NCCIC ออกประกาศแจ้งเตือนการตรวจพบการโจมตีในวงกว้างหลายระบบและฝังมัลแวร์ PLUGX/SOGU และ REDLEAVES National Cybersecurity and Communications Integration Center (NCCIC) หนึ่งในหน่วยงานภายใต้ Department of Homeland Security (NHS) ออกประกาศแจ้งเตือนการโจมตีในวงกว้างที่เกี่ยวข้องกับหลายองค์กรและหลายระบบ ซึ่งน่าจะมีจุดเริ่มต้นย้อนกลับไปในได้ถึงในเดือนพฤษภาคม 2016 ที่ผ่านมา
เป้าหมายการโจมตีครั้งนี้อยู่ที่ระบบคอมพิวเตอร์และเครือข่ายของบริษัททั่วไปและบริษัทที่เป็นผู้ให้บริการทางด้านเทคโนโลยีสารสนเทศ
ลักษณะ เทคนิคและวิธีการโจมตีที่ผู้โจมตีใช้นั้น ในเบื้องต้น NCCIC ได้พูดถึงประเด็นการเข้าถึงข้อมูลที่เป็นรหัสผ่านหรือข้อมูลที่ใช้ในการยืนยันตัวเพื่อเข้าไปในระบบและดำเนินการฝังมัลแวร์เพื่อเข้าสู่ระบบอื่นๆ โดยวิธีการที่ผู้โจมตีใช้มักจะเป็นเครื่องมือบนภาษาสคริปต์ PowerShell เป็นหลัก
เมื่อมัลแวร์ที่ติดตั้งบนเครื่องของเหยื่อได้แล้ว มัลแวร์จะมีการติดต่อไปยังเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C2) โดยมีการเข้ารหัสข้อมูลที่มีการรับส่งกันด้วยอัลกอริธึมการเข้ารหัส RC4 ผ่านพอร์ต 443 ไปยังโดเมนปลายทางที่มีการเปลี่ยนหมายเลขไอพีอยู่ตลอดเวลา และในบังคับก็มีการเลียนแบบ C2 เป็นเว็บไซต์ของ Windows Update เพื่อให้สังเกตได้ยากขึ้น มัลแวร์ที่ผู้โจมตีมีการใช้งานนั้นบางส่วนยังไม่ถูกตรวจจับได้ด้วยวิธีการแบบ signature-based ทำให้ยังไม่สามารถระบุประเภทได้ แต่บางส่วนก็สามารถระบุประเภทได้โดยเป็นมัลแวร์ PLUGX/SOGU และ REDLEAVES อย่างไรก็ตาม NCCIC ยังตรวจพบมัลแวร์ที่รันอยู่บนหน่วยความจำอย่างเดียว (fileless) โดยไม่ทิ้งหลักฐานที่เป็นไฟล์อยู่บนเครื่องอีกด้วย
ตัวอย่างของ IOC สามารถตรวจสอบได้จากไฟล์ STIX และ xlsx รวมไปถึงรายละเอียดการวิเคราะห์มัลแวร์ในเบื้องต้นสามารถตรวจสอบได้จากลิงค์แหล่งที่มาด้านล่าง
ที่มา: us-cert.gov
You must be logged in to post a comment.