นักวิจัยจาก Trend Micro ค้นพบว่า Andariel กลุ่ม Hacker ที่มีความเชื่อมโยงกับเกาหลีเหนือ ได้มีการพัฒนา script ซึ่งเมื่อไม่กี่เดือนก่อนหน้านี้พบว่าถูกใช้ในการระบุเครื่องเป้าหมาย(Reconnaissance) ที่มีช่องโหว่ zero-day ของ ActiveX object เพื่อโจมตี
เมื่อปลายเดือนมิถุนายนที่ผ่านมา ได้พบว่ามีการฝัง script บนเว็ปไซต์ 4 แห่งในเกาหลีใต้ คาดว่าจุดมุ่งหมายน่าจะเป็นการระบุเครื่องเป้าหมายที่มีช่องโหว่เพื่อทำการโจมตี จากการตรวจสอบ script นักวิจัยพบว่ามีความคล้ายคลึงกับ script ที่เคยถูกใช้โดยกลุ่มที่มีชื่อ "Andariel" โดยถูกใช้เพื่อค้นหาเป้าหมายที่ใช้ Internet Explorer(IE) และมีช่องโหว่ของ ActiveX object แต่ script ที่พบล่าสุดนี้มีความแตกต่างออกไปจากของเดิม โดยนักวิจัยพบว่าได้มีการเพิ่ม ActiveX object เข้าไปอีก 2 รายการ ได้แก่ "DSDOWNCTRL.DSDownCtrlCtrl.1" (เกี่ยวข้องกับการทำงานของ Digital rights management) และ "WSACTIVEBRIDGEAX.WSActiveBridgeAXCtrl.1" (เกี่ยวข้องกับ voice conversion software ของเกาหลีใต้ ที่ถูกใช้ในองค์กรสาธารณะ และหน่วยงานของรัฐ) นอกจากนี้ยังสามารถค้นหาเครื่องเป้าหมายที่มีการใช้งาน browser เป็น Chrome และ Firefox ได้ด้วย จากการค้นพบนี้ทำให้นักวิจัยเชื่อว่า hacker กลุ่มนี้น่าจะมีความพยายามที่จะเพิ่มขนาดเป้าหมายการโจมตี โดยการเน้นไปที่ตัว software มากขึ้น นอกเหนือจากการใช้ช่องโหว่ของ ActiveX เพียงอย่างเดียว
ทั้งนี้เทคนิคที่ hacker กลุ่มนี้ใช้เรียกว่า "watering-hole attacks" คือการที่ผู้โจมตีได้ทำการระบุกลุ่มเป้าหมายที่ต้องการไว้ก่อน จากนั้นจึงเตรียมการโดยยึดเว็ปไซต์ที่คาดว่าเป้าหมายจะเข้าไปใช้งานแน่ๆ แล้วฝัง script บางอย่างลงไป เพื่อนำไปสู่การโจมตีในขั้นตอนต่อไป เปรียบเสมือนผู้ล่าที่จะไปดักรอเหยื่อที่แหล่งน้ำ(Waterhole) เพราะคิดว่ายังไงเหยื่อต้องมากินน้ำแน่ๆ
รายงานฉบับเต็ม: https://blog.trendmicro.com/trendlabs-security-intelligence/new-andariel-reconnaissance-tactics-hint-at-next-targets/
ที่มา:Threatpost
You must be logged in to post a comment.