพลิเคชันจะโหลดและเรียกใช้ไฟล์โดยอัตโนมัติ
นักวิจัยจากทีม Symantec Threat Hunter ของ Broadcom Software ได้สังเกต ชาโดว์แพด- กลุ่มภัยคุกคามที่เกี่ยวข้องกับการใช้กลวิธีในการรณรงค์จารกรรมทางไซเบอร์ เป้าหมายของกลุ่มจนถึงตอนนี้รวมถึงสำนักนายกรัฐมนตรี องค์กรของรัฐที่เชื่อมโยงกับภาคการเงิน บริษัทด้านการป้องกันประเทศและการบินและอวกาศของรัฐบาล และบริษัทโทรคมนาคม ไอที และสื่อของรัฐ การวิเคราะห์ของผู้จำหน่ายระบบรักษาความปลอดภัยแสดงให้เห็นว่าแคมเปญนี้ดำเนินไปอย่างน้อยตั้งแต่ต้นปี 2021 โดยมีข่าวกรองเป็นเป้าหมายหลัก
กลยุทธ์การโจมตีทางไซเบอร์ที่รู้จักกันดี แต่ประสบความสำเร็จ
“การใช้ แอปพลิเคชันที่ถูกต้องตามกฎหมายเพื่ออำนวยความสะดวกในการไซด์โหลด DLL ดูเหมือนว่าจะมีแนวโน้มเพิ่มขึ้นในหมู่นักจารกรรมที่ปฏิบัติงานในภูมิภาค” ไซแมนเทคกล่าวในรายงานในสัปดาห์นี้ เป็นกลยุทธ์ที่น่าสนใจเนื่องจากเครื่องมือป้องกันมัลแวร์มักไม่พบกิจกรรมที่เป็นอันตราย เนื่องจากผู้โจมตีใช้แอปพลิเคชันเก่าสำหรับการโหลดด้านข้าง
“นอกเหนือจากอายุของแอปพลิเคชันแล้ว สิ่งที่พบบ่อยอื่นๆ ก็คือพวกเขาทั้งหมดเป็นชื่อที่ค่อนข้างเป็นที่รู้จักและอาจดูไม่มีพิษมีภัย” อลัน เนวิลล์ นักวิเคราะห์ข่าวกรองภัยคุกคามจากทีมนักล่าภัยคุกคามของไซแมนเทคกล่าว
ความจริงที่ว่ากลุ่มที่อยู่เบื้องหลังการรณรงค์ในปัจจุบันในเอเชียกำลังใช้กลยุทธ์นี้แม้ว่าจะเข้าใจดีว่าเทคนิคนี้ให้ผลสำเร็จอยู่บ้างก็ตาม ไซแมนเทคกล่าว
เนวิลล์กล่าวว่าบริษัทของเขาไม่ได้สังเกตว่าเมื่อเร็วๆ นี้ผู้คุกคามใช้กลยุทธ์นี้ในสหรัฐอเมริกาหรือที่อื่นๆ “เทคนิคนี้ส่วนใหญ่ใช้โดยผู้โจมตีที่มุ่งเน้นไปที่องค์กรในเอเชีย” เขากล่าวเสริม
เนวิลล์กล่าวว่าในการโจมตีส่วนใหญ่ในแคมเปญล่าสุด ผู้คุกคามใช้ยูทิลิตี้ PsExec Windows ที่ถูกต้องสำหรับ รันโปรแกรมบนระบบระยะไกล เพื่อดำเนินการไซด์โหลดและปรับใช้มัลแวร์ ในแต่ละกรณี ผู้โจมตีได้บุกรุกระบบที่ติดตั้งแอปเก่าที่ถูกกฎหมายไว้ก่อนหน้านี้แล้ว
“[โปรแกรม] ได้รับการติดตั้งบนคอมพิวเตอร์ที่ถูกบุกรุกแต่ละเครื่องที่ผู้โจมตีต้องการเรียกใช้มัลแวร์ ในบางกรณี อาจเป็นคอมพิวเตอร์หลายเครื่องในเครือข่ายของเหยื่อรายเดียวกัน” เนวิลล์กล่าว ในกรณีอื่นๆ ไซแมนเทคยังสังเกตเห็นว่าพวกเขาปรับใช้แอปพลิเคชันที่ถูกต้องตามกฎหมายหลายตัวในเครื่องเดียวเพื่อโหลดมัลแวร์ เขากล่าวเสริม
“พวกเขาใช้ซอฟต์แวร์ค่อนข้างหลากหลาย รวมถึงซอฟต์แวร์รักษาความปลอดภัย ซอฟต์แวร์กราฟิก และเว็บเบราว์เซอร์” เขากล่าว ในบางกรณี นักวิจัยของไซแมนเทคยังสังเกตเห็นว่าผู้โจมตีใช้ไฟล์ระบบที่ถูกต้องจากระบบปฏิบัติการ Windows XP เดิมเพื่อเปิดใช้งานการโจมตี
Logdatter ช่วงของเพย์โหลดที่เป็นอันตราย
หนึ่งในเพย์โหลดที่เป็นอันตรายคือตัวขโมยข้อมูลตัวใหม่ที่มีชื่อว่า Logdatter ซึ่งช่วยให้ผู้โจมตีสามารถบันทึกการกดแป้นพิมพ์ ถ่ายภาพหน้าจอ สืบค้นฐานข้อมูล SQL ป้อนรหัสโดยอำเภอใจ และดาวน์โหลดไฟล์ เหนือสิ่งอื่นใด เพย์โหลดอื่นๆ ที่ผู้ก่อภัยคุกคามใช้ในแคมเปญเอเชีย ได้แก่ โทรจันที่ใช้ PlugX, RAT สองตัวที่ขนานนามว่า Trochilus และ Quasar และเครื่องมือแบบใช้สองทางที่ถูกกฎหมายหลายตัว ซึ่งรวมถึง Ladon กรอบการทดสอบการเจาะระบบ FScan และ NBTscan สำหรับสแกนสภาพแวดล้อมของเหยื่อ
เนวิลล์กล่าวว่าไซแมนเทคไม่สามารถระบุได้อย่างแน่นอนว่าผู้คุกคามอาจเข้าถึงสภาพแวดล้อมเป้าหมายได้อย่างไร แต่การฟิชชิงและการกำหนดเป้าหมายตามโอกาสของระบบที่ไม่ได้แพตช์นั้นน่าจะเป็นเวกเตอร์
“อีกทางหนึ่ง การโจมตีห่วงโซ่อุปทานของซอฟต์แวร์ไม่ได้อยู่นอกขอบเขตของผู้โจมตีเหล่านี้ เนื่องจากผู้ที่สามารถเข้าถึง ShadowPad ได้ เป็นที่ทราบกันดีว่าได้ทำการโจมตีห่วงโซ่อุปทาน ในอดีต” เนวิลล์ตั้งข้อสังเกต เมื่อผู้คุกคามเข้าถึงสภาพแวดล้อมได้ พวกเขามักจะใช้เครื่องมือสแกนต่างๆ เช่น NBTScan, TCPing, FastReverseProxy และ Fscan เพื่อค้นหาระบบอื่นที่จะกำหนดเป้าหมาย
เพื่อป้องกันการโจมตีประเภทนี้ องค์กรจำเป็นต้องนำกลไกมาใช้ในการตรวจสอบและควบคุมซอฟต์แวร์ที่อาจทำงานบนเครือข่ายของตน พวกเขาควรพิจารณาใช้นโยบายที่อนุญาตเฉพาะแอปพลิเคชันที่อนุญาตพิเศษให้ทำงานในสภาพแวดล้อม และจัดลำดับความสำคัญของการแพตช์ช่องโหว่ในแอปพลิเคชันที่เปิดเผยต่อสาธารณะ
“เรายังแนะนำให้ดำเนินการทันทีเพื่อทำความสะอาดเครื่องจักรที่แสดงสัญญาณของการประนีประนอม” เนวิลล์แนะนำ “… รวมถึงข้อมูลรับรองการขี่จักรยานและปฏิบัติตามกระบวนการภายในองค์กรของคุณเพื่อทำการตรวจสอบอย่างละเอียด”
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
