แคสเปอร์สกี้ เปิดโปงกลุ่มAPT พุ่งเป้าองค์กรในอาเซียน-เกาหลี

22 พฤศจิกายน 2562 11:41 น.
แคสเปอร์สกี้ เปิดโปงกลุ่มAPT พุ่งเป้าองค์กรในอาเซียน-เกาหลี

รายงานด้านความปลอดภัยทางไซเบอร์จากแคสเปอร์สกี้ประจำไตรมาสที่ 3 ปี 2562ชี้ผู้บุกรุก (Attackers) ไล่ล่าข้อมูลสำคัญ ความลับข่าวกรองจากบรรดาธนาคารสถาบันการเงิน หน่วยงานราชการภาครัฐ ภาคการเงินและองค์กรด้านทหารและความมั่นคงแอนดรอยด์มัลแวร์ที่แฝงตัวมาในรูปแอปส่งข้อความโมบาย หรือแอปเงินดิจิทัล(cryptocurrency app) มีเป้าหมายคือกลุ่มคนและองค์กรที่ซื้อขายเงินดิจิทัล(cryptocurrency trader) โดยกลุ่มอาชญากรรมที่ใช้ APT (Advanced Persistent
Threat) นี้จะเปลี่ยนทูลอยู่บ่อยๆ เพื่อสกัดกั้นไม่ให้สถาบันการเงินจับได้ไล่ทันเกิดเป็นช่องโหว่

นอกจากนี้ยังมีกลุ่มย่อยของลาซารัส (Lazarus) ที่ก็ใช้ CVE-2017-10271 เพื่อเป็นตัวเจาะเข้าเวนเดอร์ด้านไซเบอร์ซิเคียวริตี้เพิ่มขึ้นมาอีกด้วยกลุ่มอาชญากรเหล่านี้มีเป้าหมายหลากหลายแตกต่างกัน แต่ทุกกลุ่มใช้ภาษาเกาหลี(Korean-speaking actors)เป็นตัวนำร่องลุยก่ออาชญากรรมในคาบสมุทรเกาหลีและภูมิภาคเอเชียตะวันออกเฉียงใต้ รายละเอียดฉบับเต็มสามารถอ่านได้ที่ Kaspersky’s APT Trends Reports Q32019

# KONNI และแก๊งก่อกวนคริปโตเคอเรนซี่แถบคาบสมุทรเกาหลีนักวิจัยของแคสเปอร์สกี้ตรวจพบความเคลื่อนไหวคึกคักทีเดียวของแอนดรอยด์มัลแวร์ ที่ใช้การแฝงตัวเป็นแอปส่งข้อความโมบายหรือแอปพลิเคชั่นเกี่ยวกับคริปโตเคอเรนซี่แคสเปอร์สกี้จับมือกับทีม CERT ของเกาหลีร่วมกันโค่นเซิร์ฟเวอร์ของอาชญากรลงได้เป็นผลสำเร็จและตรวจสอบมัลแวร์ตัวใหม่นี้ จึงได้พบความเชื่อมโยงกับคอนนิ (KONNI)

ซึ่งเป็นสายพันธุ์ของวินโดวส์มัลแวร์ที่เคยพบกันมาแล้วตอนนั้นได้ก่อกวนองค์กรด้านสิทธิ์มนุษยชนบุคคลมีชื่อเสียงที่เกี่ยวข้องหรือแสดงความสนใจกิจการด้านคาบสมุทรเกาหลีINTEL HUNT: Southeast Asia and Korea remain main targets of Korean-speaking APT groups

นอกจากนี้เป้าหมายที่ชัดเจนคือคริปโตเคอเรนซี่พอได้เหยื่อจะติดตั้งฟังก์ชั่นที่มีฟีเจอร์ครบทุกสิ่งที่ผู้ร้ายต้องการทันทีจากนั้นเข้าควบคุมเครื่องแอนดรอยด์ของเหยื่อและดูดข้อมูลคริปโตเคอเรนซี่ส่วนตัวไปได้ง่ายๆ

# BlueNoroff และสถาบันการเงินในเอเชียตะวันออกเฉียงใต้แคสเปอร์สกี้จับตาดูบลูโนรอฟฟ (BlueNoroff) ซึ่งกลุ่ม APT อันอื้อฉาวที่ชื่อ ลาซารัสใช้เป็นตัวเจาะเข้าสถาบันการเงิน โดยเมื่อไตรมาสที่ 3 ของปีนี้มีธนาคารในเมียนมาร์เป็นเหยื่อไปแล้ว
จากการที่บริษัทด้านไซเบอร์ซิเคียวริตี้ได้แจ้งเตือนสถาบันการเงิน ธนาคารต่างๆจึงช่วยให้นักวิจัยได้เบาะแสที่มีประโยชน์ชี้วิธีการที่ผู้เจาะเข้าระบบใช้ในการเคลื่อนย้ายตัวเมื่อเข้าระบบของสถาบันการเงินมาได้ โดยจะมุ่งหาโฮสต์ที่เก็บข้อมูลอันมีค่า ที่ทางธนาคารใช้ติดต่อทำธุรกรรมโอนเงินกับ SWIFT เป็นต้น

การสืบสวนของแคสเปอร์สกี้ยังได้เปิดโปงกลยุทธที่บลูโนรอฟฟติดตั้งใช้งานในการเป็นทางหนีทีไล่หลบเลี่ยงการตรวจจับ เช่น ใช้สคริปต์ Powershellและเปลี่ยนแปลงอยู่บ่อยๆ กลุ่มนี้ยังใช้ซอฟต์แวร์ที่มีความซับซ้อนซ่อนเขี้ยวเล็บสามารถรันไปได้เรื่อยๆ เงียบๆ ไม่ก่อเหตุใดๆ หรือเป็นตัวแบ็กดอร์ที่คอยทำงานลับหลังหรือเป็นทูลใช้ในการเจาะเข้าระบบตามคำสั่งในคอมมานด์ไลน์พารามิเตอร์เลยทีเดียว

Andariel APT และเวนเดอร์ซิเคียวริตี้เกาหลีใต้ยังมีกลุ่มย่อยของลาซารัสอีกกลุ่มที่ชื่อ แอนดาเรียล (Andariel)กลุ่มนี้พยายามสร้างโครงสร้าง C2 ขึ้นใหม่ โดยใช้ประโยชน์จาก CVE-2017-10271 เพื่อเจาะเข้าเป้าหมายเว็บโลจิกเซิร์ฟเวอร์ที่มีช่องโหว่
กลยุทธ์เช่นนี้ได้ผลอยู่หลังจากที่ผู้บุกรุกได้ทำการเจาะเป้าหมายได้เป็นผลสำเร็จโดยผู้เจาะเข้าไปได้ทำการติดตั้งมัลแวร์ที่ทิ้งลายเซ็นเอาไว้โดยที่ลายเซ็นนี้เป็นอัตลักษณ์เฉพาะตัวของเวนเดอร์ซิเคียวริตี้ซอฟต์แวร์ในเกาหลีใต้ซึ่งทางทีม CERT เกาหลีใต้ได้ดำเนินการยกเลิกได้ทันท่วงที

INTEL HUNT: Southeast Asia and Korea remain main targets of Korean-speaking APT groupsเมื่อมาพิจารณาถึงเรื่องการก่อจารกรรมจากเหตุทางภูมิศาสตร์การเมืองและข้อมูลการเงินในเกาหลีใต้ ก็ต้องพูดถึง แอนดาเรียลเป็นอีกตัวที่ใช้แบ็กดอร์ประเภทใหม่ล่าสุดที่ปลอมตัวเป็น ApolloZeusแบ็กดอร์ตัวนี้มีความซับซ้อน ใช้เชลล์โค้ดที่มีขนาดค่อนข้างใหญ่
จึงทำให้การวิเคราะห์ตรวจจับค่อนข้างยากลำบาก จากการตรวจสอบต่างๆแคสเปอร์สกี้พบว่า
การบุกรุกของกลุ่มเป็นขั้นตอนการเตรียมขั้นต้นสำหรับแคมเปญครั้งใหม่คอสติน ไรอู ผู้อำนวยการทีมวิเคราะห์และวิจัย (Global Research & AnalysisTeam) บริษัท แคสเปอร์สกี้ กล่าวเตือนว่า

“การเข้าโจมตีอย่างมีเป้าหมายชัดเจนเป็นสถาบันการเงินนี้เมื่อรวมกับการใช้เทคนิคที่มีความสลับซับซ้อนขั้นสูง ซึ่งเป็นรูปแบบที่เคยพบเห็นกระทำกันเฉพาะการโจมตีAPT เท่านั้น ด้วยการใช้โครงสร้างทั่วๆไปที่ใช้ในการซักฟอกทรัพย์สินที่ถูกโจรกรรมมาเท่านั้นเอง ในไตรมาสที่ 3เราสังเกตุพบผู้ปฏิบัติการโจมตีขั้นสูง เช่น Andariel และส่วนย่อยของ Lazarus พยายามเจาะเข้าธนาคาร และพยายามเข้าสถาบันการลงทุนและการแลกเปลี่ยนคริปโตเคอเรนซี่อีกด้วยเราจึงขอแนะนำบริษัททั้งหลายในภูมิภาคเอเชียแปซิฟิกให้เพิ่มความระวังป้องกันตัวการบุกรุกโจมตีในลักษณะดังกล่าว”

# DADJOKEและการโจมตีหน่วยงานภูมิศาสตร์การเมืองในเอเชียตะวันออกเฉียงใต้นอกไปจากกลุ่ม APT ภาษาเกาหลีที่กำลังออกอาละวาดในไตรมาส 3 ปีนี้แล้วทางแคสเปอร์สกี้ยังสังเกตุพบแคมเปญใหม่ที่ใช้ชิ้นส่วนของมัลแวร์ในชื่อแดดโจ๊ก
(DADJOKE) ออกล่าข้อมูลสำคัญและข่าวกรองต่างๆในภูมิภาคเอเชียตะวันออกเฉียงใต้เมื่อช่วงต้นปีนักวิจัยสังเกตุพบแคมเปญจำนวนหนึ่งที่ใช้มัลแวร์ตัวนี้เข้าโจมตีหน่วยงานภาครัฐทหาร และองค์กรระหว่างประเทศในเอเชียตะวันออกเฉียงใต้ความเคลื่อนไหวที่ตรวจพบล่าสุดเมื่อวันที่ 29 สิงหาคมเกี่ยวโยงกับบุคคลจำนวนหนึ่งที่ทำงานให้กับหน่วยงานด้านทหาร ซองซู พาร์ค นักวิจัยความปลอดภัยอาวุโส บริษัท แคสเปอร์สกี้ ให้ข้อมูลเสริมว่า“เราได้เน้นย้ำในรายงาน APT ประจำไตรมาส 2 ถึงแคมเปญ APT

INTEL HUNT: Southeast Asia and Korea remain main targets of Korean-speaking APT groupsที่มีเป้าหมายที่เกาหลีและบรรดาหน่วยงานต่างๆบุคคลผู้มีชื่อเสียงในเอเชียตะวันออกเฉียงใต้และเกาหลี และก็เป็นจริงตามคาดการณ์เราตรวจพบการดำเนินร้ายมุ่งร้ายหลายอย่างของกลุ่ม APTที่ใช้ภาษาเกาหลีในทั้งสองภูมิภาคนี้ ตั้งแต่เดือนกรกฎาคมจนถึงเดือนกันยายนในปีนี้จากการสังเกตการณ์ของเราพบว่า ส่วนมากตามล่าข้อมูลลับ ข้อมูลสำคัญ

ด้านการเงินและล้วงความลับข่าวกรองด้านภูมิศาสตร์การเมือง”ท่านสามารถอ่านรายงานทิศทาง APT ประจำไตรมาส 3 ฉบับสมบูรณ์ได้ที่ https://securelist.com/apt-trends-report-q3-2019/94530/

 

 

แท็กที่เกี่ยวกับข่าว