แฮ็คเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลจีนได้โจมตีหน่วยงานออกใบรับรองดิจิทัล ตลอดจนรัฐบาล และหน่วยงานด้านความมั่นคงที่ตั้งอยู่ในประเทศต่าง ๆ ในเอเชีย ซึ่งคาดว่าเป็นส่วนหนึ่งของแผนปฏิบัติการที่ดำเนินการมาตั้งแต่เดือนมีนาคม 2565
Symantec ระบุว่าการโจมตีดังกล่าวมาจากกลุ่ม Billbug โดยสังเกตจากเครื่องมือที่ใช้ในการโจมตี โดยกลุ่ม Billbug หรือที่รู้จักกันในชื่อ Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon และ Thrip เป็นกลุ่ม APT ที่เชื่อว่าดำเนินการภายใต้การควบคุมจากรัฐบาลจีน โดยมีเป้าหมายหลัก ได้แก่ รัฐบาล และองค์กรทางทหารในเอเชียตะวันออกเฉียงใต้
โดยการโจมตีที่เกิดขึ้นในปี 2562 เป็นการใช้แบ็คดอร์อย่าง Hannotog และ Sagerunex ในการโจมตี ฮ่องกง มาเก๊า อินโดนีเซีย มาเลเซีย ฟิลิปปินส์ และเวียดนาม โดยแบ็คดอร์ทั้ง 2 ตัวถูกออกแบบมาเพื่อใช้สำหรับเข้าถึงเครือข่ายของเหยื่อจากระยะไกลได้ตลอดเวลา รวมไปถึงยังมีการใช้มัลแวร์ขโมยข้อมูลอย่าง Catchamas เพื่อใช้ในการขโมยข้อมูลที่มีความสำคัญ
ส่วนผู้ที่ตกเป็นเหยื่อในการโจมตีครั้งนี้ประกอบไปด้วยหน่วยงานออกใบรับรองดิจิทัล รวมไปถึงรัฐบาล และหน่วยงานด้านความมั่นคงในประเทศต่าง ๆ ในเอเชีย
โดยการกำหนดเป้าหมายเป็นหน่วยงานออกใบรับรองค่อนข้างน่าสนใจ เนื่องจากหากโจมตีได้สำเร็จ และสามารถเข้าถึงใบรับรองดิจิทัลได้ ผู้โจมตีอาจใช้ใบรับรองเหล่านั้นเพื่อ sign มัลแวร์ด้วยใบรับรองที่ถูกต้อง ซึ่งจะช่วยให้มัลแวร์สามารถหลีกเลี่ยงการตรวจจับได้ นอกจากนี้ยังอาจใช้ใบรับรองที่ถูกโจมตีเพื่อดักจับการรับส่งข้อมูลแบบ HTTPS ได้ แต่ปัจจุบัน Symantec ระบุว่ายังไม่พบหลักฐานที่บ่งชี้ว่าผู้โจมตีสามารถเข้าถึงข้อมูลใบรับรองดิจิทัลได้สำเร็จ และได้แจ้งเตือนให้หน่วยงานออกใบรับรองทราบเกี่ยวกับพฤติกรรมการโจมตีในครั้งนี้
การวิเคราะห์การโจมตีครั้งล่าสุดพบว่าเบื้องต้นน่าจะเกิดจากช่องโหวของแอปพลิเคชันที่มีการเชื่อมต่อกับอินเทอร์เน็ต ตามมาด้วยการใช้เครื่องมือที่มีอยู่แล้วบนเครื่องของเหยื่อในลักษณะ living-off-the-land เช่น WinRAR, Ping, Traceroute, NBTscan, Certutil เพื่อทำให้แบ็คดอร์สามารถดาวน์โหลดไฟล์ รวบรวมข้อมูลบนระบบ และอัปโหลดข้อมูลที่ขโมยออกมาออกไปได้
นอกจากนี้ยังพบเครื่องมือ multi-hop proxy โอเพ่นซอร์สที่ชื่อว่า Stowaway และมัลแวร์ Sagerunex ซึ่งถูกติดตั้งผ่านทาง Hannotog แบ็คดอร์
โดยนักวิจัยสรุปว่า ความสามารถในการโจมตีไปยังเหยื่อได้หลายรายพร้อมกันลักษณะนี้ ทำให้คาดว่ากลุ่มดังกล่าวมีทรัพยากร และเงินทุนสนับสนุนจำนวนมาก จึงทำให้สามารถปฏิบัติการได้อย่างต่อเนื่อง
ที่มา: thehackernews
You must be logged in to post a comment.