หน่วยงานด้านความปลอดภัยทางไซเบอร์จากสหรัฐอเมริกาได้เปิดเผยมัลแวร์ตัวใหม่ที่ใช้โดยกลุ่ม APT ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านในการโจมตีที่มุ่งเป้าไปยังรัฐบาล และเครือข่ายการค้าทั่วโลก
ข้อมูลนี้ได้รับการยืนยันเช่นเดียวกันจากสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) กองกำลังปฏิบัติการทางไซเบอร์แห่งชาติของสหรัฐฯ (CNMF) และศูนย์ความมั่นคงทางไซเบอร์แห่งชาติ (NCSC)
ในปีนี้กลุ่ม MuddyWater ถูกเปิดเผยว่ากำลังดำเนินการภายใต้ปฏิบัติการของกระทรวงข่าวกรอง และความมั่นคงของอิหร่าน (MOIS) ที่มุ่งเป้าไปยังองค์กรภาครัฐ และเอกชนหลายราย รวมถึงผู้ให้บริการโทรคมนาคม การป้องกันประเทศ รัฐบาลท้องถิ่น และภาคอุตสาหกรรมน้ำมัน และก๊าซธรรมชาติ ในเอเชีย แอฟริกา ยุโรป และอเมริกาเหนือ
กลุ่ม MuddyWater ยังเป็นที่รู้จักภายใต้ชื่อ Earth Vetala, MERCURY, Static Kitten, Seedworm และ TEMP.Zagros โดยมีเป้าหมายในการโจมตีทางไซเบอร์เพื่อสนับสนุนวัตถุประสงค์ของ MOIS มาตั้งแต่ปี 2018
นอกจากการใช้ประโยชน์จากช่องโหว่ต่างๆที่ถูกเปิดเผยออกมาแล้ว กลุ่มแฮ็กเกอร์ยังใช้เครื่องมือที่สร้างขึ้นมาเพื่อเข้าถึงข้อมูลที่สำคัญ มีการใช้แรนซัมแวร์ และพยายามซ่อนตัวอยู่ภายในเครือข่ายของเหยื่อให้ได้นานที่สุด
จากการวิเคราะห์โดยทีมผู้เชี่ยวชาญจาก Cisco Talos เมื่อเดือนที่ผ่านมาก็พบว่ามีการใช้มัลแวร์ที่ไม่เคยถูกพบมาก่อนโดยมีเป้าหมายไปยังองค์กรภาคเอกชน และสถาบันของรัฐในตุรกี ผ่านทาง Backdoor PowerShell
เหตุการณ์ล่าสุดที่ถูกเปิดเผยออกมาโดยหน่วยงานข่าวกรองนั้นก็ไม่แตกต่างกัน พวกเขาใช้สคริปต์ PowerShell ที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับ เพื่อปกปิดส่วนที่เป็นอันตรายที่สุดของการโจมตี รวมถึงฟังก์ชันคำสั่ง และการควบคุมผ่าน C2
การโจมตีใช้แคมเปญ spear-phishing เพื่อพยายามหลอกลวงให้เป้าหมายดาวน์โหลดไฟล์ ZIP ซึ่งด้านในมีไฟล์ Excel ที่มีมาโครที่เป็นอันตรายซึ่งจะใช้ติดต่อสื่อสารกับเซิร์ฟเวอร์ C2 ของผู้โจมตี หรือใช้ไฟล์ PDF ที่จะ drop payload ที่เป็นอันตรายไปยังเครื่องของเหยื่อ
“นอกจากนี้ กลุ่มผู้โจมตียังมัลแวร์หลายชนิด เช่น PowGoop, Small Sieve, Canopy/Starwhale, Mori และ POWERSTATS — ในการติดตั้งมัลแวร์ การเข้าถึงแบ็คดอร์ การซ่อนตัวอยู่ในระบบ และการขโมยข้อมูลออกไป” FBI, CISA, CNMF และ NCSC กล่าว
ในขณะที่ PowGoop ทำหน้าที่เป็น loader สำหรับการดาวน์โหลดสคริปต์ PowerShell, Small Sieve เป็น Python-based ที่ใช้สำหรับการพยายามฝังตัวอยู่บนระบบของเหยื่อ และใช้ช่องทางของ Telegram API สำหรับการสื่อสารกับ C2 เพื่อหลีกเลี่ยงการตรวจจับ
มัลแวร์อื่นๆ เช่น Canopy ซึ่งเป็น Windows Script File (.WSF) ที่ใช้ในการรวบรวม และส่งข้อมูล metadata ของเหยื่อเพื่อส่งไปยังผู้โจมตี และสุดท้ายแบ็คดอร์สองตัวที่ชื่อว่า Mori และ POWERSTATS ใช้ในการรันคำสั่งที่ได้รับจาก C2 และแอบฝังตัวอยู่บนเครื่องของเหยื่อเพื่อเป็นช่องทางในการเข้าถึงได้ในครั้งถัดไป
คำแนะเพื่อสร้างป้องกันการโจมตีที่อาจเกิดขึ้น แนะนำให้องค์กรใช้การพิสูจน์ตัวตนแบบ multi-factor authentication กับทุกๆระบบที่สามารถทำได้ จำกัดการใช้สิทธิ์ของผู้ดูแลระบบ ใช้อุปกรณ์ป้องกันอีเมลฟิชชิ่ง และให้ความสำคัญกับการแก้ไขช่องโหว่ของระบบ
ที่มา : thehackernews
You must be logged in to post a comment.